Sintesi riepilogativa delle campagne malevole nella settimana del 25 Novembre - 1 Dicembre 2023
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 34 campagne malevole, di cui 29 con obiettivi italiani e 5 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 390 indicatori di compromissione (IOC) individuati.
➡️ #AgentTesla diffuso massivamente in Italia
➡️ #Remcos continua ondata a tema Paypal con i C2 della scorsa settimana
➡️ #Anyplace i Threat Actors (TA) dietro le campagne con target Italia abusano di strumenti (legittimi) per il controllo remoto
➡️ #SpyNote aggiunge un nuovo livello di offuscamento delle stringhe
💣 #IoC 390
🦠 #Malware 11 (famiglie)
🐟 #Phishing 7 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-25-novembre-1-dicembre-2023/
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 34 campagne malevole, di cui 29 con obiettivi italiani e 5 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 390 indicatori di compromissione (IOC) individuati.
➡️ #AgentTesla diffuso massivamente in Italia
➡️ #Remcos continua ondata a tema Paypal con i C2 della scorsa settimana
➡️ #Anyplace i Threat Actors (TA) dietro le campagne con target Italia abusano di strumenti (legittimi) per il controllo remoto
➡️ #SpyNote aggiunge un nuovo livello di offuscamento delle stringhe
💣 #IoC 390
🦠 #Malware 11 (famiglie)
🐟 #Phishing 7 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-25-novembre-1-dicembre-2023/
Sintesi riepilogativa delle campagne malevole nella settimana del 2 - 9 Dicembre 2023
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 23 campagne malevole con obiettivi italiani, mettendo a disposizione dei suoi enti accreditati i relativi 182 indicatori di compromissione (IOC) individuati.
➡️ #SpyNote prosegue con le campagne di smishing a tema Banking volte ad installare il malware sui dispositivi android delle vittime italiane.
➡️ #Pikabot continua l'ondata di campagne mirate per l'Italia
➡️ Contrastate nuove campagne di #smishing ai danni di clienti #INPS
💣 #IoC 182
🦠 #Malware 4 (famiglie)
🐟 #Phishing 7 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-2-9-dicembre-2023/
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 23 campagne malevole con obiettivi italiani, mettendo a disposizione dei suoi enti accreditati i relativi 182 indicatori di compromissione (IOC) individuati.
➡️ #SpyNote prosegue con le campagne di smishing a tema Banking volte ad installare il malware sui dispositivi android delle vittime italiane.
➡️ #Pikabot continua l'ondata di campagne mirate per l'Italia
➡️ Contrastate nuove campagne di #smishing ai danni di clienti #INPS
💣 #IoC 182
🦠 #Malware 4 (famiglie)
🐟 #Phishing 7 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-2-9-dicembre-2023/
Sintesi riepilogativa delle campagne malevole nella settimana del 9 - 15 Dicembre 2023
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 35 campagne malevole, di cui 34 con obiettivi italiani ed una generica che ha comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 775 indicatori di compromissione (IOC) individuati.
➡️ #SpyNote prosegue con le campagne di #smishing volte ad installare il malware sui dispositivi android delle vittime italiane. I campioni analizzati riconducono alla versione utilizzata nel mese di ottobre.
➡️ #Pikabot e #AgentTesla continuano con le ondate di campagne mirate per l'Italia.
💣 #IoC 775
🦠 #Malware 5 (famiglie)
🐟 #Phishing 8 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-09-15-dicembre-2023/
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 35 campagne malevole, di cui 34 con obiettivi italiani ed una generica che ha comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 775 indicatori di compromissione (IOC) individuati.
➡️ #SpyNote prosegue con le campagne di #smishing volte ad installare il malware sui dispositivi android delle vittime italiane. I campioni analizzati riconducono alla versione utilizzata nel mese di ottobre.
➡️ #Pikabot e #AgentTesla continuano con le ondate di campagne mirate per l'Italia.
💣 #IoC 775
🦠 #Malware 5 (famiglie)
🐟 #Phishing 8 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-09-15-dicembre-2023/
Il malware #Vidar attacca ancora una volta le #PEC in Italia
ℹ️ È stata contrastata una nuova campagna di malspam volta a diffondere massivamente il malware Vidar attraverso messaggi di Posta Elettronica Certificata. La campagna è durata appena 20 minuti, dalle ore 00:07 alle 00:27 ma questo breve arco di tempo è stato comunque sufficiente a raggiungere un numero considerevole di caselle PEC.
