Gli autori della campagna #Ursnif #AgenziaEntrate cambiano TTP
Tornano ad utilizzare HTA e sfruttano #Certutil per il download dell'eseguibile.
๐ La lista degli IoC รจ stata aggiornata con i nuovi indicatori
Tornano ad utilizzare HTA e sfruttano #Certutil per il download dell'eseguibile.
๐ La lista degli IoC รจ stata aggiornata con i nuovi indicatori
Sintesi riepilogativa delle campagne malevole nella settimana del 04 โ 10 febbraio 2023
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 25 campagne malevole, di cui 23 con obiettivi italiani e 2 generiche che hanno comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 425 indicatori di compromissione (IOC) individuati.
โก๏ธ #AgenziaEntrate tema sfruttato per veicolare #Ursnif e per il phishing dei finti rimborsi.
โก๏ธ #Qakbot nuova variante denominata #iPikaBot osservata in #Italia
๐ฃ #IoC 425
๐ฆ #Malware 6 (famiglie)
๐ #Phishing 8 (brand)
โน๏ธ Ulteriori approfondimenti ๐
๐ https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-04-10-febbraio-2023/
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 25 campagne malevole, di cui 23 con obiettivi italiani e 2 generiche che hanno comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 425 indicatori di compromissione (IOC) individuati.
โก๏ธ #AgenziaEntrate tema sfruttato per veicolare #Ursnif e per il phishing dei finti rimborsi.
โก๏ธ #Qakbot nuova variante denominata #iPikaBot osservata in #Italia
๐ฃ #IoC 425
๐ฆ #Malware 6 (famiglie)
๐ #Phishing 8 (brand)
โน๏ธ Ulteriori approfondimenti ๐
๐ https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-04-10-febbraio-2023/
Il CERT-AGID ha rilevato nelle ultime 12 ore una consistente campagna #Formbook a tema #Pagamenti
๐จ La campagna non รจ mirata all'Italia ma a causa di numerosi spillover ha interessato le caselle di posta di utenti italiani.
๐จโ๐ป Le e-mail analizzate provengono tutte dallo stesso server di posta.
๐ฌ๐ง ๐ฉ๐ช I messaggi risultano essere scritti in inglese e in tedesco.
๐ Gli allegati sono di tipo RAR (r00, r15, r19, etc.).
๐ฆ L'eseguibile malevolo contenuto nel file compresso รจ sempre lo stesso.
๐ Il loader utilizzato per rilasciare #Formbook รจ #Guloader
๐ฃ Disponibili gli #IoC ๐
๐ https://cert-agid.gov.it/wp-content/uploads/2023/02/formbook_14-02-2022.json_.txt
๐จ La campagna non รจ mirata all'Italia ma a causa di numerosi spillover ha interessato le caselle di posta di utenti italiani.
๐จโ๐ป Le e-mail analizzate provengono tutte dallo stesso server di posta.
๐ฌ๐ง ๐ฉ๐ช I messaggi risultano essere scritti in inglese e in tedesco.
๐ Gli allegati sono di tipo RAR (r00, r15, r19, etc.).
๐ฆ L'eseguibile malevolo contenuto nel file compresso รจ sempre lo stesso.
๐ Il loader utilizzato per rilasciare #Formbook รจ #Guloader
๐ฃ Disponibili gli #IoC ๐
๐ https://cert-agid.gov.it/wp-content/uploads/2023/02/formbook_14-02-2022.json_.txt
Il CERT-AGID ha recentemente avuto evidenza di una campagna ๐ฎ๐น basata su Snake Keylogger che sfrutta il nome dellโUniversitร di Bologna. Lโinfenzione inizia infatti da un file DOCX di nome โElenco richieste dallโUniversitร di Bologna (BO XXXX)โ.
