🇮🇹 Vidar compare ancora in una nuova campagna malspam che sfrutta le caselle PEC
⚠️ Gli autori della campagna che utilizzava il dominio italiano #Excite hanno riproposto lo stesso template via #PEC con link ad un dominio attivo che rilascia #JS per installare #Vidar
🦠 Questa è la quarta ondata che utilizza Vidar (la quinta se includiamo quella errata di ieri) che il CERT-AGID ha registrato nel 2024, tutte concentrate da agosto a oggi.
➡️ Perché gli autori di malware prediligono compromettere le PEC in Italia?
La falsa percezione di sicurezza, insieme al credo comune che la PEC sia immune da compromissioni, rende la Posta Elettronica Certificata un bersaglio privilegiato per attacchi informatici in Italia.
➡️ Azioni di contrasto
Le attività di contrasto sono state già messe in atto con il supporto dei Gestori PEC.
➡️ Indicatori di Compromissione 👇
🔗 https://cert-agid.gov.it/news/vidar-compare-ancora-in-una-nuova-campagna-malspam-che-sfrutta-le-caselle-pec/
⚠️ Gli autori della campagna che utilizzava il dominio italiano #Excite hanno riproposto lo stesso template via #PEC con link ad un dominio attivo che rilascia #JS per installare #Vidar
🦠 Questa è la quarta ondata che utilizza Vidar (la quinta se includiamo quella errata di ieri) che il CERT-AGID ha registrato nel 2024, tutte concentrate da agosto a oggi.
➡️ Perché gli autori di malware prediligono compromettere le PEC in Italia?
La falsa percezione di sicurezza, insieme al credo comune che la PEC sia immune da compromissioni, rende la Posta Elettronica Certificata un bersaglio privilegiato per attacchi informatici in Italia.
➡️ Azioni di contrasto
Le attività di contrasto sono state già messe in atto con il supporto dei Gestori PEC.
➡️ Indicatori di Compromissione 👇
🔗 https://cert-agid.gov.it/news/vidar-compare-ancora-in-una-nuova-campagna-malspam-che-sfrutta-le-caselle-pec/
Sintesi riepilogativa delle campagne malevole nella settimana del 14 – 20 settembre 2024
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 56 campagne malevole, di cui 41 con obiettivi italiani e 15 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 778 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ Nuova ondata di malspam via #PEC che mira a diffondere il malware #Vidar. Le mail contengono un link per scaricare un file JS malevolo.
➡️ Rilevata una campagna di phishing bancario a tema #SPID, atta a raccogliere le credenziali di accesso.
➡️ Nuova campagna malware #LummaStealer rivolta agli utenti di #Github.
💣 #IoC 778
🦠 #Malware 11 (famiglie)
🐟 #Phishing 22 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-14-20-settembre/
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 56 campagne malevole, di cui 41 con obiettivi italiani e 15 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 778 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ Nuova ondata di malspam via #PEC che mira a diffondere il malware #Vidar. Le mail contengono un link per scaricare un file JS malevolo.
➡️ Rilevata una campagna di phishing bancario a tema #SPID, atta a raccogliere le credenziali di accesso.
➡️ Nuova campagna malware #LummaStealer rivolta agli utenti di #Github.
💣 #IoC 778
🦠 #Malware 11 (famiglie)
🐟 #Phishing 22 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-14-20-settembre/
Sintesi riepilogativa delle campagne malevole nella settimana del 21 – 27 settembre 2024
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 39 campagne malevole, di cui 20 con obiettivi italiani e 19 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 475 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ Nuova ondata di malspam che mira a diffondere il malware #Vidar tramite #PEC contenenti un link per scaricare un file JS malevolo.
➡️ Nuove campagne di phishing INPS finalizzate alla raccolta di dati personali, diffuse tramite email che con la scusa di un presunto rimborso richiedono di compilare un modulo per completarne l’erogazione.
💣 #IoC 475
🦠 #Malware 8 (famiglie)
🐟 #Phishing 15 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-21-27-settembre/
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 39 campagne malevole, di cui 20 con obiettivi italiani e 19 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 475 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ Nuova ondata di malspam che mira a diffondere il malware #Vidar tramite #PEC contenenti un link per scaricare un file JS malevolo.
