🇮🇹 Riprendono le campagne dell'infostealer #Strela
⚠️ Il malware ruba le credenziali degli account Thunderbird e Outlook.
🎯 Prese di mira soprattutto aziende private, possibile spionaggio industriale o rivendite da parte di IAB.
ℹ️ Strela è un malware dal comportamento specifico e molto limitato ma che si presenta in forme variabile.
⚔️ E' stata osservata una variante riscritta in .NET e la campagna odierna ha cambiato TTP usando un file poliglotta JS e BAT ed un nuovo packer. Una tattica sempre usata è quella di allegare ZIP con password nelle e-mail malevole. Tutte le varianti puntano allo stesso C2 🇷🇺
➡️ Si invita a prestare particolare attenzione ad e-mail riguardanti pagamenti che presentano allegati ZIP e contengono file con estensione JS o BAT
💣 C2:
⚠️ Il malware ruba le credenziali degli account Thunderbird e Outlook.
🎯 Prese di mira soprattutto aziende private, possibile spionaggio industriale o rivendite da parte di IAB.
ℹ️ Strela è un malware dal comportamento specifico e molto limitato ma che si presenta in forme variabile.
⚔️ E' stata osservata una variante riscritta in .NET e la campagna odierna ha cambiato TTP usando un file poliglotta JS e BAT ed un nuovo packer. Una tattica sempre usata è quella di allegare ZIP con password nelle e-mail malevole. Tutte le varianti puntano allo stesso C2 🇷🇺
➡️ Si invita a prestare particolare attenzione ad e-mail riguardanti pagamenti che presentano allegati ZIP e contengono file con estensione JS o BAT
💣 C2:
91[.215[.85[.209Sintesi riepilogativa delle campagne malevole nella settimana del 10 – 16 giugno 2023
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 47 campagne malevole di cui 46 con obiettivi italiani ed una generica che ha comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 666 indicatori di compromissione (IOC) individuati.
➡️ #Strela continua a prendere di mira l'Italia con campagne che utilizzano TTP differenti.
➡️ #AgentTesla #Qakbot e #IcedId utilizzano JS come dropper iniziale.
➡️ #Phishing #PEC campagna adattiva volta a sottrarre credenziali PEC.
💣 #IoC 666
🦠 #Malware 6 (famiglie)
🐟 #Phishing 14 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-10-16-giugno-2023/
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 47 campagne malevole di cui 46 con obiettivi italiani ed una generica che ha comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 666 indicatori di compromissione (IOC) individuati.
➡️ #Strela continua a prendere di mira l'Italia con campagne che utilizzano TTP differenti.
➡️ #AgentTesla #Qakbot e #IcedId utilizzano JS come dropper iniziale.
➡️ #Phishing #PEC campagna adattiva volta a sottrarre credenziali PEC.
💣 #IoC 666
🦠 #Malware 6 (famiglie)
🐟 #Phishing 14 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-10-16-giugno-2023/
🇮🇹 Riprende la campagna #Ursnif a tema Agenzia delle Entrate che fa riferimento ad una finta ricevuta di pagamento.
✉️ L'e-mail contiene un allegato PDF con un link ad un file ZIP da cui si estrae un JS
⚔️ Come già osservato per altre recenti campagne malware, è in crescita l'uso di allegati PDF e di JS utilizzati come dropper.
➡️ Si invita a prestare attenzione ad e-mail contenenti allegati e di verificare la propria posizione con l'Ente solo dal portale ufficiale.
💣 Disponibili gli IoC: 👇
Gli indicatori relativi a questa campagna sono già stati condivisi con le pubbliche organizzazioni accreditate al Flusso #IoC del CERT-AgID.
🔗 https://cert-agid.gov.it/wp-content/uploads/2023/06/ursnif_agenzia-entrate_21-06-2023.json
✉️ L'e-mail contiene un allegato PDF con un link ad un file ZIP da cui si estrae un JS
⚔️ Come già osservato per altre recenti campagne malware, è in crescita l'uso di allegati PDF e di JS utilizzati come dropper.
➡️ Si invita a prestare attenzione ad e-mail contenenti allegati e di verificare la propria posizione con l'Ente solo dal portale ufficiale.
💣 Disponibili gli IoC: 👇
Gli indicatori relativi a questa campagna sono già stati condivisi con le pubbliche organizzazioni accreditate al Flusso #IoC del CERT-AgID.
🔗 https://cert-agid.gov.it/wp-content/uploads/2023/06/ursnif_agenzia-entrate_21-06-2023.json
Sintesi riepilogativa delle campagne malevole nella settimana del 17 – 23 giugno 2023
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 27 campagne malevole di cui 25 con obiettivi italiani e due generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 549 indicatori di compromissione (IOC) individuati.
