Il template è sempre lo stesso, le metodologie utilizzate per compromettere i sistemi sono rimaste invariate, le share sono sempre ospitate su server remoti localizzati in Russia 🇷🇺, il target è sempre l'Italia 🇮🇹
➡️ SystemBC
Stamattina è stata osservata una nuova ondata finalizzata a compromettere le vittime con il malware noto con il nome di #SystemBC
➡️ Remcos
Pochi minuti fa le share sono state aggiornate con un nuovo eseguibile, ancora una volta #Remcos
🦠 Da malware infostealer, quale è #Ursnif, ad applicazioni come #Remcos e #SystemBC ideati per il controllo remoto dei sistemi compromessi.
🤔 Quali le reali motivazioni dietro alla scelta di cambiare strategia? Qui qualche ipotesi.
💣 Indicatori di compromissione 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2023/11/systembc_remcos_agenzia-entrate_16-11-2023.json
➡️ SystemBC
Stamattina è stata osservata una nuova ondata finalizzata a compromettere le vittime con il malware noto con il nome di #SystemBC
➡️ Remcos
Pochi minuti fa le share sono state aggiornate con un nuovo eseguibile, ancora una volta #Remcos
🦠 Da malware infostealer, quale è #Ursnif, ad applicazioni come #Remcos e #SystemBC ideati per il controllo remoto dei sistemi compromessi.
🤔 Quali le reali motivazioni dietro alla scelta di cambiare strategia? Qui qualche ipotesi.
💣 Indicatori di compromissione 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2023/11/systembc_remcos_agenzia-entrate_16-11-2023.json
Sintesi riepilogativa delle campagne malevole nella settimana del 11 - 17 Novembre 2023
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 28 campagne malevole, di cui 24 con obiettivi italiani e 4 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 464 indicatori di compromissione (IOC) individuati.
🔥 Rilevate campagne massive malware e phishing veicolate in Italia sfruttando il tema #AgenziaEntrate.
➡️ #Phishing #AgenziaEntrate ospitato su dominio ad-hoc
➡️ #Remcos e #SystemBC a tema #AgenziaEntrate
➡️ Prosegue lo #smishing ai danni di utenti #INPS
💣 #IoC 464
🦠 #Malware 8 (famiglie)
🐟 #Phishing 10 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-11-17-novembre-2023/
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 28 campagne malevole, di cui 24 con obiettivi italiani e 4 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 464 indicatori di compromissione (IOC) individuati.
🔥 Rilevate campagne massive malware e phishing veicolate in Italia sfruttando il tema #AgenziaEntrate.
➡️ #Phishing #AgenziaEntrate ospitato su dominio ad-hoc
➡️ #Remcos e #SystemBC a tema #AgenziaEntrate
➡️ Prosegue lo #smishing ai danni di utenti #INPS
💣 #IoC 464
🦠 #Malware 8 (famiglie)
🐟 #Phishing 10 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-11-17-novembre-2023/
🇮🇹 Si osserva la ripresa massiva di campagne a tema #AgenziaEntrate per diffondere il RAT #Remcos in Italia
✉️ Comitato di monitoraggio dell'anagrafe tributaria
⚠️ La campagna odierna utilizza e-mail con un link che punta al download di un file ZIP contenente file URL da cui la connessione a SMB, sempre su IP 🇷🇺 già osservati la scorsa settimana, da cui si ottiene un ulteriore file ZIP con all'interno un contenitore VHD
ℹ️ Si invita a prestare attenzione a questo genere di comunicazioni. Nel dubbio inoltrare l'email a 📨 malware@cert-agid.gov.it
💣 Disponibili gli IoC (nuovi 🔥 C2): 👇
Gli indicatori relativi a questa campagna sono già stati condivisi con le pubbliche organizzazioni accreditate al Flusso #IoC del CERT-AgID.