➡️ Nuove campagne di phishing INPS finalizzate alla raccolta di dati personali, diffuse tramite email che con la scusa di un presunto rimborso richiedono di compilare un modulo per completarne l’erogazione.
💣 #IoC 475
🦠 #Malware 8 (famiglie)
🐟 #Phishing 15 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-21-27-settembre/
🇮🇹 Non si arrestano le campagne di malspam via PEC del malware Vidar
🔎 IL CERT-AGID ha oggi rilevato e contrastato, con il supporto dei Gestori #PEC, la quarta campagna consecutiva di email malevole volte alla diffusione dell'infostealer #Vidar.
⏰ Si è avuta evidenza della campagna a partire dalle ore 00:00 del 01/10 e le attività di contenimento sono perdurate sino alle ore 06:00.
🚧 Le attività di contrasto sono state attivate prontamente, con la diffusione degli #IoC tramite il Feed IoC del CERT-AGID verso i Gestori PEC e gli enti accreditati.
⚠️ Attenzione alle email sospette, specialmente se contengono link. È possibile segnalare le comunicazioni dubbie a malware@cert-agid.gov.it.
ℹ️ Qui gli IoC resi disponibili dal CERT-AGID👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2024/10/ioc_vidar_31-09-24.json
🔎 IL CERT-AGID ha oggi rilevato e contrastato, con il supporto dei Gestori #PEC, la quarta campagna consecutiva di email malevole volte alla diffusione dell'infostealer #Vidar.
⏰ Si è avuta evidenza della campagna a partire dalle ore 00:00 del 01/10 e le attività di contenimento sono perdurate sino alle ore 06:00.
🚧 Le attività di contrasto sono state attivate prontamente, con la diffusione degli #IoC tramite il Feed IoC del CERT-AGID verso i Gestori PEC e gli enti accreditati.
⚠️ Attenzione alle email sospette, specialmente se contengono link. È possibile segnalare le comunicazioni dubbie a malware@cert-agid.gov.it.
ℹ️ Qui gli IoC resi disponibili dal CERT-AGID👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2024/10/ioc_vidar_31-09-24.json
Sintesi riepilogativa delle campagne malevole nella settimana del 28 settembre – 4 ottobre 2024
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 29 campagne malevole, di cui 19 con obiettivi italiani e 10 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 310 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ Nuova ondata di malspam che mira a diffondere il malware #Vidar tramite #PEC contenenti un link per scaricare un file JS malevolo.
➡️ Rilevata campagna di phishing a tema #AgenziaDelleEntrate. Le vittime sono indotte ad aprire un allegato PDF di un'email, contenente un link a una pagina volta a raccogliere le credenziali.
💣 #IoC 310
🦠 #Malware 8 (famiglie)
🐟 #Phishing 17 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-28-settembre-4-ottobre/
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 29 campagne malevole, di cui 19 con obiettivi italiani e 10 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 310 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ Nuova ondata di malspam che mira a diffondere il malware #Vidar tramite #PEC contenenti un link per scaricare un file JS malevolo.
➡️ Rilevata campagna di phishing a tema #AgenziaDelleEntrate. Le vittime sono indotte ad aprire un allegato PDF di un'email, contenente un link a una pagina volta a raccogliere le credenziali.
💣 #IoC 310
🦠 #Malware 8 (famiglie)
🐟 #Phishing 17 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-28-settembre-4-ottobre/
🇮🇹 #Vidar torna a colpire in #Italia attraverso #PEC compromesse
✉️ Mancato pagamento della fattura...
⚔️ TTP:
➡️ Template già noto
➡️ Utilizza VBS (non JS)
➡️ Esegue PS1
Lo script eseguito stabilisce una connessione al noto dominio
ℹ️ Approfondimenti e #IoC 👇
🔗 https://cert-agid.gov.it/news/vidar-torna-a-colpire-in-italia-attraverso-pec-compromesse/
✉️ Mancato pagamento della fattura...
