📈 Da anni osserviamo lo sfruttamento di #Telegram come canale di comando e controllo (C2) da parte dei #malware; tuttavia, risulta particolarmente interessante notare come, recentemente, si sia intensificata la tendenza a sfruttare i bot di Telegram anche nelle campagne di #phishing.
🎣 In questo scenario, i truffatori hanno architettato un inganno simulando la spedizione di un ordine inesistente e, nel momento in cui le vittime aprono l'allegato HTML contraffatto, vengono indotte a "verificare" il proprio ID inserendo le credenziali Microsoft in un form.
🤖 Queste ultime, a loro insaputa, vengono dirottate direttamente a un bot di Telegram
💣 Indicatori di Compromissione 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2024/04/phishing_microsoft_10-04-2024.json
🎣 In questo scenario, i truffatori hanno architettato un inganno simulando la spedizione di un ordine inesistente e, nel momento in cui le vittime aprono l'allegato HTML contraffatto, vengono indotte a "verificare" il proprio ID inserendo le credenziali Microsoft in un form.
🤖 Queste ultime, a loro insaputa, vengono dirottate direttamente a un bot di Telegram
💣 Indicatori di Compromissione 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2024/04/phishing_microsoft_10-04-2024.json
🇮🇹 Campagna di phishing #PEC: Credenziali inoltrate ad un bot Telegram
⚠️ Phishing finalizzato all’appropriazione indebita delle credenziali per l’accesso a caselle di #PEC. Tale operazione fraudolenta viene realizzata attraverso l’invio di un’email ingannevole, destinata agli utenti di caselle PEC. Il messaggio avvisa di una presunta richiesta di disattivazione dell’account, da completarsi entro 24 ore, e suggerisce di cliccare su un link fornito nel corpo del messaggio nel caso si ritenga ciò un errore.
🔑 Le credenziali smistate via #Telegram
Chiaramente, le credenziali inserite non serviranno per il legittimo accesso al servizio. Un’analisi del codice sorgente della pagina malevola rivela che uno script è programmato per inviarle direttamente a un bot di Telegram, facendole così pervenire agli orchestratori della truffa.
ℹ️ Approfondimenti e #IoC 👇
🔗 https://cert-agid.gov.it/news/campagna-di-phishing-pec-credenziali-inoltrate-ad-un-bot-telegram/
⚠️ Phishing finalizzato all’appropriazione indebita delle credenziali per l’accesso a caselle di #PEC. Tale operazione fraudolenta viene realizzata attraverso l’invio di un’email ingannevole, destinata agli utenti di caselle PEC. Il messaggio avvisa di una presunta richiesta di disattivazione dell’account, da completarsi entro 24 ore, e suggerisce di cliccare su un link fornito nel corpo del messaggio nel caso si ritenga ciò un errore.
🔑 Le credenziali smistate via #Telegram
Chiaramente, le credenziali inserite non serviranno per il legittimo accesso al servizio. Un’analisi del codice sorgente della pagina malevola rivela che uno script è programmato per inviarle direttamente a un bot di Telegram, facendole così pervenire agli orchestratori della truffa.
ℹ️ Approfondimenti e #IoC 👇
🔗 https://cert-agid.gov.it/news/campagna-di-phishing-pec-credenziali-inoltrate-ad-un-bot-telegram/
Sintesi riepilogativa delle campagne malevole nella settimana del 06 – 12 Aprile 2024
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 30 campagne malevole, di cui 24 con obiettivi italiani e 6 generiche che hanno comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 227 indicatori di compromissione (IOC) individuati.
Eventi di particolare interesse:
➡️ Riscontrata una costante nella sequenza di campagne #AgentTesla mirate all’Italia
➡️ Rilevata campagna malware #SpyNote mascherata come app #INPS Mobile
➡️ Campagna di phishing #PEC: Credenziali inoltrate ad un bot #Telegram
💣 #IoC 227
🦠 #Malware 7 (famiglie)
🐟 #Phishing 8 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-06-12-aprile-2024/
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 30 campagne malevole, di cui 24 con obiettivi italiani e 6 generiche che hanno comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 227 indicatori di compromissione (IOC) individuati.