🔗 https://cert-agid.gov.it/wp-content/uploads/2023/11/remcos_agenzia-entrate_20-11-2023.json
✉️ Comitato di monitoraggio dell'anagrafe tributaria
⚠️ La campagna odierna utilizza e-mail con un link che punta al download di un file ZIP contenente file URL da cui la connessione a SMB, sempre su IP 🇷🇺 già osservati la scorsa settimana, da cui si ottiene un ulteriore file ZIP con all'interno un contenitore VHD
ℹ️ Si invita a prestare attenzione a questo genere di comunicazioni. Nel dubbio inoltrare l'email a 📨 malware@cert-agid.gov.it
💣 Disponibili gli IoC (nuovi 🔥 C2): 👇
Gli indicatori relativi a questa campagna sono già stati condivisi con le pubbliche organizzazioni accreditate al Flusso #IoC del CERT-AgID.
🔗 https://cert-agid.gov.it/wp-content/uploads/2023/11/remcos_agenzia-entrate_20-11-2023.json
🇮🇹 La campagna #AgenziaEntrate cambia malware: da #Remcos a #SystemBC
📂 SMB con 2 file ZIP: azienda (usa VHD) e config (usa CPL)
💣 Disponibili gli IoC: 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2023/11/systembc_agenzia-entrate_20-11-2023.json
📂 SMB con 2 file ZIP: azienda (usa VHD) e config (usa CPL)
💣 Disponibili gli IoC: 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2023/11/systembc_agenzia-entrate_20-11-2023.json
🇮🇹 Osservata una campagna massiva, in lingua inglese, mirata a veicolare #Vidar in Italia
⚔️ TTP già osservate nelle campagne italiane del mese di luglio e settembre.
🔥 C2 riportati sulla bio dei profili #Telegram e #SteamCommunity
🥷 #Vidar è un (MaaS) #Infostealer che ruba dati da 🌐 browser e 💰crypto
🖥 Botnet: 66d856e8702aaf9d4f3e8b547d773e5f
✅ Versione: 6.6
💣 Indicatori di compromissione 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2023/11/vidar_24-11-2023.json
⚔️ TTP già osservate nelle campagne italiane del mese di luglio e settembre.
🔥 C2 riportati sulla bio dei profili #Telegram e #SteamCommunity
🥷 #Vidar è un (MaaS) #Infostealer che ruba dati da 🌐 browser e 💰crypto
🖥 Botnet: 66d856e8702aaf9d4f3e8b547d773e5f
✅ Versione: 6.6
💣 Indicatori di compromissione 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2023/11/vidar_24-11-2023.json
Sintesi riepilogativa delle campagne malevole nella settimana del 18-24 Novembre 2023
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 43 campagne malevole, di cui 38 con obiettivi italiani e 5 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 537 indicatori di compromissione (IOC) individuati.
➡️ #Remcos e #SytemBC veicolate massivamente tramite false comunicazioni #AgenziaEntrate
➡️ #Vidar veicolato in Italia riporta i C2 sulle bio dei profili #Telegram e #SteamCommunity
💣 #IoC 537
🦠 #Malware 6 (famiglie)
🐟 #Phishing 8 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-18-24-novembre-2023/
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 43 campagne malevole, di cui 38 con obiettivi italiani e 5 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 537 indicatori di compromissione (IOC) individuati.
➡️ #Remcos e #SytemBC veicolate massivamente tramite false comunicazioni #AgenziaEntrate
➡️ #Vidar veicolato in Italia riporta i C2 sulle bio dei profili #Telegram e #SteamCommunity
💣 #IoC 537
🦠 #Malware 6 (famiglie)
🐟 #Phishing 8 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-18-24-novembre-2023/
🇮🇹 I Threat Actors (TA) dietro le campagne con target Italia abusano di strumenti (legittimi) per il controllo remoto
Dopo #Netsupport, #Remcos, #SystemBC oggi è la volta di #Anyplace
✉️ La campagna #Anyplace osservata in data odierna sfrutta il tema Pagamenti
⚔️ Per la compromissione viene utilizzato un file RAR autoestraente mascherato da PDF
💣 Indicatori di compromissione 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2023/11/anyplace_27-11-2023.json
Dopo #Netsupport, #Remcos, #SystemBC oggi è la volta di #Anyplace
✉️ La campagna #Anyplace osservata in data odierna sfrutta il tema Pagamenti
⚔️ Per la compromissione viene utilizzato un file RAR autoestraente mascherato da PDF
💣 Indicatori di compromissione 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2023/11/anyplace_27-11-2023.json
🇮🇹 #SpyNote aggiunge un ulteriore livello di offuscamento delle stringhe
⚔️ Osservata in Italia una nuova versione di #SpyNote che aggiunge alcune funzioni (XOR) a protezione delle stringhe (compreso C2) precedentemente riportate in chiaro o codificate in base64.
