Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Home
FormBook, Rhadamanthys e AgentTesla i Malware Più Diffusi in Italia

FormBook, Rhadamanthys e AgentTesla i Malware Più Diffusi in Italia

9 Dicembre 2024 07:04

In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 37 campagne malevole, di cui 20 con obiettivi italiani e 17 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 622 indicatori di compromissione (IoC) individuati.

Riportiamo a seguire il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AGID e consultabili tramite la pagina delle Statistiche.

Advertising

Andamento della settimana

Sono 16 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano. In particolare si rileva:

  1. Fattura – Argomento utilizzato per veicolare tramite campagne generiche i malware AgentTesla, Formbook e Rhadamanthys, oltre a essere stato utilizzato per due campagne di phishing italiane a tema Aruba, veicolate tramite PEC compromesse, e una campagna di phishing DocuSign generica.
  2. Legale – Tema servito per veicolare numerosi malware, tra cui PureLogs StealerAsyncRATRedLineRhadamanthys e XMrig, tutti tramite campagne italiane.
  3. Ordine – Argomento utilizzato per una campagna di phishing generica a tema Webmail, oltre ad essere servito per veicolare i malware Rhadamanthys tramite Guloader e SnakeKeylogger.
  4. Pagamenti – Tema sfruttato per una campagna generica di phishing ai danni di utenti di Office365 oltre che per due campagne generiche finalizzate alla distribuzione dei malware AgentTesla e Formbook.
  5. Banking – Argomento ricorrente questa settimana, sfruttato per tre campagne veicolate tramite PEC e rivolte a clienti di Intesa Sanpaolo.

Il resto dei temi sono stati utilizzati per veicolare campagne di malware e di phishing di vario tipo.

Eventi di particolare interesse

  • Si è riscontrato un incremento nell’utilizzo delle caselle PEC compromesse o fraudolente per la diffusione di campagne di phishing a tema bancario. Particolarmente attive risultano le campagne ai danni di utenti Intesa SanPaolo. Gli attaccanti sfruttano la fiducia riposta nella posta certificata per veicolare link a finte repliche della pagina dell’home banking con lo scopo di sottrarre credenziali di accesso e dati di carte di pagamento. Nuovi Indicatori di Compromissione (IoC) sono stati resi disponibili nella news del CERT-AGID.
  • La scorsa settimana il CERT-AGID ha rilevato un malware AgentTesla con meccanismo di attivazione difettoso. L’eseguibile, veicolato come allegato email, nonostante presentasse caratteristiche da file malevolo, non generava alcun traffico di rete e in prima battuta non è stato possibile determinare la sua precisa natura. Il comportamento insolito è stato corretto nei giorni successivi con una nuova versione del malware diffusa con una nuova campagna. Un’analisi al riguardo è stata pubblicata sul sito del CERT-AGID.

Malware della settimana

Sono state individuate, nell’arco della settimana, 11 famiglie di malware che hanno interessato l’Italia. Nello specifico, di particolare rilievo, troviamo le seguenti campagne:

  1. FormBook – Rilevate una campagna italiana a tema “Delivery” e due campagne generiche a tema “Pagamenti” e “Fattura”, veicolate tramite email con allegati ZIP e RAR.
  2. Rhadamanthys via GuLoader – Individuate una campagna italiana a tema “Legale” e due campagne generiche a tema “Ordine” e “Fattura”, diffuse tramite email con allegati XLSX e PDF o link a file malevoli.
  3. AgentTesla – Rilevate due campagne generica a tema “Pagamenti” e “Fattura”, diffuse mediante email con allegati ZIP.
  4. XMRig – Scoperta una campagna italiana a tema “Legale”, diffusa mediante email con allegato ZIP.
  5. PureLogs – Individuata una campagna italiana a tema “Legale”, veicolata tramite email con allegato BAT.
  6. Redline – Rilevata una campagna italiana a tema “Legale”, veicolata tramite email con allegato contenete file EXE.
  7. AsyncRAT – Individuata una campagna italiana a tema “Legale”, veicolata tramite email con allegato compresso contenete EXE.
  8. Remcos via GuLoader – Individuata una campagna italiana veicolata tramite email con allegato 7Z.
  9. KoiStelaer – Scoperta una campagna italiana veicolata tramite email con allegato ZIP.
  10. SnakeKeylogger – Individuata una campagna italiana a tema “Ordine”, diffusa tramite email con allegato Z.
  11. SpyNote – Individuata una campagna generica che sfrutta il tema “Aggiornamenti” e veicola l’APK malevolo tramite SMS.


Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Marcello Filacchioni 300x300
ICT CISO e Cyber Security Manager con oltre vent’anni di esperienza tra settore pubblico e privato, ha guidato progetti di sicurezza informatica per realtà di primo piano. Specializzato in risk management, governance e trasformazione digitale, ha collaborato con vendor internazionali e startup innovative, contribuendo all’introduzione di soluzioni di cybersecurity avanzate. Possiede numerose certificazioni (CISM, CRISC, CISA, PMP, ITIL, CEH, Cisco, Microsoft, VMware) e svolge attività di docenza pro bono in ambito Cyber Security, unendo passione per l’innovazione tecnologica e impegno nella diffusione della cultura della sicurezza digitale.
Aree di competenza: Cyber Security Strategy & Governance, Vulnerability Management & Security Operations.