🦠 #Vidar è un Malware as a Service che ha lo scopo di carpire:
➡️ Browser: password, cookie, etc;
➡️ Portafogli digitali;
➡️ Dati relativi alle carte di credito;
➡️ Autorizzazione Telegram;
➡️ Credenziali di accesso FTP, WINSCP, MAIL.
Dettagli e IoC
🔗 https://cert-agid.gov.it/news/il-malware-vidar-attacca-ancora-una-volta-le-pec-in-italia/
ℹ️ È stata contrastata una nuova campagna di malspam volta a diffondere massivamente il malware Vidar attraverso messaggi di Posta Elettronica Certificata. La campagna è durata appena 20 minuti, dalle ore 00:07 alle 00:27 ma questo breve arco di tempo è stato comunque sufficiente a raggiungere un numero considerevole di caselle PEC.
🦠 #Vidar è un Malware as a Service che ha lo scopo di carpire:
➡️ Browser: password, cookie, etc;
➡️ Portafogli digitali;
➡️ Dati relativi alle carte di credito;
➡️ Autorizzazione Telegram;
➡️ Credenziali di accesso FTP, WINSCP, MAIL.
Dettagli e IoC
🔗 https://cert-agid.gov.it/news/il-malware-vidar-attacca-ancora-una-volta-le-pec-in-italia/
SMTP smuggling: facciamo luce su un problema sottovalutato
Con questa nota si intende descrivere sinteticamente lo scenario tecnico in cui l’SMTP smuggling si potrebbe attuare.
ℹ️ La vulnerabilità non è nelle specifiche dei protocolli SMTP, ma nelle loro implementazioni, che, vuoi per ragioni di interoperabilità verso mailer non conformi, vuoi per interpretazione non conformi allo standard, hanno portato a questa vulnerabilità del sistema email Internet.
Link: https://cert-agid.gov.it/news/smtp-smuggling-facciamo-luce-su-un-problema-sottovalutato/
Con questa nota si intende descrivere sinteticamente lo scenario tecnico in cui l’SMTP smuggling si potrebbe attuare.
ℹ️ La vulnerabilità non è nelle specifiche dei protocolli SMTP, ma nelle loro implementazioni, che, vuoi per ragioni di interoperabilità verso mailer non conformi, vuoi per interpretazione non conformi allo standard, hanno portato a questa vulnerabilità del sistema email Internet.
Link: https://cert-agid.gov.it/news/smtp-smuggling-facciamo-luce-su-un-problema-sottovalutato/
📈 Report riepilogativo sull’andamento delle campagne malevole che hanno interessato l’Italia nel 2023
Questo report offre un quadro sintetico sui numeri delle principali campagne malevole che hanno interessato l’Italia nel corso del 2023. Le informazioni qui presentate sono state raccolte dal CERT-AGID attraverso diverse fonti e metodologie, comprese le segnalazioni provenienti da enti privati o pubbliche amministrazioni, rilevazioni tramite sistemi automatizzati del CERT, analisi dettagliate di campioni di malware e indagini sugli incidenti trattati.
➡️ I 10 malware che hanno maggiormente interessato il Paese
➡️ I 10 temi più sfruttati per veicolare malware
➡️ Canali di diffusione delle campagne malevole
➡️ Malware per dispositivi mobili basati su sistemi Android
➡️ Tipologie di file utilizzati per veicolare malware
Consulta i dettagli 👇
🔗 https://cert-agid.gov.it/news/report-riepilogativo-sullandamento-delle-campagne-malevole-che-hanno-interessato-litalia-nel-2023/
Questo report offre un quadro sintetico sui numeri delle principali campagne malevole che hanno interessato l’Italia nel corso del 2023. Le informazioni qui presentate sono state raccolte dal CERT-AGID attraverso diverse fonti e metodologie, comprese le segnalazioni provenienti da enti privati o pubbliche amministrazioni, rilevazioni tramite sistemi automatizzati del CERT, analisi dettagliate di campioni di malware e indagini sugli incidenti trattati.
