Nov 11, 2024 Stefano Silvestri Hacking, Intrusione, Malware, News, Phishing, Tecnologia, Vulnerabilità 0

---

Questa settimana, il CERT-AGID ha rilevato e analizzato complessivamente 41 campagne malevole all’interno del contesto italiano.

Di queste 26 sono state mirate specificamente a obiettivi in Italia mentre 15 hanno avuto natura generica, coinvolgendo comunque il territorio nazionale.

A seguito delle analisi, sono stati resi disponibili ai suoi enti accreditati 255 indicatori di compromissione (IoC) identificati.

I temi della settimana

Per quanto riguarda i temi sfruttati nelle campagne, sono stati identificati 20 argomenti utilizzati per diffondere attacchi malevoli in Italia.

Tra questi, il tema del Rinnovo è stato usato nelle campagne di phishing rivolte agli utenti di Aruba, mentre l’argomento degli Ordini è stato centrale in numerose campagne, sia italiane che generiche, per distribuire i malware VIP Keylogger, Snake Keylogger, AgentTesla e Remcos.

Gli Avvisi di Sicurezza sono stati invece sfruttati in campagne di phishing generiche mirate agli utenti di AVG e in due campagne italiane, che hanno abusato dei brand Zimbra e Aruba.

Inoltre, il tema dei Documenti è stato impiegato in una campagna generica contro utenti Microsoft, in una campagna italiana che imitava una comunicazione di Webmail e in una destinata agli utenti di Telegram.

Gli altri temi rilevati sono stati utilizzati per la diffusione di ulteriori campagne di malware e phishing di vario genere.

Tra gli eventi di particolare rilievo di questa settimana, è stata rilevata una nuova ondata di malspam PEC in Italia, destinata a diffondere il malware Vidar tramite link per il download di file VBS.

Inoltre, è stata identificata una campagna di phishing mirata all’Università di Pisa, volta al furto di credenziali d’accesso tramite una pagina fraudolenta con il logo dell’ateneo, ospitata su un dominio Weebly.

Gli IoC associati sono stati condivisi con le pubbliche amministrazioni accreditate, e si è richiesto il takedown del sito malevolo.

Infine, è emersa una campagna di phishing italiana veicolata tramite chat Telegram, in cui le vittime ricevono messaggi che le spingono a cliccare su un link, con l’obiettivo di sottrarre la sessione Telegram.

Malware della settimana

Durante la settimana, sono state individuate otto famiglie di malware che hanno colpito l’Italia.

Tra le campagne più rilevanti, si segnalano quella relativa ad AgentTesla, distribuita tramite diverse campagne generiche a tema “Ordine” e “Preventivo” veicolate con email contenenti allegati ZIP e TAR.

La campagna FormBook, invece, ha utilizzato il tema “Contratti” per diffondersi in Italia, inviando email con allegati IMG.

Il malware Vidar, come scrivevamo poc’anzi, è stato diffuso attraverso una campagna italiana a tema “Pagamenti”, veicolata tramite PEC con link per scaricare file VBS, mentre Irata ha sfruttato il tema “Banking” inviando APK malevoli tramite SMS.

Remcos è stato individuato in una campagna generica a tema “Ordine”, distribuito tramite email con allegato RAR, e VIPKeylogger è stato diffuso in una campagna italiana simile, ma con allegato DOC.

Infine, BingoMod e Snake Keylogger, entrambi legati al tema “Banking”, sono stati diffusi rispettivamente tramite SMS con allegato APK e email con allegato Z.

Phishing della settimana

Nella settimana appena trascorsa, sono stati coinvolti ben 17 brand in campagne di phishing, un dato che riflette l’ampiezza e la varietà delle strategie messe in atto dai cybercriminali.

I marchi maggiormente bersagliati sono stati Aruba, Webmail generica, Zimbra e Microsoft, ognuno preso di mira con tattiche studiate per sfruttare la fiducia degli utenti nei servizi di posta elettronica e collaborazione online.

Aruba e Microsoft, in particolare, rappresentano servizi di uso quotidiano per molte persone e organizzazioni in Italia, motivo per cui le campagne malevole che li coinvolgono tendono ad avere maggiore impatto, arrivando a un pubblico vasto e potenzialmente vulnerabile.

Formati e canali di diffusione

L’analisi settimanale del CERT-AGID ha identificato 9 diversi formati di file utilizzati per veicolare contenuti malevoli.

Tra questi, i formati ZIP, SHTML e APK sono risultati i preferiti dai cybercriminali, impiegati in due campagne ciascuno.

Altri formati, come IMG, TAR, VBS, RAR, DOC e Z, sono stati usati una sola volta, ma la loro presenza testimonia la varietà di tecniche utilizzate per evitare rilevamenti e massimizzare il potenziale di attacco.

Le email tradizionali confermano il loro ruolo centrale come vettore di diffusione dei malware, con ben 36 campagne distribuite tramite questo canale.

Nonostante l’evoluzione di nuovi mezzi di comunicazione, l’email rimane uno strumento efficace per i cybercriminali, in particolare quando riescono a personalizzare i messaggi e a renderli convincenti agli occhi degli utenti.

Gli attacchi veicolati tramite SMS sono stati meno frequenti, ma hanno comunque registrato 3 campagne diverse, mentre la Posta Elettronica Certificata (PEC) e le Chat, pur utilizzate solo una volta ciascuna, evidenziano la tendenza dei criminali a diversificare i canali di attacco.

---

---

---

https://www.securityinfo.it/2024/11/11/cert-agid-2-8-novembre-luniversita-di-pisa-il-malware-vidar-e-telegram-protagonisti-della-settimana/?utm_source=rss&utm_medium=rss&utm_campaign=cert-agid-2-8-novembre-luniversita-di-pisa-il-malware-vidar-e-telegram-protagonisti-della-settimana

Nov 06, 2024 Marina Londei In evidenza, Malware, Minacce, News 0

---

Il team di Unit 42 di Palo Alto Networks ha scoperto che il gruppo ransomware nord-coreano Jumpy Pisces ha cominciato a collaborare con il gruppo Play, fornitore di ransomware-as-a-service.

