IL REPORT

Cybercrime, i 10 malware più diffusi in Italia

Cert-Agid mappa lo scenario. Il furto di credenziali bancarie è il primo obiettivo degli hacker e si registra un notevole aumento dello smishing, ossia dell’invio di sms che simulano la provenienza da istituti di credito. Nelle posizioni alte della classifica anche l’accesso agli account webmail e l’entrata in possesso di documenti di identità

Pubblicato il 08 Gen 2024

Screenshot 2024-01-08 alle 11.27.34

Nel corso del 2023, AgentTesla si è affermato come il malware più diffuso in Italia, seguito da Formbook e Ursnif. Tra i primi dieci, troviamo anche SpyNote, noto spyware progettato per dispositivi Android. È quanto emerge dal Report riepilogativo sull’andamento delle campagne malevole che hanno interessato l’Italia nel 2023, realizzato da Cert-Agid attraverso diverse fonti e metodologie, comprese le segnalazioni provenienti da enti privati o pubbliche amministrazioni, rilevazioni tramite sistemi automatizzati del Cert, analisi dettagliate di campioni di malware e indagini sugli incidenti trattati.

Nel complesso, nel corso del 2023, Cert-Agid ha individuato e contrastato un totale di 1713 campagne malevole, condividendo con le sue organizzazioni accreditate un totale di 20,603 indicatori di compromissione (IoC).  In totale sono state identificate 54 famiglie di malware, di cui il 78% rientranti nella categoria Infostealer e il restante 22% in quella Rat (Remote Access Trojan). Nel contesto di attacchi di phishing/smishing, che hanno coinvolto complessivamente 68 brand, l’obiettivo principale è stato il furto di credenziali bancarie, di credenziali di accesso a webmail, e nel caso dello smishing verso Inps, il furto di documenti di identità.

Meno attacchi tramite Pec, cresce lo smishing

I temi principali sfruttati per gli attacchi sono rimasti invariati rispetto agli anni precedenti, salvo che per il tema “Agenzia Entrate“, che è stato impiegato prevalentemente nelle campagne Ursnif e successivamente replicato per veicolare i malware Remcos, SystemBC, Purelogs, Mekotio e DroidJack. Si è notata una significativa diminuzione delle campagne malevole veicolate attraverso account compromessi di Posta elettronica certificata (Pec) ma si registra parallelamente un notevole aumento dello smishing. Quest’ultimo consiste nell’invio massivo di sms con comunicazioni ingannevoli, spesso simulando di provenire da noti “istituti bancari” e contenenti link verso risorse malevole, quali pagine di phishing o malware per dispositivi mobili. In questo contesto, il canale più utilizzato rimane comunque la Posta elettronica ordinaria (Peo).

WHITEPAPER
Extended detection and response: 5 aspetti che i CISO devono considerare
Cybersecurity
Network Security

SpyNote sul podio dei malware destinati a sistemi Android

Nel corso del 2023, sono state individuate 29 campagne malevole mirate a compromettere dispositivi mobili basati su sistemi Android. Tra i vari malware identificati, SpyNote emerge come il più diffuso, con la registrazione di tre varianti nel corso dell’anno. Tutti i campioni analizzati si sono rivelati versioni riviste di malware originariamente concepiti come banking trojan e mirati al furto di denaro attraverso l’abuso delle operazioni di home banking. La maggior parte degli attori malevoli insiste nello sfruttamento di queste campagne di smishing, impersonando istituti bancari e inducendo le vittime a installare falsi aggiornamenti o nuove app. L’app dannosa viene scaricata attraverso un link contenuto nel SMS che punta ad un file Apk ospitato su un dominio di solito registrato ad-hoc. La funzionalità predominante di queste applicazioni malevole è la lettura degli sms, finalizzata a intercettare i codici inviati dalla banca come secondo fattore di autenticazione.

.zip il file più utilizzato per veicolare i malware

Il formato di file adoperato più frequentemente nelle campagne malevole è senza dubbio quello compresso, con un enfasi particolare sui file .zip. Questi ultimi, a loro volta, sono utilizzati per contenere documenti MS Office, file immagine montabili, script, e soprattutto nel secondo semestre, pdf con link a script o collegamenti a risorse condivise.

Telegram l’ecosistema dominante

Dall’analisi emerge inoltre che, nonostante il ransomware rimanga la minaccia più rilevante e ampiamente discussa anche nel 2023, si è riscontrato un singolo caso in Italia di ransomware (Knight) distribuito attraverso un loader veicolato tramite email. Le compromissioni da ransomware continuano ad essere realizzate manualmente, sfruttando accessi ai sistemi ottenuti mediante l’utilizzo di malware di tipo Infostealer o Rat. A fianco della costante diffusione degli Infostealer, inoltre, è stata osservata una crescita dell’uso illecito di strumenti di controllo remoto come ScreenConnect o UltraVNC, strumenti che presentano funzionalità molto simili al noto TeamViewer. Questi strumenti consentono di assumere il controllo delle macchine delle vittime, visualizzandone il contenuto del loro schermo ed interagendo con esso come farebbe un utente locale utilizzando mouse e tastiera.

Nel corso del 2023, infine, Telegram ha consolidato la sua posizione di ecosistema predominante utilizzato dalle attività di cybercrime, come evidenziato dalla grande diffusione sui suoi canali della vendita e divulgazione di dati personali e aziendali rubati. Inoltre, ha assunto un ruolo predominante anche come luogo privilegiato per la rivendicazione di attacchi informatici e di compromissione, soprattutto da parte di collettivi filorussi e gang ransomware.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articolo 1 di 5