➡️ I 10 malware che hanno maggiormente interessato il Paese
➡️ I 10 temi più sfruttati per veicolare malware
➡️ Canali di diffusione delle campagne malevole
➡️ Malware per dispositivi mobili basati su sistemi Android
➡️ Tipologie di file utilizzati per veicolare malware
Consulta i dettagli 👇
🔗 https://cert-agid.gov.it/news/report-riepilogativo-sullandamento-delle-campagne-malevole-che-hanno-interessato-litalia-nel-2023/
Sintesi riepilogativa delle campagne malevole nella settimana del 06 - 12 Gennaio 2024
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 21 campagne malevole con obiettivi italiani, mettendo a disposizione dei suoi enti accreditati i relativi 143 indicatori di compromissione (IOC) individuati.
➡️ #Astaroth osservato per la prima volta in Italia
➡️ #Irata campagna volta a compromettere dispositivi Android
➡️ #AgentTesla continua con le ondate di campagne mirate per l'Italia
💣 #IoC 143
🦠 #Malware 4 (famiglie)
🐟 #Phishing 7 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-02-12-gennaio-2024/
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 21 campagne malevole con obiettivi italiani, mettendo a disposizione dei suoi enti accreditati i relativi 143 indicatori di compromissione (IOC) individuati.
➡️ #Astaroth osservato per la prima volta in Italia
➡️ #Irata campagna volta a compromettere dispositivi Android
➡️ #AgentTesla continua con le ondate di campagne mirate per l'Italia
💣 #IoC 143
🦠 #Malware 4 (famiglie)
🐟 #Phishing 7 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-02-12-gennaio-2024/
Campagne di #Phishing adattivo abusano di #IPFS e del servizio #GoogleWebLight
🌐 Redirect tramite GoogleWebLight:
➡️ https://googleweblight[.]com/i?u={IPFS URL redirect}
➡️ https://googleweblight[.]com/?lite_url={IPFS URL redirect}
⛓ Tipologie di IPFS URL:
➡️ https://ipfs-gateway/ipfs/{60_caratteri}?filename={nome_file}.html
➡️ https://ipfs-gateway/ipfs/{60_caratteri}/#{indirizzo_email}
🔍 Approfondimenti:
✅ GoogleWebLight
✅ IPFS Gateway
✅ Phishing Adattivo
🌐 Redirect tramite GoogleWebLight:
➡️ https://googleweblight[.]com/i?u={IPFS URL redirect}
➡️ https://googleweblight[.]com/?lite_url={IPFS URL redirect}
⛓ Tipologie di IPFS URL:
➡️ https://ipfs-gateway/ipfs/{60_caratteri}?filename={nome_file}.html
➡️ https://ipfs-gateway/ipfs/{60_caratteri}/#{indirizzo_email}
🔍 Approfondimenti:
✅ GoogleWebLight
✅ IPFS Gateway
✅ Phishing Adattivo
Sintesi riepilogativa delle campagne malevole nella settimana del 13 - 19 Gennaio 2024
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 17 campagne malevole, di cui 12 con obiettivi italiani e 5 generiche che hanno comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 163 indicatori di compromissione (IOC) individuati.
➡️ #Malware #RAT ospitato su dominio italiano progettato per rilasciare ed eseguire #UltraVNC insieme al file di configurazione contenente host e porta a cui collegarsi.
➡️ #Irata continuano le campagne malware volte a compromettere i dispositivi android degli italiani.
➡️ #Phishing #Adattivo che abusa di IPFS e del servizio Google Web Light.
💣 #IoC 163
🦠 #Malware 6 (famiglie)
🐟 #Phishing 7 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-13-19-gennaio-2024/
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 17 campagne malevole, di cui 12 con obiettivi italiani e 5 generiche che hanno comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 163 indicatori di compromissione (IOC) individuati.
➡️ #Malware #RAT ospitato su dominio italiano progettato per rilasciare ed eseguire #UltraVNC insieme al file di configurazione contenente host e porta a cui collegarsi.
➡️ #Irata continuano le campagne malware volte a compromettere i dispositivi android degli italiani.
➡️ #Phishing #Adattivo che abusa di IPFS e del servizio Google Web Light.
💣 #IoC 163
🦠 #Malware 6 (famiglie)
🐟 #Phishing 7 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-13-19-gennaio-2024/
#Irata - Iranian Remote Access Tool Android - ha recentemente rivolto le sue campagne malevole verso l'Italia tramite l'utilizzo di messaggi SMS ingannevoli.