Eventi di particolare interesse:
➡️ Riscontrata una costante nella sequenza di campagne #AgentTesla mirate all’Italia
➡️ Rilevata campagna malware #SpyNote mascherata come app #INPS Mobile
➡️ Campagna di phishing #PEC: Credenziali inoltrate ad un bot #Telegram
💣 #IoC 227
🦠 #Malware 7 (famiglie)
🐟 #Phishing 8 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-06-12-aprile-2024/
Sintesi riepilogativa delle campagne malevole nella settimana del 13 – 19 Aprile 2024
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 29 campagne malevole, di cui 22 con obiettivi italiani e 7 generiche che hanno comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 285 indicatori di compromissione (IOC) individuati.
Eventi di particolare interesse:
➡️ Aumento delle campagne di phishing #Aruba e dello smishing #INPS.
💣 #IoC 285
🦠 #Malware 6 (famiglie)
🐟 #Phishing 7 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-13-19-aprile-2024/
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 29 campagne malevole, di cui 22 con obiettivi italiani e 7 generiche che hanno comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 285 indicatori di compromissione (IOC) individuati.
Eventi di particolare interesse:
➡️ Aumento delle campagne di phishing #Aruba e dello smishing #INPS.
💣 #IoC 285
🦠 #Malware 6 (famiglie)
🐟 #Phishing 7 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-13-19-aprile-2024/
Ransomware #LockBit: anomalie dopo lo smantellamento
⚠️ Da due giorni è in atto una massiccia campagna per diffondere il ransomware LockBit 3.0 (LockBit Black) in diversi paesi europei, inclusa l’Italia
🕵️ Sarebbe utile capire il motivo della diffusione di LockBit tramite email, considerando che i riferimenti onion nella nota di riscatto non sono più accessibili, rendendo di fatto impossibile monetizzare tramite il riscatto. È probabile che l’obiettivo sia puramente distruttivo.
ℹ️ Ulteriori dettagli e #IoC 👇
🔗 https://cert-agid.gov.it/news/ransomware-lockbit-anomalie-dopo-lo-smantellamento/
⚠️ Da due giorni è in atto una massiccia campagna per diffondere il ransomware LockBit 3.0 (LockBit Black) in diversi paesi europei, inclusa l’Italia
🕵️ Sarebbe utile capire il motivo della diffusione di LockBit tramite email, considerando che i riferimenti onion nella nota di riscatto non sono più accessibili, rendendo di fatto impossibile monetizzare tramite il riscatto. È probabile che l’obiettivo sia puramente distruttivo.
ℹ️ Ulteriori dettagli e #IoC 👇
🔗 https://cert-agid.gov.it/news/ransomware-lockbit-anomalie-dopo-lo-smantellamento/
Sintesi riepilogativa delle campagne malevole nella settimana del 20 – 26 Aprile 2024
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 27 campagne malevole, di cui 21 con obiettivi italiani e 6 generiche che hanno comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 305 indicatori di compromissione (IOC) individuati.
Eventi di particolare interesse:
➡️ Ransomware #LockBit: anomalie dopo lo smantellamento;
➡️ Campagne di smishing #INPS volte a sottrarre documenti di identità;
➡️ Campagna di phishing #AgenziaEntrate e Riscossione.
💣 #IoC 305
🦠 #Malware 8 (famiglie)
🐟 #Phishing 7 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-20-26-aprile-2024/
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 27 campagne malevole, di cui 21 con obiettivi italiani e 6 generiche che hanno comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 305 indicatori di compromissione (IOC) individuati.
Eventi di particolare interesse:
➡️ Ransomware #LockBit: anomalie dopo lo smantellamento;
➡️ Campagne di smishing #INPS volte a sottrarre documenti di identità;
➡️ Campagna di phishing #AgenziaEntrate e Riscossione.
💣 #IoC 305
🦠 #Malware 8 (famiglie)
🐟 #Phishing 7 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-20-26-aprile-2024/
🇮🇹 Campagna #Remcos italiana
🏢 L'email sembra provenire da fonti attendibili all'interno dell'organizzazione #Leonardo
👨🦰 Il nome del dipendente riportato nel messaggio è realmente esistente
📄 Il testo dell'email induce le vittime a consultare un falso modulo allegato al messaggio di posta elettronica.
🦠 Il file allegato è compresso con 7Z e contiene un eseguibile progettato per infettare i dispositivi con il malware #Remcos, sfruttando il loader #Guloader.
💣 Indicatori di Compromissione 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2024/05/remcos_01-05-2024.json
🏢 L'email sembra provenire da fonti attendibili all'interno dell'organizzazione #Leonardo
👨🦰 Il nome del dipendente riportato nel messaggio è realmente esistente
📄 Il testo dell'email induce le vittime a consultare un falso modulo allegato al messaggio di posta elettronica.