📱 La campagna è diffusa tramite #SMS a tema bancario.
🛠 Le funzionalità del malware sono rimaste invariate.
ℹ️ Per ulteriori informazioni si consiglia di consultare l'analisi del mese di ottobre 2023
⚔️ Osservata in Italia una nuova versione di #SpyNote che aggiunge alcune funzioni (XOR) a protezione delle stringhe (compreso C2) precedentemente riportate in chiaro o codificate in base64.
📱 La campagna è diffusa tramite #SMS a tema bancario.
🛠 Le funzionalità del malware sono rimaste invariate.
ℹ️ Per ulteriori informazioni si consiglia di consultare l'analisi del mese di ottobre 2023
Sintesi riepilogativa delle campagne malevole nella settimana del 25 Novembre - 1 Dicembre 2023
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 34 campagne malevole, di cui 29 con obiettivi italiani e 5 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 390 indicatori di compromissione (IOC) individuati.
➡️ #AgentTesla diffuso massivamente in Italia
➡️ #Remcos continua ondata a tema Paypal con i C2 della scorsa settimana
➡️ #Anyplace i Threat Actors (TA) dietro le campagne con target Italia abusano di strumenti (legittimi) per il controllo remoto
➡️ #SpyNote aggiunge un nuovo livello di offuscamento delle stringhe
💣 #IoC 390
🦠 #Malware 11 (famiglie)
🐟 #Phishing 7 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-25-novembre-1-dicembre-2023/
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 34 campagne malevole, di cui 29 con obiettivi italiani e 5 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 390 indicatori di compromissione (IOC) individuati.
➡️ #AgentTesla diffuso massivamente in Italia
➡️ #Remcos continua ondata a tema Paypal con i C2 della scorsa settimana
➡️ #Anyplace i Threat Actors (TA) dietro le campagne con target Italia abusano di strumenti (legittimi) per il controllo remoto
➡️ #SpyNote aggiunge un nuovo livello di offuscamento delle stringhe
💣 #IoC 390
🦠 #Malware 11 (famiglie)
🐟 #Phishing 7 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-25-novembre-1-dicembre-2023/
Sintesi riepilogativa delle campagne malevole nella settimana del 2 - 9 Dicembre 2023
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 23 campagne malevole con obiettivi italiani, mettendo a disposizione dei suoi enti accreditati i relativi 182 indicatori di compromissione (IOC) individuati.
➡️ #SpyNote prosegue con le campagne di smishing a tema Banking volte ad installare il malware sui dispositivi android delle vittime italiane.
➡️ #Pikabot continua l'ondata di campagne mirate per l'Italia
➡️ Contrastate nuove campagne di #smishing ai danni di clienti #INPS
💣 #IoC 182
🦠 #Malware 4 (famiglie)
🐟 #Phishing 7 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-2-9-dicembre-2023/
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 23 campagne malevole con obiettivi italiani, mettendo a disposizione dei suoi enti accreditati i relativi 182 indicatori di compromissione (IOC) individuati.
➡️ #SpyNote prosegue con le campagne di smishing a tema Banking volte ad installare il malware sui dispositivi android delle vittime italiane.
➡️ #Pikabot continua l'ondata di campagne mirate per l'Italia
➡️ Contrastate nuove campagne di #smishing ai danni di clienti #INPS
💣 #IoC 182
🦠 #Malware 4 (famiglie)
🐟 #Phishing 7 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-2-9-dicembre-2023/
Sintesi riepilogativa delle campagne malevole nella settimana del 9 - 15 Dicembre 2023
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 35 campagne malevole, di cui 34 con obiettivi italiani ed una generica che ha comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 775 indicatori di compromissione (IOC) individuati.