➡️ #Ursnif sfrutta ancora una volta il tema #AgenziaEntrate per compromettere gli utenti italiani.
➡️ #SmsSpy prende di mira clienti di istituto bancario italiano.
➡️ #Phishing #PEC campagna volta a sottrarre credenziali PEC.
💣 #IoC 549
🦠 #Malware 5 (famiglie)
🐟 #Phishing 10 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-17-23-giugno-2023/
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 27 campagne malevole di cui 25 con obiettivi italiani e due generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 549 indicatori di compromissione (IOC) individuati.
➡️ #Ursnif sfrutta ancora una volta il tema #AgenziaEntrate per compromettere gli utenti italiani.
➡️ #SmsSpy prende di mira clienti di istituto bancario italiano.
➡️ #Phishing #PEC campagna volta a sottrarre credenziali PEC.
💣 #IoC 549
🦠 #Malware 5 (famiglie)
🐟 #Phishing 10 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-17-23-giugno-2023/
🇮🇹 Nuova campagna #sLoad diffusa via #PEC
⚠️ A due mesi di distanza dall'ultima, è stata contrastata una nuova campagna volta a veicolare il malware sLoad tramite PEC. Le e-mail recapitate a numerosi destinatari invitano a cliccare sul link presente nel corpo del messaggio al fine di scaricare una finta fattura.
⚔️ Azioni di contrasto
➡️ Le attività di contrasto sono già state messe in atto con il supporto dei Gestori PEC.
➡️ Gli IoC sono stati diramati attraverso il Feed IoC del CERT-AgID verso i Gestori PEC e le strutture accreditate.
💣 Disponibili gli #IoC 👇
🔗 https://cert-agid.gov.it/news/malware/campagna-sload-veicolata-tramite-pec/
⚠️ A due mesi di distanza dall'ultima, è stata contrastata una nuova campagna volta a veicolare il malware sLoad tramite PEC. Le e-mail recapitate a numerosi destinatari invitano a cliccare sul link presente nel corpo del messaggio al fine di scaricare una finta fattura.
⚔️ Azioni di contrasto
➡️ Le attività di contrasto sono già state messe in atto con il supporto dei Gestori PEC.
➡️ Gli IoC sono stati diramati attraverso il Feed IoC del CERT-AgID verso i Gestori PEC e le strutture accreditate.
💣 Disponibili gli #IoC 👇
🔗 https://cert-agid.gov.it/news/malware/campagna-sload-veicolata-tramite-pec/
Sintesi riepilogativa delle campagne malevole nella settimana del 24 – 30 giugno 2023
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 25 campagne malevole che hanno interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 212 indicatori di compromissione (IOC) individuati.
➡️ #sLoad a distanza di due mesi torna a colpire le #PEC.
➡️ #Rhadamanthys già noto ma osservato per la prima volta in Italia.
➡️ #Phishing #AgenziaEntrate volto a sottrarre gli estremi della carta di credito.
💣 #IoC 212
🦠 #Malware 8 (famiglie)
🐟 #Phishing 9 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-24-30-giugno-2023/
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 25 campagne malevole che hanno interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 212 indicatori di compromissione (IOC) individuati.
➡️ #sLoad a distanza di due mesi torna a colpire le #PEC.
➡️ #Rhadamanthys già noto ma osservato per la prima volta in Italia.
➡️ #Phishing #AgenziaEntrate volto a sottrarre gli estremi della carta di credito.
💣 #IoC 212
🦠 #Malware 8 (famiglie)
🐟 #Phishing 9 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-24-30-giugno-2023/
🇮🇹 Malware #PEC: dopo #sLoad è la volta di #Vidar
ℹ️ L’attacco, iniziato alle ore 00:02 del 05-07-2023 e durato 2 ore, ha sfruttato una serie di PEC precedentemente compromesse per inviare comunicazioni verso altre PEC con un link che invita a scaricare una finta fattura.
⚠️ Al fine di occultare le richieste, facendole passare per lecite, ed ottenere informazioni sugli IP da contattare, Vidar effettua connessioni lecite ad un profilo utente Steam e ad un canale Telegram da cui recupera gli indirizzi dei server con cui stabilire una comunicazione.
💰 #Vidar è un MaaS recente appartenente alla famiglia degli infostealer che, una volta preso possesso di un sistema, provvede ad acquisire informazioni da:
➡️ Browser più diffusi: password, cookie, auto completamento e cronologia;
➡️ Portafogli digitali;
➡️ Carte di credito;
➡️ Autorizzazione Telegram;
➡️ Credenziali di accesso FTP, WINSCP, MAIL.