🦠 Il file allegato è compresso con 7Z e contiene un eseguibile progettato per infettare i dispositivi con il malware #Remcos, sfruttando il loader #Guloader.
💣 Indicatori di Compromissione 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2024/05/remcos_01-05-2024.json
🇮🇹 Diffusione di malware Keylogger tramite falsa pagina di Agenzia delle Entrate – PuntoFisco
⚠️ In data odierna il CERT-AGID ha rilevato un sofisticato tentativo di frode che coinvolge una pagina falsa dell’Agenzia delle Entrate, ospitata su un dominio italiano precedentemente compromesso, finalizzato a infettare le vittime con un malware di tipo keylogger.
🔬 La specificità del malware, l’adozione di un dominio italiano come dropurl, la scelta di Altervista come server C2 e la profonda conoscenza dei servizi dell’Agenzia delle Entrate, lasciano fortemente presagire che gli autori della campagna siano probabilmente di nazionalità italiana.
ℹ️ Ulteriori dettagli e #IoC 👇
🔗 https://cert-agid.gov.it/news/malware/diffusione-di-malware-keylogger-tramite-falsa-pagina-di-agenzia-delle-entrate-puntofisco/
⚠️ In data odierna il CERT-AGID ha rilevato un sofisticato tentativo di frode che coinvolge una pagina falsa dell’Agenzia delle Entrate, ospitata su un dominio italiano precedentemente compromesso, finalizzato a infettare le vittime con un malware di tipo keylogger.
🔬 La specificità del malware, l’adozione di un dominio italiano come dropurl, la scelta di Altervista come server C2 e la profonda conoscenza dei servizi dell’Agenzia delle Entrate, lasciano fortemente presagire che gli autori della campagna siano probabilmente di nazionalità italiana.
ℹ️ Ulteriori dettagli e #IoC 👇
🔗 https://cert-agid.gov.it/news/malware/diffusione-di-malware-keylogger-tramite-falsa-pagina-di-agenzia-delle-entrate-puntofisco/
Sintesi riepilogativa delle campagne malevole nella settimana del 27 Aprile – 3 Maggio 2024
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 29 campagne malevole, di cui 21 con obiettivi italiani e 8 generiche che hanno comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 218 indicatori di compromissione (IOC) individuati.
Eventi di particolare interesse:
➡️ Diffusione di malware #Keylogger tramite falsa pagina di #AgenziaEntrate
➡️ Campagna #Remcos italiana via Guloader
➡️ Campagne di smishing #INPS volte a sottrarre documenti di identità
➡️ Riscontrata ancora una campagna ransomware #Lockbit
💣 #IoC 218
🦠 #Malware 8 (famiglie)
🐟 #Phishing 5 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-27-aprile-3-maggio-2024/
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 29 campagne malevole, di cui 21 con obiettivi italiani e 8 generiche che hanno comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 218 indicatori di compromissione (IOC) individuati.
Eventi di particolare interesse:
➡️ Diffusione di malware #Keylogger tramite falsa pagina di #AgenziaEntrate
➡️ Campagna #Remcos italiana via Guloader
➡️ Campagne di smishing #INPS volte a sottrarre documenti di identità
➡️ Riscontrata ancora una campagna ransomware #Lockbit
💣 #IoC 218
🦠 #Malware 8 (famiglie)
🐟 #Phishing 5 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-27-aprile-3-maggio-2024/
🇮🇹 Campagna di Phishing multibanking che sfrutta nome e loghi della Presidenza del Consiglio dei Ministri
✉️ Avete diritto a un rimborso fiscale
⚠️ Questa tipologia di campagna non è nuova per il CERT-AGID; l’ultima segnalazione risale al 5 ottobre 2023, mentre quella precedente al 25 maggio 2023. Pur variando nei metodi e nei domini utilizzati di volta in volta, lo scopo rimane costante: indurre le vittime a fornire le proprie credenziali di accesso promettendo un rimborso fittizio e chiedendo loro di selezionare una delle 10 banche elencate.