➡️ #SpyNote prosegue con le campagne di #smishing volte ad installare il malware sui dispositivi android delle vittime italiane. I campioni analizzati riconducono alla versione utilizzata nel mese di ottobre.
➡️ #Pikabot e #AgentTesla continuano con le ondate di campagne mirate per l'Italia.
💣 #IoC 775
🦠 #Malware 5 (famiglie)
🐟 #Phishing 8 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-09-15-dicembre-2023/
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 35 campagne malevole, di cui 34 con obiettivi italiani ed una generica che ha comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 775 indicatori di compromissione (IOC) individuati.
➡️ #SpyNote prosegue con le campagne di #smishing volte ad installare il malware sui dispositivi android delle vittime italiane. I campioni analizzati riconducono alla versione utilizzata nel mese di ottobre.
➡️ #Pikabot e #AgentTesla continuano con le ondate di campagne mirate per l'Italia.
💣 #IoC 775
🦠 #Malware 5 (famiglie)
🐟 #Phishing 8 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-09-15-dicembre-2023/
Il malware #Vidar attacca ancora una volta le #PEC in Italia
ℹ️ È stata contrastata una nuova campagna di malspam volta a diffondere massivamente il malware Vidar attraverso messaggi di Posta Elettronica Certificata. La campagna è durata appena 20 minuti, dalle ore 00:07 alle 00:27 ma questo breve arco di tempo è stato comunque sufficiente a raggiungere un numero considerevole di caselle PEC.
🦠 #Vidar è un Malware as a Service che ha lo scopo di carpire:
➡️ Browser: password, cookie, etc;
➡️ Portafogli digitali;
➡️ Dati relativi alle carte di credito;
➡️ Autorizzazione Telegram;
➡️ Credenziali di accesso FTP, WINSCP, MAIL.
Dettagli e IoC
🔗 https://cert-agid.gov.it/news/il-malware-vidar-attacca-ancora-una-volta-le-pec-in-italia/
ℹ️ È stata contrastata una nuova campagna di malspam volta a diffondere massivamente il malware Vidar attraverso messaggi di Posta Elettronica Certificata. La campagna è durata appena 20 minuti, dalle ore 00:07 alle 00:27 ma questo breve arco di tempo è stato comunque sufficiente a raggiungere un numero considerevole di caselle PEC.
🦠 #Vidar è un Malware as a Service che ha lo scopo di carpire:
➡️ Browser: password, cookie, etc;
➡️ Portafogli digitali;
➡️ Dati relativi alle carte di credito;
➡️ Autorizzazione Telegram;
➡️ Credenziali di accesso FTP, WINSCP, MAIL.
Dettagli e IoC
🔗 https://cert-agid.gov.it/news/il-malware-vidar-attacca-ancora-una-volta-le-pec-in-italia/
SMTP smuggling: facciamo luce su un problema sottovalutato
Con questa nota si intende descrivere sinteticamente lo scenario tecnico in cui l’SMTP smuggling si potrebbe attuare.
ℹ️ La vulnerabilità non è nelle specifiche dei protocolli SMTP, ma nelle loro implementazioni, che, vuoi per ragioni di interoperabilità verso mailer non conformi, vuoi per interpretazione non conformi allo standard, hanno portato a questa vulnerabilità del sistema email Internet.
Link: https://cert-agid.gov.it/news/smtp-smuggling-facciamo-luce-su-un-problema-sottovalutato/
Con questa nota si intende descrivere sinteticamente lo scenario tecnico in cui l’SMTP smuggling si potrebbe attuare.
ℹ️ La vulnerabilità non è nelle specifiche dei protocolli SMTP, ma nelle loro implementazioni, che, vuoi per ragioni di interoperabilità verso mailer non conformi, vuoi per interpretazione non conformi allo standard, hanno portato a questa vulnerabilità del sistema email Internet.
Link: https://cert-agid.gov.it/news/smtp-smuggling-facciamo-luce-su-un-problema-sottovalutato/