ℹ️ Info e #IoC 💣
🔗 https://cert-agid.gov.it/news/malware-pec-dopo-sload-e-la-volta-di-vidar/
ℹ️ L’attacco, iniziato alle ore 00:02 del 05-07-2023 e durato 2 ore, ha sfruttato una serie di PEC precedentemente compromesse per inviare comunicazioni verso altre PEC con un link che invita a scaricare una finta fattura.
⚠️ Al fine di occultare le richieste, facendole passare per lecite, ed ottenere informazioni sugli IP da contattare, Vidar effettua connessioni lecite ad un profilo utente Steam e ad un canale Telegram da cui recupera gli indirizzi dei server con cui stabilire una comunicazione.
💰 #Vidar è un MaaS recente appartenente alla famiglia degli infostealer che, una volta preso possesso di un sistema, provvede ad acquisire informazioni da:
➡️ Browser più diffusi: password, cookie, auto completamento e cronologia;
➡️ Portafogli digitali;
➡️ Carte di credito;
➡️ Autorizzazione Telegram;
➡️ Credenziali di accesso FTP, WINSCP, MAIL.
ℹ️ Info e #IoC 💣
🔗 https://cert-agid.gov.it/news/malware-pec-dopo-sload-e-la-volta-di-vidar/
Sintesi riepilogativa delle campagne malevole nella settimana del 01 – 07 luglio 2023
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 23 campagne malevole, di cui 18 con obiettivi italiani e 5 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 180 indicatori di compromissione (IOC) individuati.
➡️ #Vidar campagna massiva volta a colpire le #PEC.
➡️ #AgentTesla anche per questa settimana è il malware più diffuso in Italia.
➡️ #Smishing #INPS con lo scopo di sottrarre documenti di identità.
💣 #IoC 180
🦠 #Malware 5 (famiglie)
🐟 #Phishing 8 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-01-07-luglio-2023/
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 23 campagne malevole, di cui 18 con obiettivi italiani e 5 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 180 indicatori di compromissione (IOC) individuati.
➡️ #Vidar campagna massiva volta a colpire le #PEC.
➡️ #AgentTesla anche per questa settimana è il malware più diffuso in Italia.
➡️ #Smishing #INPS con lo scopo di sottrarre documenti di identità.
💣 #IoC 180
🦠 #Malware 5 (famiglie)
🐟 #Phishing 8 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-01-07-luglio-2023/
Sintesi riepilogativa delle campagne 🇮🇹 malevole nella settimana del 08 – 14 luglio 2023
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 54 campagne malevole, di cui 50 con obiettivi italiani e 4 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 337 indicatori di compromissione (IOC) individuati.
➡️ #AgentTesla #Formbook e #Remcos sono i malware più diffusi in Italia.
➡️ #Rhadamanthys continua a farsi strada in Italia con campagne mirate.
➡️ #Phishing adattivo volto a sottrarre credenziali delle webmail #PEC
💣 #IoC 337
🦠 #Malware 8 (famiglie)
🐟 #Phishing 16 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-08-14-luglio-2023/
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 54 campagne malevole, di cui 50 con obiettivi italiani e 4 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 337 indicatori di compromissione (IOC) individuati.
➡️ #AgentTesla #Formbook e #Remcos sono i malware più diffusi in Italia.
➡️ #Rhadamanthys continua a farsi strada in Italia con campagne mirate.
➡️ #Phishing adattivo volto a sottrarre credenziali delle webmail #PEC
💣 #IoC 337
🦠 #Malware 8 (famiglie)
🐟 #Phishing 16 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-08-14-luglio-2023/
Sintesi riepilogativa delle campagne 🇮🇹 malevole nella settimana del 15 – 21 luglio 2023
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 61 campagne malevole, di cui 60 con obiettivi italiani ed una generica che ha comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 208 indicatori di compromissione (IOC) individuati.
➡️ #AgentTesla è il malware più diffuso in Italia. Insieme a #StrelaStealer e #IcdedID sfrutta allegati PDF per scaricare JS malevoli
💣 #IoC 208
🦠 #Malware 5 (famiglie)
🐟 #Phishing 17 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-15-21-luglio-2023/
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 61 campagne malevole, di cui 60 con obiettivi italiani ed una generica che ha comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 208 indicatori di compromissione (IOC) individuati.