➡️ Le vittime ricevono un SMS che sembra provenire da una banca italiana.
➡️ Il messaggio invita a seguire un link per scaricare una applicazione Android malevola.
👁 Scopo della compromissione
1️⃣ Raccolta degli estremi delle carte di credito
2️⃣ Rendere il dispositivo della vittima un bot per inviare SMS
3️⃣ Ottenere accesso agli SMS di autenticazione a due fattori (2FA)
💣 Indicatori di compromissione
🔗 https://cert-agid.gov.it/wp-content/uploads/2024/01/irata_22-01-2024.json
➡️ Le vittime ricevono un SMS che sembra provenire da una banca italiana.
➡️ Il messaggio invita a seguire un link per scaricare una applicazione Android malevola.
👁 Scopo della compromissione
1️⃣ Raccolta degli estremi delle carte di credito
2️⃣ Rendere il dispositivo della vittima un bot per inviare SMS
3️⃣ Ottenere accesso agli SMS di autenticazione a due fattori (2FA)
💣 Indicatori di compromissione
🔗 https://cert-agid.gov.it/wp-content/uploads/2024/01/irata_22-01-2024.json
Sintesi riepilogativa delle campagne malevole nella settimana del 20 - 26 Gennaio 2024
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 26 campagne malevole, di cui 25 con obiettivi italiani ed una generica che ha comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 161 indicatori di compromissione (IOC) individuati.
➡️ #Astaroth insiste sul territorio italiano.
➡️ #Irata continuano le campagne malware volte a compromettere i dispositivi #android degli italiani.
➡️ Riprendono le campagne di #smishing volte a carpire documenti di identità di utenti #INPS.
💣 #IoC 161
🦠 #Malware 5 (famiglie)
🐟 #Phishing 8 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-20-26-gennaio-2024/
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 26 campagne malevole, di cui 25 con obiettivi italiani ed una generica che ha comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 161 indicatori di compromissione (IOC) individuati.
➡️ #Astaroth insiste sul territorio italiano.
➡️ #Irata continuano le campagne malware volte a compromettere i dispositivi #android degli italiani.
➡️ Riprendono le campagne di #smishing volte a carpire documenti di identità di utenti #INPS.
💣 #IoC 161
🦠 #Malware 5 (famiglie)
🐟 #Phishing 8 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-20-26-gennaio-2024/
🇮🇹 #Irata - Iranian Remote Access Tool Android
Dalla campagna odierna, connessa alla precedente, emergono ulteriori dettagli sull'estensione dell'organizzazione criminale.
➡️ Nuovo C2
➡️ Gruppi Telegram a cui inviare le informazioni
➡️ Un bot Telegram per ogni campagna
➡️ Repository con APK: BNL, Bizum, CheBanca, Caixa
💣 Indicatori di compromissione
🔗 https://cert-agid.gov.it/wp-content/uploads/2024/01/irata_30-01-2024.json
Dalla campagna odierna, connessa alla precedente, emergono ulteriori dettagli sull'estensione dell'organizzazione criminale.
➡️ Nuovo C2
➡️ Gruppi Telegram a cui inviare le informazioni
➡️ Un bot Telegram per ogni campagna
➡️ Repository con APK: BNL, Bizum, CheBanca, Caixa
💣 Indicatori di compromissione
🔗 https://cert-agid.gov.it/wp-content/uploads/2024/01/irata_30-01-2024.json
🇮🇹 Individuata campagna #Formbook italiana a tema Ordine
✉️ Oggetto: Nuovo ordine
📎 Allegato: XZ
💧Dropper verifica che la data > 28/09/2023 13:10 PM
ℹ️ Al 28/09/2023 erano disponibili 27/30 domini (C2)
➡️ DLL offuscata con "198 Protector V4"
➡️ Verifica ambiente Sandbox o presenza di Antivirus
💣 Indicatori di Compromissione 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2024/01/formbook_31-01-2024.json
✉️ Oggetto: Nuovo ordine
📎 Allegato: XZ
💧Dropper verifica che la data > 28/09/2023 13:10 PM
ℹ️ Al 28/09/2023 erano disponibili 27/30 domini (C2)
➡️ DLL offuscata con "198 Protector V4"
➡️ Verifica ambiente Sandbox o presenza di Antivirus
💣 Indicatori di Compromissione 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2024/01/formbook_31-01-2024.json