ℹ️ Dettagli e Indicatori di Compromissione 👇
🔗 https://cert-agid.gov.it/news/phishing/phishing-multibanking-sfrutta-nome-e-loghi-della-presidenza-del-consiglio-dei-ministri/
✉️ Avete diritto a un rimborso fiscale
⚠️ Questa tipologia di campagna non è nuova per il CERT-AGID; l’ultima segnalazione risale al 5 ottobre 2023, mentre quella precedente al 25 maggio 2023. Pur variando nei metodi e nei domini utilizzati di volta in volta, lo scopo rimane costante: indurre le vittime a fornire le proprie credenziali di accesso promettendo un rimborso fittizio e chiedendo loro di selezionare una delle 10 banche elencate.
ℹ️ Dettagli e Indicatori di Compromissione 👇
🔗 https://cert-agid.gov.it/news/phishing/phishing-multibanking-sfrutta-nome-e-loghi-della-presidenza-del-consiglio-dei-ministri/
Sintesi riepilogativa delle campagne malevole nella settimana del 4 – 10 Maggio 2024
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 23 campagne malevole, di cui 21 con obiettivi italiani e 2 generiche che hanno comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 137 indicatori di compromissione (IOC) individuati.
Eventi di particolare interesse:
➡️ Phishing multibanking sfrutta nome e loghi della PCM
➡️ Campagne di smishing #INPS volte a sottrarre documenti di identità con il pretesto di erogazione bonus.
💣 #IoC 137
🦠 #Malware 4 (famiglie)
🐟 #Phishing 7 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-4-10-maggio-2024/
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 23 campagne malevole, di cui 21 con obiettivi italiani e 2 generiche che hanno comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 137 indicatori di compromissione (IOC) individuati.
Eventi di particolare interesse:
➡️ Phishing multibanking sfrutta nome e loghi della PCM
➡️ Campagne di smishing #INPS volte a sottrarre documenti di identità con il pretesto di erogazione bonus.
💣 #IoC 137
🦠 #Malware 4 (famiglie)
🐟 #Phishing 7 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-4-10-maggio-2024/
Sintesi riepilogativa delle campagne malevole nella settimana del 11 – 17 Maggio 2024
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 20 campagne malevole, di cui 16 con obiettivi italiani e 4 generiche che hanno comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 236 indicatori di compromissione (IOC) individuati.
Eventi di particolare interesse:
➡️ Campagne di smishing #INPS volte a sottrarre documenti di identità
💣 #IoC 236
🦠 #Malware 7 (famiglie)
🐟 #Phishing 6 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-11-17-maggio-2024/
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 20 campagne malevole, di cui 16 con obiettivi italiani e 4 generiche che hanno comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 236 indicatori di compromissione (IOC) individuati.
Eventi di particolare interesse:
➡️ Campagne di smishing #INPS volte a sottrarre documenti di identità
💣 #IoC 236
🦠 #Malware 7 (famiglie)
🐟 #Phishing 6 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-11-17-maggio-2024/
📣 In occasione della manifestazione #ForumPA 2024 giovedì 23 maggio dalle 14.30 alle 15.00, presso lo spazio di #AgID (stand 9C), è previsto l'incontro "Panoramica delle minacce più diffuse in Italia" a cura del servizio CERT-AgID.
🛡 Durante l'evento verranno analizzate le principali minacce alla #Cybersecurity in Italia e approfondite le più recenti sfide di sicurezza legate all' #IntelligenzaArtificiale
👉 https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2024/05/14/forum-pa-2024-presentazioni-seminari-incontri-presso-stand-agid
🛡 Durante l'evento verranno analizzate le principali minacce alla #Cybersecurity in Italia e approfondite le più recenti sfide di sicurezza legate all' #IntelligenzaArtificiale
👉 https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2024/05/14/forum-pa-2024-presentazioni-seminari-incontri-presso-stand-agid
🇮🇹 Ransomware “Cambiare Rotta”: Una minaccia distruttiva per l’Italia
⚠️ Purtroppo, non è ancora chiaro come il malware venga distribuito sui computer delle vittime.
➡️ I file cifrati non possono essere recuperati in quanto la nota di riscatto non fornisce alcuna istruzione su come contattare i criminali (gli unici in possesso della chiave privata) o su come procedere per il recupero dei file, anzi, indicano che “non c’è modo di recuperarli“.
🗒 La nota, scritta in lingua italiana, associa il #ransomware a un messaggio politico, con riferimenti al conflitto tra Israele e Palestina. Questo dimostra che il ransomware non è stato creato con l’intento di ottenere profitto finanziario, ma per essere distruttivo e per promuovere una determinata azione politica o ideologica.
