Aggiornamenti recenti Aprile 21st, 2025 9:00 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- CERT-AGID 12 – 18 aprile: nuove campagne di phishing per pagoPA e Ministero della Salute
- XorDDoS, il DDoS contro Linux evolve e continua a mietere vittime
- Migliaia di chiavi AWS usate in un attacco ransomware
- Aggiornato: Addio a CVE – il governo U.S.A. (sospende) riprende i finanziamenti per il programma
- Defender for Endpoint bloccherà gli IP sconosciuti per impedire il movimento laterale
CERT-AGID 12 – 18 aprile: nuove campagne di phishing per pagoPA e Ministero della Salute
Nel corso dell’ultima settimana, il CERT-AGID ha rilevato 57 campagne malevole nel panorama italiano, con 26 operazioni mirate espressamente contro il nostro Paese e altre 31 di portata più generica ma che hanno comunque coinvolto utenti e infrastrutture italiane.
A supporto delle attività di prevenzione e difesa, sono stati messi a disposizione degli enti accreditati ben 767 indicatori di compromissione.
I temi della settimana
Sono stati ben 17 i temi sfruttati questa settimana dai cybercriminali per confezionare le campagne malevole indirizzate al territorio italiano.
Tra i più ricorrenti, si distingue il tema “Ordine”, utilizzato in campagne generiche per diffondere malware come Darkcloud, SnakeKeylogger, Formbook e AgentTesla.
Anche “Fattura” è tornato al centro dell’attenzione, comparendo in tre campagne italiane e due di respiro più ampio, tra cui una mirata agli utenti di Aruba. In questo contesto sono stati veicolati AgentTesla, XWorm, LokiBot e SnakeKeylogger.
Il tema “Banking” ha accompagnato tre campagne rivolte all’Italia e due generiche, in forma di phishing e smishing, servendo anche come canale per la diffusione di MassLogger, BingoMod e SpyNote.
Questa settimana il CERT-AGID ha rilevato 57 campagne malevole ed emesso 767 indicatori di compromissione.
Particolarmente attivo anche il tema “Pagamenti”, sfruttato in quattro campagne italiane e due generiche, utilizzato per veicolare FormBook e Grandoreiro tramite email e per colpire via phishing utenti di servizi come Zimbra, BRT e PagoPA.
Non è mancato il tema “Documenti”, presente in tre campagne generiche e due italiane, sfruttato per diffondere malware come Lumma e Remcos e per attacchi di phishing ai danni del Notariato e di DocuSign.
Il tema “Booking” è stato usato in due campagne italiane e due generiche, associato a pagine truffaldine con finti Captcha per distribuire malware.
“Delivery”, invece, è comparso in una campagna generica e tre italiane, legato alla diffusione di Remcos via email, smishing contro Poste Italiane e BRT e alla circolazione di AgentTesla.
Infine, il tema “Contratti” è stato utilizzato in tre campagne generiche per veicolare Snakekeylogger e Guloader attraverso email. Gli altri temi riscontrati sono stati impiegati in campagne più frammentate, ma sempre con finalità malevole legate a malware e phishing di varia natura.
Tra gli eventi più significativi della settimana, si segnala una nuova campagna di phishing che prende di mira gli utenti di pagoPA.
L’inganno avviene attraverso email che richiamano presunte fatture da 75 euro, con l’obiettivo di indurre le vittime a fornire dati personali e informazioni sensibili come i dettagli della carta di credito.
Fonte: CERT-AGID
Un’altra campagna di phishing ha invece sfruttato il nome del Ministero della Salute, riprendendo un modello già osservato all’inizio dell’anno ma con un nuovo dominio truffaldino, “ministerosalute[.]io”.
Anche in questo caso, le email false promettono un rimborso e richiedono informazioni personali, tra cui nome, indirizzo e dati della carta di credito, cercando di carpire la fiducia delle potenziali vittime con un linguaggio istituzionale e rassicurante.
Malware della settimana
Nel corso della settimana sono state individuate 14 famiglie di malware attive sul territorio italiano, distribuite attraverso campagne mirate o più generiche che hanno comunque interessato utenti e sistemi del nostro Paese.
Tra le minacce più rilevanti figura AgentgTesla, rilevato in tre campagne italiane legate ai temi “Booking”, “Aggiornamenti” e “Delivery”, oltre che in tre campagne generiche a tema “Ordine” e “Fattura”, tutte veicolate via email con allegati nei formati ZIP, RAR, Z e IMG.
AsyncRat è stato protagonista di tre campagne “Booking” – una italiana e due generiche – diffuse attraverso link a pagine con finti Captcha, oltre a una campagna “Prezzi” distribuita via email con allegati RAR.