⚔️ TTP:
➡️ Template già noto
➡️ Utilizza VBS (non JS)
➡️ Esegue PS1
Lo script eseguito stabilisce una connessione al noto dominio
.top, al quale viene inviato il riconoscibile parametro mints13 utilizzato anche per le comunicazioni successive con altri repository.ℹ️ Approfondimenti e #IoC 👇
🔗 https://cert-agid.gov.it/news/vidar-torna-a-colpire-in-italia-attraverso-pec-compromesse/
Sintesi riepilogativa delle campagne malevole nella settimana del 2 – 8 novembre 2024
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 46 campagne malevole, di cui 26 con obiettivi italiani e 15 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 255 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ Nuova ondata italiana di malspam #PEC per diffondere il malware #Vidar, contrastata con il supporto dei gestori PEC.
➡️ Identificata una campagna di phishing ai danni dell’#UniversitàDiPisa.
➡️ Individuata una campagna di phishing italiana veicolata tramite chat #Telegram con l’obiettivo di impossessarsi della sessione #Telegram.
💣 #IoC 255
🦠 #Malware 8 (famiglie)
🐟 #Phishing 17 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-2-8-novembre/
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 46 campagne malevole, di cui 26 con obiettivi italiani e 15 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 255 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ Nuova ondata italiana di malspam #PEC per diffondere il malware #Vidar, contrastata con il supporto dei gestori PEC.
➡️ Identificata una campagna di phishing ai danni dell’#UniversitàDiPisa.
➡️ Individuata una campagna di phishing italiana veicolata tramite chat #Telegram con l’obiettivo di impossessarsi della sessione #Telegram.
💣 #IoC 255
🦠 #Malware 8 (famiglie)
🐟 #Phishing 17 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-2-8-novembre/
🇮🇹 #Vidar nuovamente attivo in Italia tramite caselle #PEC compromesse: nuova campagna con URL aggiornati
✉️ Comunicazione di richiesta pagamento per la fattura di [NOME SOCIETÀ]
⚔️ VBS -> PS1 -> C2
ℹ️ #Vidar, noto per le sue capacità di sottrarre credenziali di accesso e dati sensibili, conferma ancora una volta la sua adattabilità e pericolosità, soprattutto considerando che la tecnica di veicolazione tramite caselle PEC compromesse può più facilmente indurre i destinatari a fidarsi dei messaggi ricevuti.
💣 Indicatori di Compromissione👇
🔗 https://cert-agid.gov.it/news/vidar-nuovamente-attivo-in-italia-tramite-caselle-pec-compromesse-nuova-campagna-con-url-aggiornati/
✉️ Comunicazione di richiesta pagamento per la fattura di [NOME SOCIETÀ]
⚔️ VBS -> PS1 -> C2
ℹ️ #Vidar, noto per le sue capacità di sottrarre credenziali di accesso e dati sensibili, conferma ancora una volta la sua adattabilità e pericolosità, soprattutto considerando che la tecnica di veicolazione tramite caselle PEC compromesse può più facilmente indurre i destinatari a fidarsi dei messaggi ricevuti.
💣 Indicatori di Compromissione👇
🔗 https://cert-agid.gov.it/news/vidar-nuovamente-attivo-in-italia-tramite-caselle-pec-compromesse-nuova-campagna-con-url-aggiornati/
Sintesi riepilogativa delle campagne malevole nella settimana del 9 – 15 novembre 2024
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 33 campagne malevole, di cui 19 con obiettivi italiani e 14 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 292 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ Nuova ondata di malspam PEC, finalizzata a diffondere il malware #Vidar attraverso link al download di file VBS e contrastata con il supporto dei gestori #PEC.
➡️ Campagna di phishing #DocuSign: email con allegati HTML spingono la vittima a effettuare il login su una replica del sito, inviando le credenziali a un bot #Telegram.
💣 #IoC 292
🦠 #Malware 8 (famiglie)
🐟 #Phishing 13 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-9-15-novembre/
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 33 campagne malevole, di cui 19 con obiettivi italiani e 14 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 292 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ Nuova ondata di malspam PEC, finalizzata a diffondere il malware #Vidar attraverso link al download di file VBS e contrastata con il supporto dei gestori #PEC.
➡️ Campagna di phishing #DocuSign: email con allegati HTML spingono la vittima a effettuare il login su una replica del sito, inviando le credenziali a un bot #Telegram.
