Nella settimana dal 23 al 29 settembre 2023, sono state riscontrate 35 campagne malevole, di cui 32 avevano come obiettivo l’Italia e 3 erano campagne generiche che hanno comunque interessato l’Italia. Lo hanno rilevato gli esperti del CERT-AgID i quali hanno messo a disposizione i relativi 352 indicatori di compromissione (IOC) individuati.
Per veicolare queste campagne malevole sono stati sfruttati 10 temi diversi, in particolare i settori bancari, i pagamenti e i documenti. Gli altri temi sono stati sfruttati per veicolare campagne di malware e di phishing di vario tipo.
Le famiglie di malware rilevate in Italia sono state 7 diverse. Tra le campagne di malware di particolare rilievo sono state identificate le seguenti:
- AgentTesla – Sono state rilevate cinque campagne legate a AgentTesla, di cui tre italiane e due generiche, a tema “Preventivo”, “Documenti” e “Pagamenti”, diffuse tramite email con allegati R15 o con link al download di un file JS.
- Formbook – Sono state individuate due campagne italiane a tema “Pagamenti” veicolate tramite email con allegati XZ.
- SpyNote – Una campagna italiana di SpyNote è stata rilevata a tema “Banking”, mirata a dispositivi android e veicolata tramite SMS con link al download di due APK simili ma con C2 differenti.
- Lokibot – È stata contrastata una campagna generica a tema “Preventivo” veicolata tramite email con allegati RAR.
- WarzoneRAT – Una campagna italiana a tema “Documenti” è stata rilevata da fonti OSINT.
- Ursnif – Sono state rilevate diverse campagne italiane a tema “Agenzia delle Entrate” distribuite tramite email con allegati ZIP contenenti VBS o file URL che puntano a file raggiungibili su share pubbliche (SMB). Il CERT-AGID ha condiviso i dettagli e gli IoC tramite i canali social Telegram e Twitter.
- Remcos – Una campagna italiana a tema “Delivery” è stata veicolata tramite email con allegati ACE.
I brand coinvolti sono stati 11 e hanno interessano principalmente il settore bancario italiano. Infine, di particolare rilievo il CERT-AgID ha riscontrato due campagne di smishing INPS volte a sottrarre documenti di identità ed estremi della carta di credito.