Anche SnakeKeylogger è tornato in scena con una campagna italiana a tema “Fattura” e tre campagne generiche legate ai temi “Contratti” e “Ordine”, in cui il malware è stato veicolato con allegati RAR, ARJ e LZH.
Fonte: CERT-AGID
FormBook è comparso in tre campagne generiche, associate ai temi “Ordine” e “Pagamenti”, e diffuse tramite email con allegati compressi ZIP, RAR e 7Z.
Anche Remcos ha fatto registrare attività: una campagna italiana con tema “Documenti” e due campagne generiche legate a “Fattura” e “Delivery”, tutte accompagnate da allegati ZIP e RAR.
Non è mancato DarkCloud, con due campagne generiche a tema “Ordine” veicolate tramite allegati TAR e LZH, e neppure Lumma, riscontrato in due campagne generiche “Documenti” che utilizzavano allegati ZIP e IMG.
XWorm è emerso in una campagna italiana a tema “Fattura” e in una generica “Prezzi”, con file allegati nei formati ZIP e 7Z.
Particolare attenzione meritano anche le campagne che hanno coinvolto i malware BingoMod e SpyNote, veicolati tramite file APK in una campagna italiana e una generica legate al tema “Banking”, con link malevoli inviati via SMS.
A completare il quadro, una campagna italiana legata a MassLogger e diverse operazioni generiche che hanno visto protagonisti Grandoreiro, Guloader e Lokibot, distribuiti attraverso un’ampia varietà di temi e formati.
Phishing della settimana
Nel corso della settimana sono stati ben 15 i brand coinvolti nelle campagne di phishing monitorate dal CERT-AGID.
Fonte: CERT-AGID
A dominare la scena in termini di volume troviamo le campagne a tema INPS, cPanel, Intesa Sanpaolo e Aruba, che si confermano bersagli frequenti per chi cerca di sfruttare la riconoscibilità dei marchi a fini truffaldini.
Particolarmente diffuse anche le campagne di phishing rivolte alle webmail, spesso non brandizzate, che puntano in modo subdolo a sottrarre agli utenti credenziali di accesso e altri dati personali sensibili, facendo leva sulla distrazione o sulla fiducia in apparenti comunicazioni ufficiali.
Formati e canali di diffusione
Nel monitoraggio settimanale, il CERT-AGID ha rilevato l’impiego di diverse tipologie di file malevoli, a conferma della varietà di strumenti utilizzati dai cybercriminali per eludere le difese di utenti e sistemi.
Anche questa settimana hanno prevalso i formati compressi, con i file ZIP che si sono distinti come i più utilizzati: sono infatti comparsi in otto campagne distinte, confermandosi efficaci nella diffusione del malware. A pari merito troviamo i file RAR, anch’essi impiegati otto volte.
Fonte: CERT-AGID
Seguono i file IMG, utilizzati in tre campagne, mentre HTML, APK, Z e LZH sono stati impiegati in due occasioni ciascuno.
Più sporadico, ma comunque significativo, l’uso di altri formati come DOC, ARJ, 7Z e TAR, rilevati una sola volta.
Per quanto riguarda i canali di diffusione, l’email si conferma il vettore preferito dagli attaccanti. Dei 57 episodi analizzati nel periodo, ben 53 sono stati condotti tramite messaggi di posta elettronica.
Completano il quadro 7 campagne diffuse via SMS e 3 condotte attraverso PEC.
Condividi l'articolo
Articoli correlati
Altro in questa categoria
Approfondimenti
-
XorDDoS, il DDoS contro Linux evolve e continua a mietere... I ricercatori di Cisco Talos hanno pubblicato una nuova... -
Slopsquatting: quando l’IA consiglia pacchetti che... La diffusione dell’IA e il progressivo miglioramento... -
Agenti di IA: un’arma potente nelle mani del... Gli agenti di IA stanno diventando sempre più capaci, in... -
PDF pericolosi: il 22% degli attacchi proviene da questi... I file PDF possono diventare molto pericolosi: stando a una... -
L’Italia è tra gli obiettivi principali del... L’Italia è tra i principali obiettivi del cybercrime...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
CERT-AGID 12 – 18 aprile: nuove campagne di phishing per... Nel corso dell’ultima settimana, il CERT-AGID ha rilevato... -
XorDDoS, il DDoS contro Linux evolve e continua a mietere... I ricercatori di Cisco Talos hanno pubblicato una nuova...
-
Migliaia di chiavi AWS usate in un attacco ransomware Alcuni ricercatori di sicurezza hanno scoperto una nuova... -
Aggiornato: Addio a CVE – il governo U.S.A.... Aggiornamento: “Il programma CVE ha un valore... -
Defender for Endpoint bloccherà gli IP sconosciuti per... Microsoft sta per rilasciare una nuova funzionalità di...
Ransomware: la serie
No posts found.