Si tratta di un cambiamento significativo delle attività del gruppo: è la prima volta che questi cybercriminali usano un’infrastruttura esistente per i loro attacchi, un potenziale segno della volontà di ampliare i propri confini d’azione.

Autore di crimini finanziari e campagne di cyberspionaggio dal 2022, il gruppo avrebbe cominciato a usare il ransomware di Play dallo scorso settembre; in particolare, a usare il servizio sarebbe Fiddling Scorpius, un sottogruppo del team principale.

La campagna è cominciata a maggio 2024: dopo aver sfruttato un account compromesso per l’accesso alla rete della vittima, il gruppo ha utilizzato Sliver, un tool open-source, e DTrack, un malware custom sviluppato dallo stesso team, per mantenere la persistenza. Questi strumenti hanno comunicato col server degli attaccanti per diversi mesi, fino a quando, a settembre, è cominciato l’attacco con il ransomware di Play.

Oltre a Sliver e Dtrack, gli attaccanti hanno usato un tool dedicato per creare un account con privilegi elevati sui dispositivi delle vittime e una versione personalizzata di Mimikatz per il dump delle credenziali. Infine, Fiddling Scorpius avrebbe usato anche un malware per sottrarre la cronologia di Chrome, Edge e Brave.

Ci sono diversi motivi per cui i ricercatori ritengono che Jumpy Pisces sia effettivamente legato a Play: in primo luogo, l’account compromesso usato per l’accesso iniziale era già stato usato in altre campagne del ransomware; inoltre, ci sono numerose somiglianze tra le tattiche e le tecniche usate dai due gruppi.

Al momento non è chiaro se Jumpy Pisces è diventato un affiliato ufficiale di Play o se si è limitato a vendere l’accesso iniziale alle reti al gruppo. “In ogni caso, questo incidente di sicurezza è significativo perché segna la prima collaborazione registrata tra Jumpy Pisces, gruppo nord-coreano appoggiato dal governo, e una rete di ransomware clandestina” affermano i ricercatori. Il timore è che questo tipo di collaborazione diventi un vero e proprio trend in cui i gruppi nord-coreani parteciperanno a campagne ransomware sempre più ampie, con conseguenze estese globalmente.

---

---

---

https://www.securityinfo.it/2024/11/06/jumpy-pisces-sta-collaborando-col-gruppo-ransomware-play/?utm_source=rss&utm_medium=rss&utm_campaign=jumpy-pisces-sta-collaborando-col-gruppo-ransomware-play

The IP address returned by a package Phylum analyzed was: hxxp://193.233.201[.]21:3001.

While the method was likely intended to conceal the source of second-stage infections, it ironically had the effect of leaving a trail of previous addresses the attackers had used in the past. The researchers explained:

An interesting thing about storing this data on the Ethereum blockchain is that Ethereum stores an immutable history of all values it has ever seen. Thus, we can see every IP address this threat actor has ever used.

On 2024-09-23 00:55:23Z it was hxxp://localhost:3001
From 2024-09-24 06:18:11Z it was hxxp://45.125.67[.]172:1228
From 2024-10-21 05:01:35Z it was hxxp://45.125.67[.]172:1337
From 2024-10-22 14:54:23Z it was hxxp://193.233[.]201.21:3001
From 2024-10-26 17:44:23Z it is hxxp://194.53.54[.]188:3001

When installed, the malicious packages come in the form of a packed Vercel package. The payload runs in memory, sets itself to load with each reboot, and connects to the IP address from the ethereum contract. It then “performs a handful of requests to fetch additional Javascript files and then posts system information back to the same requesting server,” the Phylum researchers wrote. “This information includes information about the GPU, CPU, the amount of memory on the machine, username, and OS version.”

Attacks like this one rely on typosquatting, a term for the use of names that closely mimic those of legitimate packages but contain small differences, such as those that might occur if the package was inadvertently misspelled. Typosquatting has long been a tactic for luring people to malicious websites. Over the past five years, typosquatting has been embraced to trick developers into downloading malicious code libraries.

Developers should always double-check names before running downloaded packages. The Phylum blog post provides names, IP addresses, and cryptographic hashes associated with the malicious packages used in this campaign.

https://arstechnica.com/security/2024/11/javascript-developers-targeted-by-hundreds-of-malicious-code-libraries/

Nov 04, 2024 Stefano Silvestri Attacchi, Hacking, Malware, Minacce, News, Phishing, Tecnologia 0

---

Questa settimana, il CERT-AGID ha analizzato 59 campagne malevole nel contesto italiano. Di queste, 32 erano mirate specificatamente a obiettivi italiani, mentre 17 erano di natura generica ma hanno comunque coinvolto il nostro Paese. L’analisi ha portato all’identificazione di 413 indicatori di compromissione (IoC), che sono stati condivisi con gli enti accreditati.

I temi della settimana

Durante questa settimana sono emersi 17 temi principali utilizzati per diffondere campagne malevole in Italia.

Le minacce più significative hanno riguardato false fatture, attraverso cui sono stati diffusi malware come Adwind, FormBook, XWorm e SnakeKeylogger.

Numerosi attacchi di phishing hanno poi sfruttato presunti avvisi di sicurezza, prendendo di mira utenti di Microsoft, Zimbra e Mooney.

Il settore bancario è stato particolarmente colpito, con campagne di phishing e smishing dirette ai clienti di vari istituti, tra cui Poste Italiane e American Express. In questo contesto sono stati diffusi anche malware come SpyNote, BingoMod e EagleSpy tramite file APK.

Altri attacchi hanno sfruttato false notifiche relative a documenti, colpendo utenti Microsoft e DocuSign, e diffondendo il malware AgentTesla.

Anche il tema dei pagamenti è stato utilizzato per attacchi di phishing contro utenti Adobe e OneDrive, oltre alla diffusione di XWorm.