๐ฌ Analisi ๐ Strumenti ๐ฃ IoC ๐
https://cert-agid.gov.it/news/snake-keylogger-riscontrato-in-una-campagna-di-malspam-nazionale-un-caso-studio-su-strumenti-di-analisi-malware/
๐ฌ Analisi ๐ Strumenti ๐ฃ IoC ๐
https://cert-agid.gov.it/news/snake-keylogger-riscontrato-in-una-campagna-di-malspam-nazionale-un-caso-studio-su-strumenti-di-analisi-malware/
CERT-AGID
Snake Keylogger riscontrato in una campagna di malspam nazionale: un caso studio su strumenti di analisi malware
Il CERT-AGID ha recentemente avuto evidenza di una campagna Snake Keylogger che sfrutta il nome dell'Universitร di Bologna. L'infenzione inizia infatti da un file DOCX di nome "Elenco richieste dall'Universitร di Bologna (BO XXXX)"
Sintesi riepilogativa delle campagne malevole nella settimana del 11 โ 17 febbraio 2023
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 26 campagne malevole, di cui 25 con obiettivi italiani e 1 generica che ha comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 376 indicatori di compromissione (IOC) individuati.
โก๏ธ #EquationEditor (CVE-2017-11882) exploit sfruttato da #Formbook e #SnakeKeylogger
โก๏ธ #SnakeKeylogger punta al tema #Universitร prima Parma ora Bologna
โก๏ธ #Guloader utilizzato da #Formbook e #AgentTesla
โก๏ธ #AgenziaEntrate ancora vittima di campagne di Phishing
๐ฃ #IoC 376
๐ฆ #Malware 4 (famiglie)
๐ #Phishing 8 (brand)
โน๏ธ Ulteriori approfondimenti ๐
๐ https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-11-17-febbraio-2023/
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 26 campagne malevole, di cui 25 con obiettivi italiani e 1 generica che ha comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 376 indicatori di compromissione (IOC) individuati.
โก๏ธ #EquationEditor (CVE-2017-11882) exploit sfruttato da #Formbook e #SnakeKeylogger
โก๏ธ #SnakeKeylogger punta al tema #Universitร prima Parma ora Bologna
โก๏ธ #Guloader utilizzato da #Formbook e #AgentTesla
โก๏ธ #AgenziaEntrate ancora vittima di campagne di Phishing
๐ฃ #IoC 376
๐ฆ #Malware 4 (famiglie)
๐ #Phishing 8 (brand)
โน๏ธ Ulteriori approfondimenti ๐
๐ https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-11-17-febbraio-2023/
Sintesi riepilogativa delle campagne malevole nella settimana del 18 โ 24 febbraio 2023
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 13 campagne malevole con obiettivi italiani, mettendo a disposizione dei suoi enti accreditati i relativi 216 indicatori di compromissione (IOC) individuati.
โก๏ธ #EquationEditor (CVE-2017-11882) exploit sfruttato da #AgentTesla
โก๏ธ #Qakbot insiste con allegati ONE
โก๏ธ #AgenziaEntrate e #INPS ancora vittime rispettivamente di campagne di Phishing e Smishing
๐ฃ #IoC 216
๐ฆ #Malware 5 (famiglie)
๐ #Phishing 6 (brand)
โน๏ธ Ulteriori approfondimenti ๐
๐ https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-18-24-febbraio-2023/
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 13 campagne malevole con obiettivi italiani, mettendo a disposizione dei suoi enti accreditati i relativi 216 indicatori di compromissione (IOC) individuati.
โก๏ธ #EquationEditor (CVE-2017-11882) exploit sfruttato da #AgentTesla
โก๏ธ #Qakbot insiste con allegati ONE
โก๏ธ #AgenziaEntrate e #INPS ancora vittime rispettivamente di campagne di Phishing e Smishing
๐ฃ #IoC 216
๐ฆ #Malware 5 (famiglie)
๐ #Phishing 6 (brand)
โน๏ธ Ulteriori approfondimenti ๐
๐ https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-18-24-febbraio-2023/
Il CERT-AGID ha ricevuto segnalazione di una campagna ๐ฎ๐น di phishing bancario che esorta la vittima al saldo di presunti contributi #INPS non pagati.
Il contenuto del l'e-mail รจ scritto in italiano corretto e presenta il logo INPS, ma quanto indicato e le modalitร suggerite non trovano palesemente riscontro nel funzionamento dell'Ente Previdenziale.
๐ธ Lo scopo รจ il furto di denaro e di credenziali bancarie.
๐ฆ La pagina di phishing presenta i cloni dei siti di #Nexi, #PosteItaliane, #Unicredit ed #IntesaSanPaolo.