ℹ️ Ulteriori dettagli e #IoC 👇
🔗 https://cert-agid.gov.it/news/ransomware-cambiare-rotta-una-minaccia-distruttiva-per-litalia/
⚠️ Purtroppo, non è ancora chiaro come il malware venga distribuito sui computer delle vittime.
➡️ I file cifrati non possono essere recuperati in quanto la nota di riscatto non fornisce alcuna istruzione su come contattare i criminali (gli unici in possesso della chiave privata) o su come procedere per il recupero dei file, anzi, indicano che “non c’è modo di recuperarli“.
🗒 La nota, scritta in lingua italiana, associa il #ransomware a un messaggio politico, con riferimenti al conflitto tra Israele e Palestina. Questo dimostra che il ransomware non è stato creato con l’intento di ottenere profitto finanziario, ma per essere distruttivo e per promuovere una determinata azione politica o ideologica.
ℹ️ Ulteriori dettagli e #IoC 👇
🔗 https://cert-agid.gov.it/news/ransomware-cambiare-rotta-una-minaccia-distruttiva-per-litalia/
Sintesi riepilogativa delle campagne malevole nella settimana del 17 – 24 Maggio 2024
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 26 campagne malevole, di cui 23 con obiettivi italiani e 3 generiche che hanno comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 139 indicatori di compromissione (IOC) individuati.
Eventi di particolare interesse:
➡️ #Ransomware “Cambiare Rotta”: Una minaccia distruttiva per l’Italia
➡️ Campagna di Phishing veicolata tramite #PEC registrata ad-hoc contrastata dal CERT-AGID con il supporto dei Gestori PEC.
➡️ Campagne di smishing #INPS volte a sottrarre documenti di identità
💣 #IoC 139
🦠 #Malware 6 (famiglie)
🐟 #Phishing 9 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-17-24-maggio-2024/
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 26 campagne malevole, di cui 23 con obiettivi italiani e 3 generiche che hanno comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 139 indicatori di compromissione (IOC) individuati.
Eventi di particolare interesse:
➡️ #Ransomware “Cambiare Rotta”: Una minaccia distruttiva per l’Italia
➡️ Campagna di Phishing veicolata tramite #PEC registrata ad-hoc contrastata dal CERT-AGID con il supporto dei Gestori PEC.
➡️ Campagne di smishing #INPS volte a sottrarre documenti di identità
💣 #IoC 139
🦠 #Malware 6 (famiglie)
🐟 #Phishing 9 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-17-24-maggio-2024/
🇮🇹 Campagna #XWorm v.5.0 italiana
✉️ Oggetto: È necessario un aggiornamento sullo stato del pagamento della fattura
📎 Allegato: fattura1-4 . zip
⚔️ TTP: ZIP > LNK > ZIP > HTA > BAT > PS1
⚠️ Per la seconda settimana consecutiva si ha evidenza di campagne XWorm con allegati ZIP contenenti file LNK o URL come vettori iniziali di compromissione. In alcuni casi, vengono sfruttate connessioni SMB per ottenere ulteriori script che conducono al malware finale.
💣 Indicatori di Compromissione 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2024/05/xworm_30-05-2024.json
✉️ Oggetto: È necessario un aggiornamento sullo stato del pagamento della fattura
📎 Allegato: fattura1-4 . zip
⚔️ TTP: ZIP > LNK > ZIP > HTA > BAT > PS1
⚠️ Per la seconda settimana consecutiva si ha evidenza di campagne XWorm con allegati ZIP contenenti file LNK o URL come vettori iniziali di compromissione. In alcuni casi, vengono sfruttate connessioni SMB per ottenere ulteriori script che conducono al malware finale.
💣 Indicatori di Compromissione 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2024/05/xworm_30-05-2024.json
Rilevata pagina di #Phishing volta a sottrarre le credenziali #PEC agli utenti #Legalmail
ℹ️ La pagina è stata caricata su un dominio francese utilizzato anche per altre attività di phishing.
A seguito di una segnalazione pervenuta alla casella di posta malware@cert-agid.gov.it è stato possibile attuare le azioni di contrasto:
➡️ diffondere gli indicatori alle PA
➡️ rilevare le vittime
➡️ informare i Gestori PEC
💣 Indicatori di Compromissione 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2024/05/legalmail_phishing_30-05-2024.json
ℹ️ La pagina è stata caricata su un dominio francese utilizzato anche per altre attività di phishing.