Tra gli eventi più rilevanti, si segnala una campagna di diffusione del trojan XWorm RAT tramite false email di Namirial, una serie di attacchi phishing a nome INPS mirati al furto di dati sensibili, e il ritorno dopo tre mesi di una campagna italiana che diffonde il malware BingoMod via APK.

Malware della settimana

Durante questa settimana sono state identificate 14 famiglie di malware attive in Italia.

SnakeKeylogger ha lanciato tre campagne incentrate su temi come fatture, preventivi e ordini, utilizzando allegati 7Z, LHA e LHZ nelle email.

XWorm si è concentrato su false fatture e pagamenti, diffondendosi attraverso allegati ZIP, mentre AgentTesla ha puntato su ordini e documenti in due campagne generiche.

FormBook ha colpito con due campagne distinte su fatture e acquisti, sempre via ZIP, e Adwind ha diffuso due attacchi legati a false fatture tramite file JAR e HTML.

PureLogs ha utilizzato il tema dei preventivi in due campagne generiche con allegati ZIP e SCR. Nel settore bancario, SpyNote ed EagleSpy hanno diffuso APK malevoli via SMS, così come BingoMod, tornato attivo dopo una pausa.

Altre minacce significative hanno incluso AsyncRAT con una campagna sugli ordini, Emotet e LummaStealer focalizzati su false fatture via ZIP, e NuGet che ha sfruttato il package manager .NET con allegati XLS.

Particolarmente critica la situazione degli apparati FortiManager, colpiti da attacchi FortiJump che sfruttano la vulnerabilità CVE-2024-47575.

Phishing della settimana

Nel corso della settimana, le campagne di phishing hanno strumentalizzato 15 diversi marchi commerciali, sfruttando la loro notorietà per ingannare gli utenti.

Le truffe più frequenti hanno preso di mira in particolare gli utenti di Microsoft, Aruba e Zimbra, probabilmente per via della loro ampia base di clienti e della natura sensibile dei servizi offerti.

Particolarmente diffuse sono state anche le campagne generiche che hanno simulato comunicazioni da servizi di posta elettronica, un approccio che permette ai criminali di colpire un pubblico più vasto senza limitarsi agli utenti di una singola piattaforma.

Formati e canali di diffusione

Nell’analisi settimanale dei metodi d’attacco informatico, sono emersi 12 diversi formati di file malevoli.

Il formato ZIP si è rivelato il preferito dai criminali, essendo stato impiegato in 10 diverse campagne.

Al secondo posto troviamo i file APK, utilizzati in 4 attacchi, seguiti dai file HTML con 3 occorrenze e JAR con 2.

Altri formati come XLS, VBS, 7Z, SCR, LHA, BAT, URL e LHZ sono stati utilizzati una sola volta ciascuno.

Le email tradizionali rimangono il principale vettore di diffusione, con ben 53 campagne malevole distribuite attraverso questo canale.

Gli attacchi via SMS, seppur meno frequenti, hanno registrato 5 campagne distinte, mentre la Posta Elettronica Certificata (PEC) è stata utilizzata in un solo caso.

---

---

---

https://www.securityinfo.it/2024/11/04/cert-agid-26-ottobre-1-novembre-59-campagne-malevole-namiral/?utm_source=rss&utm_medium=rss&utm_campaign=cert-agid-26-ottobre-1-novembre-59-campagne-malevole-namiral

Ott 28, 2024 Stefano Silvestri Attacchi, Hacking, Intrusione, Malware, Minacce, Minacce, News, Phishing, Tecnologia 0

---

L’ultima settimana ha visto la consueta attività di monitoraggio da parte del CERT-AGID sulla sicurezza informatica nazionale.

Il team ha individuato e analizzato complessivamente 49 campagne malevole. Di queste campagne, 27 hanno preso di mira specificamente obiettivi italiani, mentre le restanti 22 hanno fatto parte di offensive più ampie che hanno comunque interessato il nostro Paese.

L’analisi tecnica condotta dal CERT-AGID ha portato all’identificazione di ben 362 indicatori di compromissione, noti come IoC, messi prontamente a disposizione degli enti accreditati.

I temi della settimana

Il panorama delle minacce informatiche in Italia questa settimana rivela 18 diverse tematiche sfruttate dai cybercriminali per condurre le loro campagne malevole.

Il settore dei Pagamenti emerge come uno dei fronti più critici, con attacchi di phishing mirati a utenti di servizi come Adobe Cloud e OVHcloud.

Su questo fronte, i criminali informatici hanno dispiegato un arsenale variegato composto di malware tra cui SnakeKeylogger, VipKeylogger, Remcos, XWorm e Formbook, colpendo sia obiettivi italiani che internazionali.

Il comparto bancario continua a rappresentare un bersaglio privilegiato, con intense campagne di phishing e smishing dirette ai correntisti di importanti istituti come Poste Italiane, Intesa Sanpaolo e Banco Desio.

In questo ambito sono stati identificati anche attacchi più sofisticati che utilizzano i malware Spynote e Remcos.

Particolare attenzione merita una nuova offensiva ai danni dei clienti Intesa Sanpaolo, caratterizzata da un approccio particolarmente insidioso: l’invio di email fraudolente da caselle PEC compromesse.

L’intervento tempestivo del CERT-AGID, in collaborazione con i gestori PEC, ha permesso di contrastare efficacemente questa minaccia.

Sul fronte delle vulnerabilità infrastrutturali, Fortinet ha segnalato una grave falla nel sistema FortiManager, che consente agli attaccanti di eseguire codice da remoto senza necessità di autenticazione, sfruttando il daemon fgfmsd.

La situazione è particolarmente sensibile poiché questa vulnerabilità è già stata sfruttata attivamente per compromettere diversi sistemi.

Il CERT-AGID ha diffuso gli indicatori relativi agli attacchi in corso, che secondo le analisi sarebbero riconducibili al gruppo cybercriminale UNC5820.