โ๏ธ I dati sono raccolti da un pannello uAdmin ospitato in un altro dominio.
๐ Al momento piรน di 170 persone sono rimaste vittime della frode.
๐กSi consiglia sempre di usare il buonsenso e di verificare la propria posizione retributiva tramite l'apposito Portale INPS senza seguire collegamenti e-mail.
๐ฃ Disponibili gli #IoC ๐
๐ https://cert-agid.gov.it/wp-content/uploads/2023/02/inps_phishing_27-02-2023.json_.txt
Il contenuto del l'e-mail รจ scritto in italiano corretto e presenta il logo INPS, ma quanto indicato e le modalitร suggerite non trovano palesemente riscontro nel funzionamento dell'Ente Previdenziale.
๐ธ Lo scopo รจ il furto di denaro e di credenziali bancarie.
๐ฆ La pagina di phishing presenta i cloni dei siti di #Nexi, #PosteItaliane, #Unicredit ed #IntesaSanPaolo.
โ๏ธ I dati sono raccolti da un pannello uAdmin ospitato in un altro dominio.
๐ Al momento piรน di 170 persone sono rimaste vittime della frode.
๐กSi consiglia sempre di usare il buonsenso e di verificare la propria posizione retributiva tramite l'apposito Portale INPS senza seguire collegamenti e-mail.
๐ฃ Disponibili gli #IoC ๐
๐ https://cert-agid.gov.it/wp-content/uploads/2023/02/inps_phishing_27-02-2023.json_.txt
ร in corso una campagna ๐ฎ๐น #Ursnif a tema #AgenziaEntrate
๐จ Oggetto: "Commissione di osservanza sul registro tributario"
โ๏ธ TTP:
๐ฃ Disponibili gli #IoC ๐
๐ https://cert-agid.gov.it/wp-content/uploads/2023/03/ursnif_agenzia-entrate_01-03-2023.json_.txt
๐จ Oggetto: "Commissione di osservanza sul registro tributario"
โ๏ธ TTP:
Email > Link (redirect) > PPA (macro) > EXE๐ La campagna รจ mirata per l'Italia e i C2 sono localizzati in ๐ท๐บ
๐ฃ Disponibili gli #IoC ๐
๐ https://cert-agid.gov.it/wp-content/uploads/2023/03/ursnif_agenzia-entrate_01-03-2023.json_.txt
CERT-AgID
ร in corso una campagna ๐ฎ๐น #Ursnif a tema #AgenziaEntrate ๐จ Oggetto: "Commissione di osservanza sul registro tributario" โ๏ธ TTP: Email > Link (redirect) > PPA (macro) > EXE ๐ La campagna รจ mirata per l'Italia e i C2 sono localizzati in ๐ท๐บ ๐ฃ Disponibiliโฆ
Ancora una campagna ๐ฎ๐น #Ursnif a tema #AgenziaEntrate differente dalle precedenti.
๐จ Rivevuta di pagamento - Transizione n. XXXXXXXXX
๐ XLS
๐ฃ Disponibili gli #IoC ๐
๐ https://cert-agid.gov.it/wp-content/uploads/2023/03/ursnif_agenzia-entrate_01-03-2023_2.json_.txt
๐จ Rivevuta di pagamento - Transizione n. XXXXXXXXX
๐ XLS
๐ฃ Disponibili gli #IoC ๐
๐ https://cert-agid.gov.it/wp-content/uploads/2023/03/ursnif_agenzia-entrate_01-03-2023_2.json_.txt
Continua l'attivitร di #Ursnif con una nuova campagna ๐ฎ๐น a tema #AgenziaEntrate sfruttando #SMB.
โ๏ธ TTP:
๐ฃ Disponibili gli #IoC ๐
๐ https://cert-agid.gov.it/wp-content/uploads/2023/03/ursnif_agenzia-entrate_02-03-2023.json_.txt
โ๏ธ TTP:
Email > Link (redirect) > ZIP > URL > SMB๐ La campagna รจ mirata per l'Italia e i C2 sfruttano ancora una volta la botnet #7709 di ieri localizzata in ๐ท๐บ
๐ฃ Disponibili gli #IoC ๐
๐ https://cert-agid.gov.it/wp-content/uploads/2023/03/ursnif_agenzia-entrate_02-03-2023.json_.txt
Sintesi riepilogativa delle campagne malevole nella settimana del 25 febbraio - 03 marzo 2023
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 26 campagne malevole di cui 23 con obiettivi italiani e 3 generiche che hanno comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 1537 indicatori di compromissione (IOC) individuati.