➡️ #AgentTesla è il malware più diffuso in Italia. Insieme a #StrelaStealer e #IcdedID sfrutta allegati PDF per scaricare JS malevoli
💣 #IoC 208
🦠 #Malware 5 (famiglie)
🐟 #Phishing 17 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-15-21-luglio-2023/
Campagna AgentTesla 🇮🇹 a tema Pagamenti
Allegato 📎 #XLAM
TTP ⚔️ - Equation Editor (CVE-2017-11882)
🔗 https://cert-agid.gov.it/wp-content/uploads/2023/08/agenttesla_07-08-2023.json
Allegato 📎 #XLAM
TTP ⚔️ - Equation Editor (CVE-2017-11882)
XLAM > CVE-2017-11882 > VBS > EXE > B64 > EXE > C2
💣 #IoC 👇🔗 https://cert-agid.gov.it/wp-content/uploads/2023/08/agenttesla_07-08-2023.json
Sintesi riepilogativa delle campagne malevole nella settimana del 05 – 11 Agosto 2023
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 51 campagne malevole, di cui 39 con obiettivi italiani e 12 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 444 indicatori di compromissione (IOC) individuati.
➡️ #AgentTesla è il malware più diffuso. Rilevate 10 campagne di cui una scritta in lingua italiana che sfrutta il CVE-2017-11882
➡️ #Vjw0rm torna in Italia dopo 8 mesi di assenza.
💣 #IoC 444
🦠 #Malware 5 (famiglie)
🐟 #Phishing 15 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-05-11-agosto-2023/
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 51 campagne malevole, di cui 39 con obiettivi italiani e 12 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 444 indicatori di compromissione (IOC) individuati.
➡️ #AgentTesla è il malware più diffuso. Rilevate 10 campagne di cui una scritta in lingua italiana che sfrutta il CVE-2017-11882
➡️ #Vjw0rm torna in Italia dopo 8 mesi di assenza.
💣 #IoC 444
🦠 #Malware 5 (famiglie)
🐟 #Phishing 15 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-05-11-agosto-2023/
Campagna #Remcos 🇮🇹 a tema Banking (Banca Sella)
✉️ Oggetto: Banca Sella Ricevuta di pagamento - Riferimento transazione: GLV21151080525 / Crediti ACH / Rif. seconda parte:[0200004190]
📎 Allegato: Pagamento Banca Sella _Swift_copy.7z
💣 Disponibili gli #IoC 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2023/08/remcos_banca-sella_14-08-2023.json
✉️ Oggetto: Banca Sella Ricevuta di pagamento - Riferimento transazione: GLV21151080525 / Crediti ACH / Rif. seconda parte:[0200004190]
📎 Allegato: Pagamento Banca Sella _Swift_copy.7z
💣 Disponibili gli #IoC 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2023/08/remcos_banca-sella_14-08-2023.json
Campagna di Phishing in corso ai danni di clienti #Aruba (espone anche logo Legalmail di #Infocert) con lo scopo di sottrarre credenziali di Posta Elettronica Certificata #PEC
✉️ Oggetto: ArubaPEC Notification: Avviso scadenza password 31/08/2023
💣 #IoC 👇
⚔️ Azioni di contrasto:
➡️ diffusione di #IoC alle PA e Gestori PEC
➡️ segnalazione al servizio abuse di Weebly
✉️ Oggetto: ArubaPEC Notification: Avviso scadenza password 31/08/2023
💣 #IoC 👇
https:// arubapec . weebly .com/ℹ️ La stessa pagina di phishing risulta ospitata anche su altri servizi
https:// anubapec . weebly .com/
⚔️ Azioni di contrasto:
➡️ diffusione di #IoC alle PA e Gestori PEC
➡️ segnalazione al servizio abuse di Weebly
Sintesi riepilogativa delle campagne malevole nella settimana del 11 – 18 Agosto 2023
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 38 campagne malevole, di cui 29 con obiettivi italiani e 9 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 310 indicatori di compromissione (IOC) individuati.
➡️ #AgentTesla è il malware più diffuso.
➡️ #Remcos sfrutta il tema Banking (Banca Sella).
➡️ #Phishing volto a sottrarre credenziali PEC di clienti Aruba.
💣 #IoC 310
🦠 #Malware 8 (famiglie)
🐟 #Phishing 10 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-12-18-agosto-2023/
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 38 campagne malevole, di cui 29 con obiettivi italiani e 9 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 310 indicatori di compromissione (IOC) individuati.
➡️ #AgentTesla è il malware più diffuso.
➡️ #Remcos sfrutta il tema Banking (Banca Sella).
➡️ #Phishing volto a sottrarre credenziali PEC di clienti Aruba.
💣 #IoC 310
🦠 #Malware 8 (famiglie)
🐟 #Phishing 10 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-12-18-agosto-2023/
Phishing #AgenziaEntrate attivo su due domini
💣 #IoC 👇
⚔️ Azioni di contrasto:
➡️ diffusione di #IoC alle PA accreditate
💣 #IoC 👇
agenziaentrati . com💳 L'obiettivo è quello di sottrarre gli estremi della carta di credito
agenziaentrato . com
⚔️ Azioni di contrasto:
➡️ diffusione di #IoC alle PA accreditate