Nella prima settimana di luglio, l’osservatorio sul phishing del Cert-AgID ha segnalato la presenza di 23 campagne malevole in Italia, con 18 obiettivi specifici italiani e 5 generiche che hanno comunque interessato il nostro Paese. Queste campagne hanno portato alla luce 180 indicatori di compromissione (IOC), che sono stati messi a disposizione degli enti accreditati.
Phishing: le nuove truffe in circolazione
Nove temi principali sono stati sfruttati per veicolare tali campagne malevole. Tra questi, il banking, utilizzato esclusivamente per le campagne di phishing e smishing rivolte ai clienti di istituti bancari italiani, e i pagamenti, sfruttati per diffondere i malware AgentTesla, Vidar e Formbook. Inoltre, il tema delivery è stato utilizzato per le campagne malware AgentTesla (DHL) e Ursnif (BRT).
Cinque famiglie di malware sono state osservate nello scenario italiano. Tra queste, AgentTesla, diffuso attraverso quattro campagne italiane a tema “Ordine”, “Delivery” e “Pagamenti”, e Formbook, contrastato in due campagne generiche a tema “Ordine” e “Pagamenti”. È stata inoltre individuata una campagna italiana a tema “Documenti” che diffonde IcedId tramite email con allegati PDF contenenti un link a file JS malevolo.
Questi malware sono stati veicolati attraverso email che simulavano comunicazioni da parte di società di consegna come DHL e BRT. Ciò dimostra come gli attacchi di phishing e malware possano facilmente mascherarsi come comunicazioni legittime, rendendo ancora più importante l’attenzione e la consapevolezza degli utenti.
Le campagne di malware AgentTesla, in particolare, sono state diffuse attraverso email con allegati in vari formati, tra cui IMG, DOC, DOCX e 7Z. Ciò è noto per le sue capacità di keylogging e di furto di dati, e può rappresentare una grave minaccia per la sicurezza dei dati personali e aziendali.
Un altro malware di rilievo è Formbook, che è stato contrastato in due campagne generiche a tema “Ordine” e “Pagamenti”. Formbook è un infector di file che può rubare dati sensibili, come credenziali di accesso e informazioni bancarie, e può anche scaricare e eseguire ulteriori payload malevoli.