A seguito di una segnalazione pervenuta alla casella di posta malware@cert-agid.gov.it è stato possibile attuare le azioni di contrasto:
➡️ diffondere gli indicatori alle PA
➡️ rilevare le vittime
➡️ informare i Gestori PEC
💣 Indicatori di Compromissione 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2024/05/legalmail_phishing_30-05-2024.json
Sintesi riepilogativa delle campagne malevole nella settimana del 25 – 31 Maggio 2024
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 43 campagne malevole, di cui 33 con obiettivi italiani e 10 generiche che hanno comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 392 indicatori di compromissione (IOC) individuati.
Eventi di particolare interesse:
➡️ Malware #XWorm v.5.0 osservato in Italia
➡️ Phishing #Legalmail per sottrarre credenziali #PEC
➡️ Proseguono le campagne di smishing #INPS volte a sottrarre documenti di identità
💣 #IoC 392
🦠 #Malware 6 (famiglie)
🐟 #Phishing 14 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-25-31-maggio-2024/
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 43 campagne malevole, di cui 33 con obiettivi italiani e 10 generiche che hanno comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 392 indicatori di compromissione (IOC) individuati.
Eventi di particolare interesse:
➡️ Malware #XWorm v.5.0 osservato in Italia
➡️ Phishing #Legalmail per sottrarre credenziali #PEC
➡️ Proseguono le campagne di smishing #INPS volte a sottrarre documenti di identità
💣 #IoC 392
🦠 #Malware 6 (famiglie)
🐟 #Phishing 14 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-25-31-maggio-2024/
Sintesi riepilogativa delle campagne malevole nella settimana del 01 – 07 Giugno 2024
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 31 campagne malevole, di cui 18 con obiettivi italiani e 13 generiche che hanno comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 202 indicatori di compromissione (IOC) individuati.
Eventi di particolare interesse:
➡️ Campagna di Phishing veicolata tramite #PEC registrata ad-hoc contrastata dal CERT-AGID con il supporto dei Gestori
💣 #IoC 202
🦠 #Malware 5 (famiglie)
🐟 #Phishing 13 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-01-07-giugno-2024/
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 31 campagne malevole, di cui 18 con obiettivi italiani e 13 generiche che hanno comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 202 indicatori di compromissione (IOC) individuati.
Eventi di particolare interesse:
➡️ Campagna di Phishing veicolata tramite #PEC registrata ad-hoc contrastata dal CERT-AGID con il supporto dei Gestori
💣 #IoC 202
🦠 #Malware 5 (famiglie)
🐟 #Phishing 13 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-01-07-giugno-2024/
🇮🇹 Campagne #Adwind / #jRAT attive contro obiettivi italiani
Da oltre una settimana il CERT-AGID sta osservando una serie di campagne mirate contro l’Italia e finalizzate alla diffusione del malware Adwind/jRAT.
⚔️ TTP
ZIP > HTML > JAR
➡️ Doppio loader prima di rilasciare il malware
➡️ Controllo della lingua del browser e del sistema in uso
➡️ Utilizzo di algoritmi #Blowfish e #DES per cifrare le stringhe
ℹ️ Analisi e Indicatori di compromissione 👇
🔗 https://cert-agid.gov.it/news/campagne-adwind-jrat-attive-contro-obiettivi-italiani/
Da oltre una settimana il CERT-AGID sta osservando una serie di campagne mirate contro l’Italia e finalizzate alla diffusione del malware Adwind/jRAT.
⚔️ TTP
ZIP > HTML > JAR
➡️ Doppio loader prima di rilasciare il malware
➡️ Controllo della lingua del browser e del sistema in uso
➡️ Utilizzo di algoritmi #Blowfish e #DES per cifrare le stringhe
ℹ️ Analisi e Indicatori di compromissione 👇
🔗 https://cert-agid.gov.it/news/campagne-adwind-jrat-attive-contro-obiettivi-italiani/
CERT-AgID
🇮🇹 Campagne #Adwind / #jRAT attive contro obiettivi italiani Da oltre una settimana il CERT-AGID sta osservando una serie di campagne mirate contro l’Italia e finalizzate alla diffusione del malware Adwind/jRAT. ⚔️ TTP ZIP > HTML > JAR ➡️ Doppio loader…
Nuove campagne in corso, #IoC aggiornati al 12/06/2024 @ 10:15