A completare il panorama delle minacce troviamo gli attacchi basati su Documenti, utilizzati in campagne italiane di phishing indirizzate a webmail generiche e impiegati per diffondere i malware Remcos e AgentTesla.

Infine, emerge il tema Undelivered, sfruttato in numerose campagne di phishing mirate contro utenti Norton e webmail generiche, oltre a una campagna più ampia per diffondere il malware FormBook.

Malware della settimana

Il CERT-AGID ha rivelato 11 diverse famiglie di malware attivamente impegnate in campagne di attacco sul territorio nazionale.

FormBook si è distinto per la sua versatilità, colpendo attraverso tre diverse campagne che hanno sfruttato temi legati a pagamenti, acquisti e notifiche di mancata consegna. Gli attacchi sono stati veicolati tramite email contenenti allegati in formato VBS, ZIP e RAR.

Particolarmente aggressiva è stata anche la presenza di Remcos, con tre distinte campagne che hanno preso di mira il settore bancario e la gestione documentale. Gli aggressori hanno utilizzato un mix di allegati malevoli in formato PDF, 7Z, BAT e DOCX per diffondere il malware.

Sul fronte del furto di dati, Snake Keylogger ha lanciato tre campagne mirate al mercato italiano, concentrandosi sui temi dei pagamenti e delle consegne, mentre SpyNote ha intensificato la sua presenza nel settore bancario attraverso tre campagne di smishing che distribuiscono APK malevoli via SMS.

Guloader ha diversificato i suoi attacchi tra gestione documentale e richieste di preventivi, mentre AgentTesla ha puntato specificamente sul tema dei documenti, utilizzando file ISO come vettore di infezione. NjRAT ha invece sfruttato il tema delle consegne, distribuendo il suo payload attraverso allegati VBS.

Di particolare interesse è la minaccia rappresentata da FortiJump, legata agli attacchi del gruppo UNC5820 che sta attivamente sfruttando la vulnerabilità CVE-2024-47575 nei sistemi FortiManager.

Completano il quadro VIPKeylogger, con una campagna mirata ai pagamenti, Azorult, che ha preso di mira il settore degli acquisti, e XWorm, anch’esso focalizzato sui pagamenti, tutti distribuiti attraverso vari formati di file compressi allegati alle email.

Phishing della settimana

L’ultima settimana ha evidenziato un’attività di phishing che ha coinvolto 17 marchi di rilievo nel panorama digitale italiano.

Tra i brand più colpiti spiccano alcuni nomi celebri del panorama nazionale: Adobe, con le sue suite di prodotti cloud, è stato ripetutamente preso di mira, così come due pilastri del settore bancario italiano, Intesa Sanpaolo e Poste Italiane. Significativo anche il numero di attacchi diretti verso Aruba, uno dei principali fornitori di servizi digitali nel paese.

La prevalenza di attacchi verso caselle di posta elettronica generiche rappresenta una tendenza particolarmente sensibile. Questa strategia permette ai malintenzionati di colpire un pubblico più ampio, senza limitarsi agli utenti di specifici servizi, aumentando così le probabilità di successo delle loro campagne fraudolente.

Le strategie di diffusione del malware nell’ultima settimana hanno rivelato un quadro articolato delle tecniche utilizzate dai cybercriminali. L’analisi ha messo in luce una sofisticata varietà di approcci, con tredici diversi formati di file impiegati nelle campagne malevole.

Formati e canali di diffusione

I criminali informatici hanno mostrato una particolare predilezione per i file VBS, APK e ZIP, ciascuno utilizzato in 3 distinte occasioni.

La strategia è stata poi diversificata con l’impiego di formati come ISO, 7Z, PDF, HTML e RAR, ognuno utilizzato in 2 diverse campagne.

L’arsenale a disposizione dei malintenzionati si è poi completato con un uso più mirato di formati come DOCX, UEE, SHTML, BAT e LHZ, ciascuno impiegato in una singola occasione.

Per quanto riguarda i canali di distribuzione, la posta elettronica tradizionale si conferma lo strumento preferito dai cybercriminali, con ben 45 campagne veicolate attraverso questo mezzo.

Gli SMS si posizionano come canale secondario con 4 campagne, mentre risulta significativa l’assenza di attacchi condotti tramite PEC.

---

---

---

https://www.securityinfo.it/2024/10/28/cert-agid-5-11-ottobre-intesa-sanpaolo-e-fortinet-sotto-attacco/?utm_source=rss&utm_medium=rss&utm_campaign=cert-agid-5-11-ottobre-intesa-sanpaolo-e-fortinet-sotto-attacco

Credit: haxrob

The malware resides in the userspace portion of the interbank switch connecting the issuing domain and the acquiring domain. When a compromised card is used to make a fraudulent translation, FASTCash tampers with the messages the switch receives from issuers before relaying it back to the merchant bank. As a result, issuer messages denying the transaction are changed to approvals.

The following diagram illustrates how FASTCash works:

Credit: haxrob

The switches chosen for targeting run misconfigured implementations of ISO 8583, a messaging standard for financial transactions. The misconfigurations prevent message authentication mechanisms, such as those used by field 64 as defined in the specification, from working. As a result, the tampered messages created by FASTCash aren’t detected as fraudulent.

“FASTCash malware targets systems that ISO8583 messages at a specific intermediate host where security mechanisms that ensure the integrity of the messages are missing, and hence can be tampered,” haxrob wrote. “If the messages were integrity protected, a field such as DE64 would likely include a MAC (message authentication code). As the standard does not define the algorithm, the MAC algorithm is implementation specific.”

The researcher went on to explain:

FASTCash malware modifies transaction messages in a point in the network where tampering will not cause upstream or downstream systems to reject the message. A feasible position of interception would be where the ATM/PoS messages are converted from one format to another (For example, the interface between a proprietary protocol and some other form of an ISO8583 message) or when some other modification to the message is done by a process running in the switch.

