CERT-AGID 6 – 13 dicembre: 416.000 record diffusi online

Dic 16, 2024 Stefano Silvestri Attacchi, Hacking, Intrusione, Malware, News, Phishing, Tecnologia, Vulnerabilità 0

---

Nel corso della settimana, il CERT-AGID ha identificato e analizzato 39 campagne malevole nel panorama italiano di sua competenza.

Di queste, 20 erano mirate specificamente a obiettivi italiani, mentre le restanti 19, seppur generiche, hanno avuto ripercussioni anche in Italia. Per gli enti accreditati, il CERT-AGID ha reso disponibili i 446 indicatori di compromissione (IoC) rilevati.

I temi della settimana

Questa settimana sono stati individuati 17 temi utilizzati per condurre campagne malevole sul territorio italiano.

Tra i più rilevanti emergono come sempre il Banking, impiegato per diverse campagne di phishing tramite PEC ai danni dei clienti di Intesa Sanpaolo. È stato inoltre sfruttato per diffondere i malware Irata e RedLine, rispettivamente tramite SMS ed email.

A seguire troviamo il tema dei Pagamenti, utilizzato in campagne di phishing sia italiane che internazionali mirate a Microsoft, ho. Mobile e SumUp. Il tema è stato inoltre strumento per la diffusione dei malware AgentTesla e Formbook.

Quello degli Aggiornamenti è stato un tema centrale in campagne di phishing italiane ai danni di cPanel e sfruttato per diffondere il malware Babadeda.

Il tema Preventivo è stato invece utilizzato in campagne di phishing italiane via PEC contro Aruba, nonché per la diffusione dei malware AsyncRAT e Formbook.

Il tema Legale è stato invece un argomento frequentemente sfruttato nelle ultime settimane, ed è stato usato per veicolare diverse famiglie di malware. In particolare, questa settimana ha favorito la diffusione di LummaStealer e Rhadamanthys.

Gli altri temi rilevati hanno contribuito a una varietà di campagne di phishing e malware, confermando la diversificazione degli attacchi nel contesto italiano.

Tra gli eventi di maggiore rilievo della settimana, spicca una campagna di smishing ai danni dell’INPS. Attraverso un messaggio SMS fraudolento, che simula una comunicazione urgente dall’ente previdenziale, le vittime vengono indirizzate a un sito web che replica il portale ufficiale dell’INPS. Qui vengono raccolte informazioni personali e finanziarie, tra cui nome, cognome, codice fiscale, numero di telefono, dati della carta di credito e IBAN.

I dati rubati vengono poi inviati a un bot Telegram, utilizzato dagli attaccanti come infrastruttura di comando e controllo.

Inoltre, sono stati divulgati i database di due enti italiani, con l’esposizione di un numero significativo di dati personali.

Nel dicembre 2024, un attacco informatico ha colpito l’Avis Intercomunale Arnaldo Colombo, portando alla pubblicazione online di circa 420.000 record contenenti informazioni come nome, codice fiscale, indirizzo e gruppo sanguigno.

L’azione è stata rivendicata dal collettivo ransomware Argonauts. Un altro attacco, risalente a novembre, ha interessato l’editore italiano EDT.

È stato solo questa settimana che i dati sono stati diffusi online: oltre 416.000 record, comprensivi di indirizzi email e password degli utenti, sono stati pubblicati, aggravando ulteriormente l’impatto della violazione.

Malware della settimana

Nel corso della settimana sono state individuate nove famiglie di malware che hanno colpito il territorio italiano attraverso diverse campagne.

Tra quelle di maggiore rilievo troviamo FormBook, al centro di una campagna italiana a tema “Pagamenti” e di tre campagne generiche legate ai temi “Delivery”, “Preventivo” e “Fattura”. Questi attacchi sono stati diffusi tramite email contenenti allegati ZIP e XLA.

AgentTesla è stato rilevato in tre campagne generiche a tema “Pagamenti” e “Delivery”, veicolate attraverso email con allegati ZIP e 7Z.

Irata ha interessato l’Italia con due campagne a tema “Banking”, diffondendo un file APK malevolo tramite SMS. Babadeda è stato protagonista di una campagna italiana legata al tema “Aggiornamenti”, diffusa attraverso email contenenti un allegato RAR con file LNK.

LummaStealer è stato individuato in una campagna italiana a tema “Legale”, veicolata tramite email con allegati ZIP e 7Z. Zanubis è emerso in una campagna generica legata al tema “TikTok”, diffondendo un APK malevolo tramite SMS.

Rhadamanthys è stato rilevato in una campagna generica a tema “Legale”, trasmessa tramite email con allegato ZIP contenente un file PDF malevolo.

AsyncRAT è stato al centro di una campagna italiana a tema “Fattura”, diffusa tramite email con allegato ZIP. Redline, infine, è stato rilevato in una campagna generica a tema “Banking”, veicolata attraverso email con allegati ISO.

Phishing della settimana

Nel corso della settimana, sono stati rilevati attacchi di phishing che hanno coinvolto 11 brand diversi.

Tra i marchi più colpiti, Aruba, Intesa Sanpaolo e Microsoft emergono per il numero di attacchi, con campagne particolarmente mirate a sfruttare la fiducia degli utenti nei confronti di questi servizi.

Le campagne contro Aruba si sono concentrate prevalentemente sull’invio di email fraudolente, spesso camuffate da comunicazioni ufficiali, con l’intento di indurre le vittime a fornire credenziali sensibili o a scaricare file infetti.

Nel caso di Intesa Sanpaolo, gli attacchi sono stati veicolati principalmente attraverso messaggi PEC e SMS che simulavano notifiche urgenti da parte della banca. Questi messaggi miravano a indirizzare le vittime verso pagine web contraffatte, dove venivano raccolti dati personali e bancari.

Anche Microsoft è stata bersaglio di numerose campagne, che hanno sfruttato tematiche come aggiornamenti di sistema o accessi non autorizzati ai servizi aziendali. Gli utenti sono stati spinti a cliccare su link che li reindirizzavano a portali malevoli, progettati per sottrarre credenziali di accesso.

Tuttavia, un fenomeno ancora più preoccupante riguarda le campagne dirette a webmail generiche, che rappresentano una quota significativa degli attacchi settimanali. Questi attacchi puntano in maniera indiscriminata a servizi di posta elettronica ampiamente utilizzati, cercando di ottenere accesso ai conti email degli utenti attraverso messaggi ingannevoli.

Formati e canali di diffusione

Secondo l’ultimo rapporto del CERT-AGID, nell’arco della settimana sono stati utilizzati 12 diversi formati di file per la diffusione di contenuti malevoli.

Tra questi, il formato ZIP si è confermato il più impiegato, figurando in 7 campagne malevole. Al secondo posto si collocano i formati 7Z, APK e HTML, ciascuno utilizzato in 4 campagne.

Altri formati rilevati includono LNK, comparso in 2 campagne, e singole segnalazioni per i formati ISO, SCR, JS, BAT, XLA, PDF e RAR.

Le email continuano a rappresentare il vettore principale per la diffusione delle minacce informatiche, con 30 campagne rilevate che sfruttano questo canale per colpire le vittime.

Anche la posta elettronica certificata (PEC), tradizionalmente considerata più sicura, non è stata immune agli attacchi, con 5 campagne individuate nel corso della settimana.

Infine, gli SMS, un mezzo sempre più sfruttato per il phishing, sono stati al centro di 4 campagne malevole, evidenziando una crescente diversificazione nelle tecniche di attacco.

---

• CERT-AGID, malware, Phishing, Smishing

---

---