Pole Position per il malware Strela nelle campagne di phishing per l’Italia

In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 47 campagne malevole, di cui 46 con obiettivi italiani ed una generica che ha comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 666 indicatori di compromissione (IOC) individuati.

Andamento della settimana

Viene riportato nel dettaglio le tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AgID e consultabili tramite la pagina delle Statistiche.

I temi più rilevanti della settimana

Sono 6 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano. In particolare si rileva:

1. Banking – tema utilizzato per le campagne di phishing e smishing rivolte ai clienti di istituti bancari di matrice italiana e per una campagna malware Remcos rivolta a clienti BPM.
2. Pagamenti – tema sfruttato per diffondere i malware AgentTesla, Strela, Avemaria e Remcos.
3. Riattivazione – Argomento utilizzato per le campagne di phishing INPS volte a sottrarre documenti di identità e per phishing mirato al furto di credenziali di accesso a Webmail.

Il resto dei temi sono stati sfruttati per veicolare campagne di malware e di phishing di vario tipo.

Malware della settimana

Sono state osservate nello scenario italiano 6 famiglie di malware. Nello specifico, di particolare rilievo questa settimana, troviamo le seguenti campagne:

1. Strela –Rilevate tre campagne italiane a tema “Pagamenti” diffuse tramite email con allegati ZIP e TTP differenti. Il C2 (localizzato in Russia) resta lo stesso dalla prima campagna Strela individuata in Italia.
2. Remcos –Contrastate due campagne italiane a tema “Banking” e “Pagamenti” veicolate tramite email allegati ZIP.
3. AgentTesla – Rilevate due campagne, di cui una italiana ed una generica, rispettivamente a tema “Ordine” e “Pagamenti”, diffuse tramite email con allegati DOC (RTF con exploit Equation Editor) e LZH contenenti JS.
4. Avemaria – Campagna italiana a tema “Pagamenti” veicolata tramite email con allegati Z.
5. Qakbot – Individuata una campagna italiana a tema “Resend” diffusa tramite email con allegati PDF con link a file JS malevolo.
6. IcedId – Campagna italiana a tema “Resend” diffusa tramite email con allegati PDF contenenti un link al download di un file JS malevolo (come Qakbot).

Phishing della settimana

Su un totale di 37 campagne di phishing (e smishing) sono 14 i brand coinvolti che interessano principalmente il settore bancario. Di particolare interesse questa settimana una campagna di phishing adattiva volta a sottrarre credenziali di account PEC.

Formati di file principalmente utilizzati per veicolare i malware

Canali di diffusione

Campagne mirate e generiche

Marcello Filacchioni

ICT CISO e Cyber Security Manager con oltre vent’anni di esperienza tra settore pubblico e privato, ha guidato progetti di sicurezza informatica per realtà di primo piano. Specializzato in risk management, governance e trasformazione digitale, ha collaborato con vendor internazionali e startup innovative, contribuendo all’introduzione di soluzioni di cybersecurity avanzate. Possiede numerose certificazioni (CISM, CRISC, CISA, PMP, ITIL, CEH, Cisco, Microsoft, VMware) e svolge attività di docenza pro bono in ambito Cyber Security, unendo passione per l’innovazione tecnologica e impegno nella diffusione della cultura della sicurezza digitale.

Aree di competenza: Cyber Security Strategy & Governance, Vulnerability Management & Security Operations.