CISA said that BeagleBoyz—one of the names the North Korean hackers are tracked under—is a subset of HiddenCobra, an umbrella group backed by the government of that country. Since 2015, BeagleBoyz has attempted to steal nearly $2 billion. The malicious group, CISA said, has also “manipulated and, at times, rendered inoperable, critical computer systems at banks and other financial institutions.”

The haxrob report provides cryptographic hashes for tracking the two samples of the newly discovered Linux version and hashes for several newly discovered samples of FASTCash for Windows.

https://arstechnica.com/security/2024/10/north-korean-hackers-use-newly-discovered-linux-malware-to-raid-atms/

Ott 14, 2024 Stefano Silvestri Attacchi, Hacking, Intrusione, Malware, Minacce, Minacce, News, Phishing, Tecnologia, Vulnerabilità 0

---

Nell’ultima settimana, il CERT-AGID (Computer Emergency Response Team dell’Agenzia per l’Italia Digitale) ha condotto un’analisi della sicurezza informatica in Italia.

Complessivamente, sono state identificate 28 campagne malevole, di cui 18 mirate specificamente a obiettivi italiani e 10 di natura più generica ma comunque con un impatto significativo sul nostro paese.

Nel corso di questa attività di monitoraggio e analisi, il CERT-AGID ha individuato 378 indicatori di compromissione (IoC), prontamente condivisi con gli enti accreditati per rafforzare le loro difese contro le minacce informatiche.

I temi della settimana

Nell’ultima settimana, le campagne malevole sul territorio italiano hanno sfruttato 13 temi per ingannare le vittime.

Tra questi, immancabilmente, il Banking è emerso come uno degli obiettivi principali, con attacchi di smishing mirati ai clienti di istituti come Intesa Sanpaolo, Crédit Agricole e Zenith Bank. Questo tema è stato anche utilizzato per diffondere il malware SpyNote attraverso file APK inviati via SMS.

Il tema dei Pagamenti è stato sfruttato in una campagna di phishing contro gli utenti di Hostinger, oltre a essere impiegato per distribuire i malware FormBook e SnakeKeylogger.

Le campagne incentrate sui Documenti hanno preso di mira servizi come Adobe, Outlook e cPanel, mentre il tema del Rinnovo è stato utilizzato per attacchi contro clienti di Aruba e Wix.

Oltre a questi, sono stati identificati altri temi utilizzati per veicolare diverse tipologie di malware e campagne di phishing.

Tra gli eventi di particolare rilievo, si segnala una campagna di phishing che ha sfruttato il nome e il logo della Polizia di Stato per rubare le credenziali email degli utenti.

Inoltre, il CERT-AGID ha individuato due campagne di phishing a tema INPS, mirate a sottrarre dati sensibili con la promessa di erogazioni di denaro. In questi casi, le vittime sono state indotte a fornire informazioni personali dettagliate, inclusi IBAN, selfie e documenti d’identità.

 Malware della settimana

Nel corso dell’ultima settimana, l’Italia è stata interessata da attività malevole riconducibili a cinque diverse famiglie di malware, ciascuna con le proprie caratteristiche e modalità di diffusione.

Il malware FormBook si è distinto per la sua versatilità, essendo stato veicolato attraverso multiple campagne. Una di queste, specificamente mirata al contesto italiano, ha sfruttato il tema dei Pagamenti, diffondendosi tramite email contenenti allegati VBS.

Parallelamente, sono state identificate due campagne di portata più ampia, anch’esse incentrate sui temi Pagamenti e Ordine, che hanno utilizzato email con allegati RAR come vettore di diffusione.

SpyNote, un’altra minaccia significativa, ha preso di mira il settore bancario italiano. Questa famiglia di malware ha adottato una strategia di diffusione basata sull’invio di APK malevoli tramite SMS, sfruttando la crescente dipendenza degli utenti dai servizi bancari mobili.

Snake Keylogger ha fatto la sua comparsa in una campagna specifica per l’Italia, ancora una volta sfruttando il tema dei pagamenti. In questo caso, il malware è stato distribuito attraverso email contenenti allegati in formato XZ.

Le ultime due famiglie di malware identificate, LummaC e RedLine, hanno mostrato un approccio più generico.

Mentre per LummaC non sono stati forniti dettagli specifici sulla sua campagna, RedLine si è distinto per una campagna incentrata sul tema Preventivo.

Questa ultima minaccia ha utilizzato una strategia di diffusione basata su email contenenti allegati sia in formato PDF che ISO, dimostrando una certa flessibilità nelle sue tattiche d’infezione.

Phishing della settimana

 Nel corso dell’ultima settimana, le campagne di phishing hanno preso di mira un totale di 17 marchi noti, sfruttando la loro reputazione e familiarità presso il pubblico per ingannare le potenziali vittime.

Questo dato evidenzia la persistente minaccia del phishing nel panorama della sicurezza informatica italiana e la necessità di una costante vigilanza da parte degli utenti.

Tra i vari obiettivi, tre brand in particolare sono emersi come bersagli principali delle attività di phishing, distinguendosi per la frequenza e l’intensità degli attacchi.

L’INPS (Istituto Nazionale della Previdenza Sociale) si è trovato in cima a questa lista, riflettendo la tendenza dei cybercriminali a sfruttare la fiducia dei cittadini nelle istituzioni pubbliche.

Intesa Sanpaolo è stato anch’esso bersaglio di numerose campagne di phishing. Ciò sottolinea come il settore finanziario continui a essere un obiettivo privilegiato per i criminali informatici, data la possibilità di accedere direttamente a informazioni finanziarie sensibili e potenzialmente a fondi delle vittime.

Infine, cPanel, una popolare piattaforma di gestione di hosting web, ha completato il trio dei brand più colpiti. Questo suggerisce un interesse crescente dei malintenzionati verso le credenziali di accesso a servizi di hosting, probabilmente con l’intento di compromettere siti web per ulteriori attività malevole.