💣 #IoC 292
🦠 #Malware 8 (famiglie)
🐟 #Phishing 13 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-9-15-novembre/
🇮🇹 Il malware #Vidar evolve con nuove strategie di diversificazione dei domini
✉️ Comunicazione di richiesta di pagamento per la fattura...
🎯 #PEC
➡️ Ripristinati i file VBS
➡️ Utilizzati 100+ host
➡️ ~1000 sottodomini random
➡️ Abuso dei domini .top
🕔 URL temporizzate
Le URL utilizzate per il download sono rimaste inattive durante la fase di attacco iniziale, attivandosi solo a partire dalla mattina del 18 novembre.
ℹ️ Ulteriori dettagli e #IoC 👇
🔗 https://cert-agid.gov.it/news/il-malware-vidar-evolve-con-nuove-strategie-di-diversificazione-dei-domini/
✉️ Comunicazione di richiesta di pagamento per la fattura...
🎯 #PEC
➡️ Ripristinati i file VBS
➡️ Utilizzati 100+ host
➡️ ~1000 sottodomini random
➡️ Abuso dei domini .top
🕔 URL temporizzate
Le URL utilizzate per il download sono rimaste inattive durante la fase di attacco iniziale, attivandosi solo a partire dalla mattina del 18 novembre.
ℹ️ Ulteriori dettagli e #IoC 👇
🔗 https://cert-agid.gov.it/news/il-malware-vidar-evolve-con-nuove-strategie-di-diversificazione-dei-domini/
🇮🇹 Aumenta il phishing bancario diffuso tramite PEC
⚠️ Il CERT-AGID ha rilevato un incremento nell'utilizzo delle caselle #PEC per diffondere campagne di phishing. Gli attacchi sfruttano la fiducia riposta nella PEC per veicolare link malevoli e sottrarre dati sensibili.
🔎 La campagna in corso, che sfrutta nome e logo di #IntesaSanPaolo, si caratterizza per l’invio di email apparentemente legittime con l’obiettivo di sottrarre le credenziali di accesso all'home banking e i dati della carta di credito.
🚧 Le attività di contrasto sono state attivate dal CERT-AGID con il supporto dei gestori PEC.
🛡 Si raccomanda di non cliccare su link sospetti nelle email PEC e di verificare attentamente le comunicazioni, soprattutto quelle di natura bancaria. In caso di dubbio, è possibile inoltrare le email sospette a malware@cert-agid.gov.it.
ℹ️ Ulteriori approfondimenti e download #IoC👇
🔗 https://cert-agid.gov.it/news/caselle-pec-sempre-piu-usate-nel-phishing-per-le-frodi-bancarie/
⚠️ Il CERT-AGID ha rilevato un incremento nell'utilizzo delle caselle #PEC per diffondere campagne di phishing. Gli attacchi sfruttano la fiducia riposta nella PEC per veicolare link malevoli e sottrarre dati sensibili.
🔎 La campagna in corso, che sfrutta nome e logo di #IntesaSanPaolo, si caratterizza per l’invio di email apparentemente legittime con l’obiettivo di sottrarre le credenziali di accesso all'home banking e i dati della carta di credito.
🚧 Le attività di contrasto sono state attivate dal CERT-AGID con il supporto dei gestori PEC.
🛡 Si raccomanda di non cliccare su link sospetti nelle email PEC e di verificare attentamente le comunicazioni, soprattutto quelle di natura bancaria. In caso di dubbio, è possibile inoltrare le email sospette a malware@cert-agid.gov.it.
ℹ️ Ulteriori approfondimenti e download #IoC👇
🔗 https://cert-agid.gov.it/news/caselle-pec-sempre-piu-usate-nel-phishing-per-le-frodi-bancarie/
Sintesi riepilogativa delle campagne malevole nella settimana del 23 – 29 novembre 2024
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 38 campagne malevole, di cui 21 con obiettivi italiani e 17 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 578 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ Rilevato un incremento nell'uso di #PEC per la diffusione di campagne di phishing a tema #IntesaSanPaolo.
➡️ Nuove campagne di smishing ai danni di #INPS. Tramite SMS fraudolenti, le vittime vengono indirizzate a una pagina web dove viene richiesto di caricare copie di documenti sensibili.