โก๏ธ #AgenziaEntrate campagne massive per veicolare #Ursnif
โก๏ธ #INPS ancora vittime di campagne di Phishing volte a sottrarre documenti di identitร
๐ฃ #IoC 1537
๐ฆ #Malware 5 (famiglie)
๐ #Phishing 10 (brand)
โน๏ธ Ulteriori approfondimenti ๐
๐ https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-25-febbraio-03-marzo-2023/
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 26 campagne malevole di cui 23 con obiettivi italiani e 3 generiche che hanno comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 1537 indicatori di compromissione (IOC) individuati.
โก๏ธ #AgenziaEntrate campagne massive per veicolare #Ursnif
โก๏ธ #INPS ancora vittime di campagne di Phishing volte a sottrarre documenti di identitร
๐ฃ #IoC 1537
๐ฆ #Malware 5 (famiglie)
๐ #Phishing 10 (brand)
โน๏ธ Ulteriori approfondimenti ๐
๐ https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-25-febbraio-03-marzo-2023/
ร in fase di contrasto una nuova campagna ๐ฎ๐น #Ursnif a tema #MISE / #MEF che sfrutta #SMB
โ๏ธ TTP:
๐ท๐บ C2 (botnet #7710) e server SMB localizzati in Russia
๐ฃ Disponibili gli #IoC ๐
๐ https://cert-agid.gov.it/wp-content/uploads/2023/03/ursnif_mise_06-03-2023.json_.txt
โ๏ธ TTP:
Email > Link (redirect) > ZIP > URL > SMB๐ฎ๐น Mittenti e-mail italiani (account compromessi)
๐ท๐บ C2 (botnet #7710) e server SMB localizzati in Russia
๐ฃ Disponibili gli #IoC ๐
๐ https://cert-agid.gov.it/wp-content/uploads/2023/03/ursnif_mise_06-03-2023.json_.txt
Continua la campagna ๐ฎ๐น di phishing bancario che esorta la vittima al saldo di presunti contributi #INPS non pagati.
๐ Campagna giร osservata il 27/02/2023 con la quale condivide il server di backend.
๐ธ Lo scopo รจ il furto di denaro e di credenziali bancarie.
๐ฆ La pagina di phishing presenta i cloni dei siti di #Nexi, #PosteItaliane, #Unicredit ed #IntesaSanPaolo.
๐ฃ Disponibili gli #IoC ๐
๐ https://cert-agid.gov.it/wp-content/uploads/2023/03/phishing_inps_06-03-2023.json_.txt
๐ Campagna giร osservata il 27/02/2023 con la quale condivide il server di backend.
๐ธ Lo scopo รจ il furto di denaro e di credenziali bancarie.
๐ฆ La pagina di phishing presenta i cloni dei siti di #Nexi, #PosteItaliane, #Unicredit ed #IntesaSanPaolo.
๐ฃ Disponibili gli #IoC ๐
๐ https://cert-agid.gov.it/wp-content/uploads/2023/03/phishing_inps_06-03-2023.json_.txt
CERT-AgID
ร in fase di contrasto una nuova campagna ๐ฎ๐น #Ursnif a tema #MISE / #MEF che sfrutta #SMB โ๏ธ TTP: Email > Link (redirect) > ZIP > URL > SMB ๐ฎ๐น Mittenti e-mail italiani (account compromessi) ๐ท๐บ C2 (botnet #7710) e server SMB localizzati in Russia ๐ฃ Disponibiliโฆ
Riprende la campagna ๐ฎ๐น #Ursnif via #SMB con C2 Botnet #7710 e tema #AgenziaEntrate.
๐ฃ Gli #IoC sono stati aggiornati ๐
๐ฃ Gli #IoC sono stati aggiornati ๐