 Formati e canali di diffusione

L’esame delle recenti attività malevole ha messo in luce la versatilità dei cybercriminali nell’impiego di diversi formati di file per le loro campagne d’attacco.

L’analisi ha identificato l’uso di 8 distinte tipologie di file, evidenziando una strategia diversificata volta a massimizzare le possibilità di successo delle loro operazioni.

Il formato PDF si è distinto come il più frequentemente utilizzato, comparendo in 3 e diverse occasioni.

Seguono i formati APK e RAR, ciascuno impiegato due volte, mentre altri formati come VBS, XZ, ISO, ZIP e HTML sono stati riscontrati una sola volta ciascuno.

Per quanto concerne i metodi di diffusione, le email si confermano il canale preferito, essendo state utilizzate in ben 25 occasioni. Questo dato sottolinea la persistente efficacia del phishing via email nonostante la crescente consapevolezza degli utenti.

Gli SMS, impiegati due volte, indicano un interesse verso gli attacchi basati su dispositivi mobili, mentre l’uso singolo della PEC suggerisce tentativi di sfruttare la percezione di sicurezza associata a questo sistema di posta certificata.

---

---

---

https://www.securityinfo.it/2024/10/14/cert-agid-5-11-ottobre-378-ioc-e-una-campagna-di-phishing-che-basata-sulla-polizia-di-stato/?utm_source=rss&utm_medium=rss&utm_campaign=cert-agid-5-11-ottobre-378-ioc-e-una-campagna-di-phishing-che-basata-sulla-polizia-di-stato

This Reddit comment posted to the CentOS subreddit is typical. An admin noticed that two servers were infected with a cryptocurrency hijacker with the names perfcc and perfctl. The admin wanted help investigating the cause.

“I only became aware of the malware because my monitoring setup alerted me to 100% CPU utilization,” the admin wrote in the April 2023 post. “However, the process would stop immediately when I logged in via SSH or console. As soon as I logged out, the malware would resume running within a few seconds or minutes.” The admin continued:

I have attempted to remove the malware by following the steps outlined in other forums, but to no avail. The malware always manages to restart once I log out. I have also searched the entire system for the string “perfcc” and found the files listed below. However, removing them did not resolve the issue. as it keep respawn on each time rebooted.

Other discussions include: Reddit, Stack Overflow (Spanish), forobeta (Spanish),  brainycp (Russian), natnetwork (Indonesian), Proxmox (Deutsch), Camel2243 (Chinese), svrforum (Korean), exabytes,>virtualmin,>serverfault and many others.

After exploiting a vulnerability or misconfiguration, the exploit code downloads the main payload from a server, which, in most cases, has been hacked by the attacker and converted into a channel for distributing the malware anonymously. An attack that targeted the researchers’ honeypot named the payload httpd. Once executed, the file copies itself from memory to a new location in the /temp directory, runs it, and then terminates the original process and deletes the downloaded binary.

Once moved to the /tmp directory, the file executes under a different name, which mimics the name of a known Linux process. The file hosted on the honeypot was named sh. From there, the file establishes a local command-and-control process and attempts to gain root system rights by exploiting CVE-2021-4043, a privilege-escalation vulnerability that was patched in 2021 in Gpac, a widely used open source multimedia framework.

https://arstechnica.com/security/2024/10/persistent-stealthy-linux-malware-has-infected-thousands-since-2021/

Nel contesto dell’era digitale, le minacce informatiche rappresentano una delle sfide più complesse per le aziende. Non si tratta più soltanto di proteggere i dati, ma di garantire la continuità operativa di intere organizzazioni in un panorama globale sempre più interconnesso. Il Threat Landscape 2024 di ENISA, l’Agenzia Europea per la Cybersecurity, traccia una panoramica dettagliata delle minacce informatiche attuali, analizzando tendenze, attori malevoli e soluzioni per la difesa.

Dal report emerge come ormai la cybersecurity non è più solo una preoccupazione tecnica, ma una parte fondamentale della strategia aziendale. Con l’aumento degli attacchi informatici e la loro crescente sofisticazione, le aziende devono essere pronte a difendersi in un contesto che cambia rapidamente.

Panoramica delle Minacce Informatiche

Nel 2024, le minacce informatiche sono aumentate sia in termini di volume che di sofisticazione. Attacchi come il ransomware, il malware e i Distributed Denial of Service (DDoS) stanno colpendo duramente settori critici come la sanità, la finanza e la pubblica amministrazione. Secondo ENISA, le minacce informatiche principali che le aziende devono affrontare includono ransomware, malware, attacchi di ingegneria sociale, violazioni di dati e attacchi alla supply chain.

Le 7 Principali Minacce Informatiche del 2024

1. Ransomware: Una delle Maggiori Minacce Informatiche

Il ransomware rimane una delle minacce informatiche più gravi per le aziende e continua a essere uno dei principali vettori di attacco nel 2024, con tecniche sempre più raffinate e dannose. L’evoluzione di questi attacchi ha portato a un aumento delle strategie di doppia e tripla estorsione, in cui gli attaccanti non solo criptano i dati delle vittime, ma minacciano anche di rilasciarli pubblicamente o di attaccare nuovamente se il riscatto non viene pagato. Gli attacchi ransomware hanno colpito in particolare settori come i servizi sanitari e finanziari, dove i dati sensibili e le operazioni critiche sono bersagli perfetti per estorsioni di alto profilo.

Dal punto di vista tecnico, gli attacchi ransomware spesso sfruttano vulnerabilità nei sistemi legacy o approfittano di credenziali compromesse. I vettori di accesso iniziali più comuni includono phishing mirato (spear phishing), exploit di vulnerabilità note e accesso ottenuto tramite broker di accessi iniziali (IAB). Una volta dentro la rete, gli attori malevoli utilizzano tecniche avanzate di Living Off The Land (LOTL) per sfruttare strumenti di sistema legittimi, evitando di essere rilevati dalle soluzioni di sicurezza tradizionali.