💣 #IoC 578
🦠 #Malware 13 (famiglie)
🐟 #Phishing 15 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-23-29-novembre/
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 38 campagne malevole, di cui 21 con obiettivi italiani e 17 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 578 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ Rilevato un incremento nell'uso di #PEC per la diffusione di campagne di phishing a tema #IntesaSanPaolo.
➡️ Nuove campagne di smishing ai danni di #INPS. Tramite SMS fraudolenti, le vittime vengono indirizzate a una pagina web dove viene richiesto di caricare copie di documenti sensibili.
💣 #IoC 578
🦠 #Malware 13 (famiglie)
🐟 #Phishing 15 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-23-29-novembre/
🇮🇹 Aggiornamento sul phishing Intesa Sanpaolo tramite PEC
⚠️ Le campagne di phishing a tema Intesa Sanpaolo veicolate tramite caselle #PEC compromesse o fraudolente non accennano a diminuire. L'obiettivo rimane la sottrazione di credenziali di accesso alla piattaforma di home banking e dei dati delle carte di credito.
🚧 Il CERT-AGID continua a collaborare attivamente con i gestori PEC per mitigare il problema.
🔎 Gli IoC relativi a queste campagne sono stati aggiornati e sono disponibili pubblicamente nella news presente sul sito del CERT-AGID: Caselle PEC sempre più usate nel phishing per le frodi bancarie
🛡 Si raccomanda di prestare massima attenzione e non di cliccare su link sospetti presenti nelle email PEC, verificare attentamente le comunicazioni di natura bancaria e segnalare eventuali email sospette a malware@cert-agid.gov.it.
⚠️ Le campagne di phishing a tema Intesa Sanpaolo veicolate tramite caselle #PEC compromesse o fraudolente non accennano a diminuire. L'obiettivo rimane la sottrazione di credenziali di accesso alla piattaforma di home banking e dei dati delle carte di credito.
🚧 Il CERT-AGID continua a collaborare attivamente con i gestori PEC per mitigare il problema.
🔎 Gli IoC relativi a queste campagne sono stati aggiornati e sono disponibili pubblicamente nella news presente sul sito del CERT-AGID: Caselle PEC sempre più usate nel phishing per le frodi bancarie
🛡 Si raccomanda di prestare massima attenzione e non di cliccare su link sospetti presenti nelle email PEC, verificare attentamente le comunicazioni di natura bancaria e segnalare eventuali email sospette a malware@cert-agid.gov.it.
CERT-AGID
Caselle PEC sempre più usate nel phishing per le frodi bancarie
Nelle ultime settimane sono state osservate campagne di phishing mirate ai clienti di Intesa Sanpaolo, veicolate tramite PEC compromesse. Le email fraudolente, apparentemente ufficiali, invitano a cliccare su un link per aggiornare il dispositivo di accesso…
Sintesi riepilogativa delle campagne malevole nella settimana del 30 novembre – 6 dicembre 2024
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 37 campagne malevole, di cui 20 con obiettivi italiani e 17 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 622 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ Riscontrato un incremento nell'uso di #PEC per la diffusione di campagne di phishing a tema #IntesaSanPaolo.
➡️ Rilevato malware #AgentTesla con meccanismo di attivazione difettoso. Il file originale non era malevolo nonostante sembrasse tale, e il comportamento insolito è stato corretto con una nuova campagna.
💣 #IoC 622
🦠 #Malware 11 (famiglie)
🐟 #Phishing 11 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-30-novembre-6-dicembre/
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 37 campagne malevole, di cui 20 con obiettivi italiani e 17 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 622 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ Riscontrato un incremento nell'uso di #PEC per la diffusione di campagne di phishing a tema #IntesaSanPaolo.
➡️ Rilevato malware #AgentTesla con meccanismo di attivazione difettoso. Il file originale non era malevolo nonostante sembrasse tale, e il comportamento insolito è stato corretto con una nuova campagna.
💣 #IoC 622
🦠 #Malware 11 (famiglie)
🐟 #Phishing 11 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-30-novembre-6-dicembre/
🇮🇹 #PEC compromesse: #Vidar sfrutta un nuovo metodo di offuscamento
⚠️ Nella serata del 6 gennaio 2025, è stata rilevata una nuova campagna Vidar: i cyber-criminali continuano a sfruttare caselle PEC compromesse per diffondere il malware tra gli utenti italiani. Questa campagna presenta ulteriori elementi di complessità introducendo nuove tecniche per occultare la url da cui scaricare il payload.
