La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Phishing Italia: AgentTesla in pole-position tra i malware più utilizzati nelle campagne di phishing della scorsa settimana
Redazione RHC : 25 Settembre 2023 07:56
Nella scorsa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 44 campagnemalevole, di cui 39 con obiettivi italiani e 5 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 278 indicatori di compromissione (IOC) individuati.
Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AgID e consultabili tramite la pagina delle Statistiche.
Sono 11 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano. In particolare si rileva:
Banking – tema utilizzato principalmente per le campagne di phishing e smishing rivolte a clienti di istituti bancari di matrice italiana. Sono state rilevate inoltre campagne malware a tema Banking volte a veicolare Brata e SmsSpy per dispositivi android e AgentTesla.
Pagamenti – tema sfruttato per diffondere i malware Formbook, Ursnif, Agentestla, ScreenConnect Remcos e Xworm.
Ordine – Argomento utilizzato per le campagne malware AgentTesla, AsyncRATe Formbook.
Il resto dei temi sono stati sfruttati per veicolare campagne di malware e di phishing di vario tipo.
Malware della settimana
Sono state osservate nello scenario italiano 12 famiglie di malware. Nello specifico, di particolare rilievo questa settimana, troviamo le seguenti campagne:
AgentTesla – Rilevate cinque campagne, di cui quattro italiane ed una generica, a tema “Ordine”, “Banking” e “Pagamenti”, diffuse tramite email con allegati ZIP e XLAM.
DarkGate – Individuate due campagne veicolate in Italia tramite messaggi MS Teams sfruttando il tema “Aggiornamenti“. Il link punta al download di file ZIP con LNK.
Formbook – Individuate due campagne, di cui una italiana ed una generica, a tema “Pagamenti” e “Ordine“, veicolate tramite email con allegati ZIP e RAR.
Ursnif – Rilevata due campagne italiane a tema “Pagamenti“ e “Documenti” diffuse tramite email con allegati ZIP contenenti VBS o file URL per connessioni SMB.
AsyncRAT – Contrastata una campagna italiana a tema “Ordine“ veicolata tramite email con allegati ZIP.
Snake – Individuata una campagna generica a tema “Delivery“ veicolata tramite email con allegati ZIP.
ScreenConnect – Rilevata campagna italiana a tema “Pagamenti“ veicolata tramite email con allegati PDF con link a download di file VBS che a loro volta scaricano e lanciano un pacchetto MSI.
Brata – Campagna italiana a tema “Banking“ veicolata tramite SMS con link al download di un APK.
XWorm – Campagna generica a tema “Pagamenti“ veicolata tramite email con allegati CAB.
Remcos – Rilevata campagna generica a tema “Pagamenti“ veicolata tramite email con link che puntano al download di un file 7Z.
SmsSpy – Campagna italiana a tema “Banking“ veicolata tramite SMS con link al download di un APK da un dominio creato ad-hoc.
Bitrat – Rilevata campagna italiana a tema “Documenti“ veicolata tramite email con allegati XLS.
Sono 8 i brand coinvolti che interessano principalmente il settore bancario italiano. Di rilievo questa settimana le campagne verso clienti Aruba e Poste.
Formati di file principalmente utilizzati per veicolare i malware
Redazione La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.