Mitigazione del Rischio Ransomware

Per difendersi da questo tipo di attacchi, le organizzazioni devono implementare una serie di misure preventive:

• Backup regolari e testati: Gli attacchi ransomware puntano a compromettere i dati, quindi backup frequenti e separati dalla rete principale sono fondamentali.
• Segmentazione della rete: Suddividere la rete in segmenti separati riduce l’impatto potenziale di un attacco e limita la capacità degli attaccanti di muoversi lateralmente all’interno della rete.
• Autenticazione multifattore (MFA): Limitare l’accesso agli asset critici utilizzando autenticazioni multiple, impedendo così agli attori malevoli di accedere ai sistemi solo con credenziali compromesse.

2. Malware: L’Ascesa del Malware-as-a-Service (MaaS)

Il malware resta uno dei metodi più comuni di attacco, ma il panorama si è evoluto significativamente. L’ascesa di modelli di business come il Malware-as-a-Service (MaaS) ha abbassato la barriera d’ingresso per i cybercriminali meno esperti, che possono acquistare e distribuire malware personalizzati su misura per le loro vittime.

Questi software malevoli sono progettati per compromettere la riservatezza, l’integrità e la disponibilità dei sistemi attaccati. Esempi di malware comuni includono trojan bancari, spyware e worm, tutti progettati per sottrarre dati sensibili o propagarsi all’interno delle reti aziendali.

Tecniche di Difesa Contro il Malware

• Monitoraggio continuo: Implementare soluzioni di endpoint detection and response (EDR), che forniscono una visibilità avanzata su ciò che accade su ogni endpoint della rete.
• Patching tempestivo: Il malware spesso sfrutta vulnerabilità conosciute nei sistemi software. È essenziale implementare una gestione rigida delle patch per chiudere queste falle prima che possano essere sfruttate.
• Threat intelligence: L’utilizzo di servizi di threat intelligence in tempo reale può aiutare a identificare e mitigare potenziali minacce prima che colpiscano.

3. Ingegneria Sociale: Il Fattore Umano Come Vettore di Attacco

Nonostante le difese tecnologiche avanzate, il fattore umano rimane uno degli anelli deboli della sicurezza informatica. Le tecniche di ingegneria sociale, come il phishing, lo spear phishing e gli attacchi Business Email Compromise (BEC), sfruttano l’errore umano per accedere a informazioni sensibili. Questi attacchi possono ingannare i dipendenti a divulgare credenziali o a eseguire azioni dannose come trasferimenti di denaro non autorizzati.

Prevenzione degli Attacchi di Ingegneria Sociale

• Formazione e sensibilizzazione: È essenziale educare continuamente i dipendenti sui rischi degli attacchi di ingegneria sociale, inclusi i segnali di phishing e altre tecniche di manipolazione.
• Simulazioni di attacchi: Le simulazioni regolari di phishing aiutano a preparare i dipendenti a riconoscere le minacce reali, migliorando la resilienza dell’organizzazione.

4. Minacce alla Disponibilità: Gli Attacchi DDoS e la Resilienza della Rete

Gli attacchi Denial of Service (DoS), in particolare i Distributed Denial of Service (DDoS), continuano a rappresentare una grave minaccia per le aziende, interrompendo i servizi e causando danni finanziari e reputazionali significativi. Questi attacchi sovraccaricano i sistemi con richieste illegittime, impedendo agli utenti legittimi di accedere ai servizi.

Difesa Contro gli Attacchi DDoS

• Infrastrutture scalabili: Utilizzare servizi di mitigazione DDoS basati su cloud che possano assorbire e neutralizzare il traffico malevolo prima che raggiunga l’infrastruttura aziendale.
• Architetture di rete distribuite: La distribuzione dei servizi su una rete globale di data center può ridurre l’impatto di un attacco DDoS, permettendo di deviare il traffico malevolo verso nodi meno vulnerabili.

5. Violazioni dei Dati: Difendere il Patrimonio Informativo

Le minacce ai dati, comprese le violazioni e le fughe di dati, sono tra le problematiche più critiche per le aziende nel 2024. Le violazioni dei dati non solo espongono informazioni sensibili, ma possono anche portare a pesanti sanzioni normative, in particolare nell’Unione Europea, dove il GDPR impone requisiti stringenti sulla protezione dei dati.

Misure per Proteggere i Dati dalle Minacce Informatiche

• Crittografia dei dati: Assicurarsi che tutti i dati sensibili, sia in transito che a riposo, siano adeguatamente crittografati per prevenire l’accesso non autorizzato.
• Gestione rigorosa delle autorizzazioni: Implementare controlli di accesso basati sui ruoli (RBAC) per limitare l’accesso ai dati sensibili solo al personale autorizzato.

6. Manipolazione dell’Informazione: Il Cyber Espionaggio e l’Interferenza Straniera

Il 2024 ha visto un aumento delle campagne di manipolazione delle informazioni, spesso utilizzate come strumento di disinformazione e interferenza elettorale. Queste campagne sono spesso condotte da attori statali e mirano a destabilizzare società o manipolare opinioni pubbliche a fini politici.

Contromisure per la Manipolazione dell’Informazione

• Monitoraggio dei media e dei social media: Implementare strumenti che rilevino rapidamente attività di disinformazione e che possano rispondere in modo proattivo con contro-narrative.
• Collaborazione intersettoriale: Lavorare con altre organizzazioni e agenzie governative per identificare e mitigare rapidamente queste minacce.

7. Attacchi alla Supply Chain: La Debolezza nei Sistemi Esterni

Gli attacchi alla supply chain sono emersi come una delle minacce informatiche più insidiose nel 2024. Questi attacchi mirano a compromessi nelle componenti software o hardware utilizzate da più organizzazioni. Un esempio notevole è il caso di compromissioni in progetti open-source, come XZ Utils, che ha visto l’introduzione di backdoor attraverso il social engineering verso i manutentori del progetto.