⚔️ Gli attacchi si sono basati su:
➡️ 148 domini di secondo livello
➡️ DGA e path randomizzati
➡️
ℹ️ Ulteriori dettagli e #IoC 👇
🔗 https://cert-agid.gov.it/news/pec-compromesse-vidar-sfrutta-un-nuovo-metodo-di-offuscamento/
⚠️ Nella serata del 6 gennaio 2025, è stata rilevata una nuova campagna Vidar: i cyber-criminali continuano a sfruttare caselle PEC compromesse per diffondere il malware tra gli utenti italiani. Questa campagna presenta ulteriori elementi di complessità introducendo nuove tecniche per occultare la url da cui scaricare il payload.
⚔️ Gli attacchi si sono basati su:
➡️ 148 domini di secondo livello
➡️ DGA e path randomizzati
➡️
XOR sui valori di una lista e converte i risultati in caratteri tramite chrℹ️ Ulteriori dettagli e #IoC 👇
🔗 https://cert-agid.gov.it/news/pec-compromesse-vidar-sfrutta-un-nuovo-metodo-di-offuscamento/
🇮🇹 Ancora attacchi ad opera di #Vidar: cadenza regolare e vecchie strategie sempre efficaci
⚠️ L’ultima ondata, rilevata nella notte del 20 gennaio 2025, sfrutta nuovamente le #PEC compromesse per inviare e-mail esclusivamente ai possessori di caselle PEC, puntando sulla attendibilità di queste comunicazioni per massimizzare il tasso di successo degli attacchi.
➡️ 147 host utilizzati per distribuire il payload
➡️ Domain Generation Algorithm (DGA)
ℹ️ Dettagli e #IoC 👇
🔗 https://cert-agid.gov.it/news/ancora-attacchi-ad-opera-di-vidar-cadenza-regolare-e-vecchie-strategie-sempre-efficaci/
⚠️ L’ultima ondata, rilevata nella notte del 20 gennaio 2025, sfrutta nuovamente le #PEC compromesse per inviare e-mail esclusivamente ai possessori di caselle PEC, puntando sulla attendibilità di queste comunicazioni per massimizzare il tasso di successo degli attacchi.
➡️ 147 host utilizzati per distribuire il payload
➡️ Domain Generation Algorithm (DGA)
ℹ️ Dettagli e #IoC 👇
🔗 https://cert-agid.gov.it/news/ancora-attacchi-ad-opera-di-vidar-cadenza-regolare-e-vecchie-strategie-sempre-efficaci/
🇮🇹 Report riepilogativo sulle tendenze delle campagne malevole analizzate dal CERT-AGID nel 2024
📃 Questo report offre un quadro sintetico sui numeri delle principali campagne malevole osservate dal CERT-AGID nel corso del 2024 che hanno colpito soggetti pubblici e privati afferenti alla propria constituency.
🦠 69 famiglie di #malware (67% Infostealer, 33% RAT)
🐟 113 brand coinvolti per il #phishing
💣 19.939 Indicatodi di Compromissione (#IoC)
📈 In netto aumento le campagne #PEC e malware per #Android
👤 34 diffusioni illecite di dati trafugati
✉️ 250K+ indirizzi email di enti pubblici impattati
ℹ️ Consulta il Report 2024 del CERT-AGID 👇
🔗 https://cert-agid.gov.it/news/report-riepilogativo-sulle-tendenze-delle-campagne-malevole-analizzate-dal-cert-agid-nel-2024/
📃 Questo report offre un quadro sintetico sui numeri delle principali campagne malevole osservate dal CERT-AGID nel corso del 2024 che hanno colpito soggetti pubblici e privati afferenti alla propria constituency.
🦠 69 famiglie di #malware (67% Infostealer, 33% RAT)
🐟 113 brand coinvolti per il #phishing
💣 19.939 Indicatodi di Compromissione (#IoC)
📈 In netto aumento le campagne #PEC e malware per #Android
👤 34 diffusioni illecite di dati trafugati
✉️ 250K+ indirizzi email di enti pubblici impattati
ℹ️ Consulta il Report 2024 del CERT-AGID 👇
🔗 https://cert-agid.gov.it/news/report-riepilogativo-sulle-tendenze-delle-campagne-malevole-analizzate-dal-cert-agid-nel-2024/
🇮🇹 Campagna Vidar via PEC
Rilevata e mitigata una nuova campagna di malspam, veicolata tramite #PEC, finalizzata alla distribuzione del malware #Vidar.
⚔️ TTP
➡️ Abuso dei domini
🕔 URL temporizzate
Le URL utilizzate per il download sono rimaste inattive durante la fase di attacco iniziale, attivandosi solo a partire dalla mattina del 03 marzo.
🛡 Azioni intraprese (con i Gestori)
🔗 https://cert-agid.gov.it/wp-content/uploads/2025/03/vidar-03032025.json
Rilevata e mitigata una nuova campagna di malspam, veicolata tramite #PEC, finalizzata alla distribuzione del malware #Vidar.
⚔️ TTP
➡️ JSXOR & PS1➡️ DGA➡️ Abuso dei domini
.top🕔 URL temporizzate
Le URL utilizzate per il download sono rimaste inattive durante la fase di attacco iniziale, attivandosi solo a partire dalla mattina del 03 marzo.
🛡 Azioni intraprese (con i Gestori)
➡️ Bloccati ~150 domini di 2° livello➡️ Diramati #IoC 👇🔗 https://cert-agid.gov.it/wp-content/uploads/2025/03/vidar-03032025.json
🇮🇹 Campagna #AsyncRAT via #MintLoader tramite #PEC
⚠️ Rilevata e mitigata una nuova campagna di malspam, veicolata tramite #PEC, finalizzata alla distribuzione di malware, solitamente #Vidar, anche se di recente si è osservato il rilascio di malware di varia natura.
⚔️ TTP
➡️ Abuso dei domini
🛡 Azioni intraprese (con i Gestori)
🔗 https://cert-agid.gov.it/wp-content/uploads/2025/03/MintLoader-10-03-2025.json
🔄 La campagna si è conclusa con il rilascio di #AsyncRAT
⚠️ Rilevata e mitigata una nuova campagna di malspam, veicolata tramite #PEC, finalizzata alla distribuzione di malware, solitamente #Vidar, anche se di recente si è osservato il rilascio di malware di varia natura.
⚔️ TTP
➡️ JSXOR & PS1➡️ DGA➡️ Abuso dei domini
.top🛡 Azioni intraprese (con i Gestori)
➡️ Bloccati ~150 domini➡️ Diramati #IoC 👇🔗 https://cert-agid.gov.it/wp-content/uploads/2025/03/MintLoader-10-03-2025.json
🔄 La campagna si è conclusa con il rilascio di #AsyncRAT
Sintesi riepilogativa delle campagne malevole nella settimana del 8 – 14 marzo 2025
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 61 campagne malevole, di cui 28 con obiettivi italiani e 33 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 1288 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ Rilevata una nuova campagna #AsyncRat via #MintLoader diffusa tramite #PEC, caratterizzata da abuso di domini .top e Domain Generation Algorithm (DGA), simile alle precedenti ondate #Vidar.
➡️ Pubblicata una breve guida per rispondere ai quesiti più frequenti sulle truffe a tema #INPS, visto il notevole incremento di smishing negli ultimi mesi.
💣 #IoC 1288
🦠 #Malware 17 (famiglie)
🐟 #Phishing 12 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-8-14-marzo/
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 61 campagne malevole, di cui 28 con obiettivi italiani e 33 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 1288 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ Rilevata una nuova campagna #AsyncRat via #MintLoader diffusa tramite #PEC, caratterizzata da abuso di domini .top e Domain Generation Algorithm (DGA), simile alle precedenti ondate #Vidar.
➡️ Pubblicata una breve guida per rispondere ai quesiti più frequenti sulle truffe a tema #INPS, visto il notevole incremento di smishing negli ultimi mesi.
💣 #IoC 1288
🦠 #Malware 17 (famiglie)
🐟 #Phishing 12 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-8-14-marzo/