Difesa Contro gli Attacchi alla Supply Chain

• Verifica delle forniture: Implementare un processo rigoroso di verifica dei fornitori per garantire che i componenti software e hardware provengano da fonti affidabili.
• Monitoraggio continuo delle vulnerabilità: Mantenere un’attenzione costante sugli aggiornamenti dei software e sulle vulnerabilità potenzialmente sfruttabili nella catena di fornitura.

Attori delle Minacce

ENISA identifica quattro principali categorie di attori delle minacce:

• Attori collegati agli Stati: Questi gruppi, ben finanziati e con risorse significative, operano spesso per finalità di spionaggio o sabotaggio su larga scala.
• Cybercriminali: Gruppi che operano principalmente per profitto finanziario, utilizzando attacchi opportunistici per massimizzare il danno economico.
• Attori del Settore Privato Offensivo (PSOA): Aziende private che sviluppano e vendono cyberarmi avanzate.
• Hacktivisti: Gruppi motivati da cause politiche o sociali, che utilizzano attacchi informatici per promuovere il cambiamento.

Il Threat Landscape 2024 di ENISA mette in evidenza un panorama delle minacce in continua evoluzione, dove le tecnologie avanzate e le tattiche di attacco sempre più sofisticate richiedono un approccio proattivo e multilivello alla sicurezza informatica. Le aziende devono adottare misure integrate che includano tecnologie all’avanguardia, formazione costante del personale e strette collaborazioni con enti governativi e fornitori. Solo così sarà possibile affrontare con successo le sfide che la cybersecurity continuerà a presentare nel futuro prossimo. Solo con un approccio integrato sarà possibile mitigare l’impatto delle minacce informatiche sul lungo termine.

https://www.ictsecuritymagazine.com/notizie/minacce-informatiche-2024/

Set 30, 2024 Stefano Silvestri Malware, Minacce, News, Phishing, Tecnologia, Vulnerabilità 0

---

Nel corso dell’ultima settimana, il CERT-AGID ha condotto un’analisi approfondita dello scenario di sicurezza informatica in Italia. L’indagine ha portato all’identificazione di un totale di 39 campagne malevole.

Di queste, 20 erano specificatamente rivolte a obiettivi italiani, mentre le restanti 19, pur essendo di natura più generica, hanno comunque avuto un impatto significativo sul panorama digitale nazionale.

Nel corso di questa attività di monitoraggio, il CERT-AGID ha individuato e catalogato ben 475 indicatori di compromissione, che sono stati prontamente condivisi con gli enti accreditati presso il CERT-AGID, fornendo loro gli strumenti per rafforzare le proprie difese contro le minacce in corso.

I temi della settimana

L’ultima settimana ha visto emergere di 20 temi principali utilizzati per diffondere campagne malevole. Tra questi, alcuni si sono distinti per la loro rilevanza e frequenza.

Il settore bancario è stato particolarmente colpito, con numerose campagne di smishing che hanno preso di mira i clienti di diversi istituti, tra cui Intesa Sanpaolo, Credit Agricole e BPER.

Il tema delle consegne è stato sfruttato per diffondere malware come AgentTesla e FormBook, approfittando dell’aumento degli acquisti online. Analogamente, false richieste di preventivi e comunicazioni relative a pagamenti sono state utilizzate per veicolare una varietà di malware, tra cui Formbook, VIPKeylogger e SnakeKeylogger e Vidar.

Oltre a questi temi principali, sono state osservate numerose altre campagne di malware e phishing che hanno sfruttato argomenti diversi per ingannare gli utenti.

Un evento di particolare rilievo è stata l’identificazione di una nuova campagna malevola che utilizza la Posta Elettronica Certificata (PEC) per diffondere il malware Vidar. Questa campagna si distingue per l’uso innovativo di profili Telegram per comunicare gli indirizzi IP dei server di comando e controllo, dimostrando l’evoluzione delle tattiche degli attaccanti.

Inoltre, sono state rilevate nuove campagne di phishing che impersonano l’INPS, mirando a raccogliere dati personali attraverso false promesse di rimborsi. Queste campagne invitano i destinatari a compilare moduli fraudolenti, sfruttando la fiducia nei confronti dell’istituto previdenziale.

Malware della settimana

Nel corso della settimana, il panorama delle minacce informatiche in Italia ha visto l’emergere di otto famiglie di malware di particolare rilevanza. Queste campagne malevole hanno adottato diverse strategie per colpire gli utenti italiani e non solo.

AgentTesla si è distinto per la sua versatilità, con tre campagne mirate al pubblico italiano focalizzate su temi come “Ordine” e “Documenti”, oltre a diverse iniziative più generiche relative a “Delivery”, “Documenti” e “Avvisi sicurezza”. Gli attacchi sono stati veicolati attraverso email contenenti allegati in vari formati, tra cui IMG, ISO, RAR, VBS e ZIP.

FormBook ha lanciato due campagne specifiche per l’Italia incentrate su “Pagamenti” e “Delivery”, accompagnate da un’iniziativa più ampia sul tema “Preventivo”. Queste minacce sono state diffuse mediante email con allegati RAR e ZIP.

VIPKeylogger ha concentrato i suoi sforzi su due campagne italiane, sfruttando i temi “Pagamenti” e “Preventivo”. Gli attacchi sono stati condotti tramite email con allegati IMG e ZIP.

ZharkBot ha fatto la sua comparsa con una campagna italiana focalizzata sul tema “Ordine”, utilizzando email con allegati HTML e VBS come vettore di diffusione.

Umbral ha optato per un approccio più generico, lanciando una campagna sul tema “Aggiornamenti”. In questo caso, è stato analizzato un eseguibile del payload (EXE) distribuito tramite email.

SnakeKeylogger ha seguito una strategia simile, con una campagna generica sul tema “Preventivo”, di cui è stato esaminato un file eseguibile (EXE) diffuso via email.

Vidar ha adottato un approccio più sofisticato, conducendo una campagna italiana sul tema “Pagamenti” attraverso l’uso della Posta Elettronica Certificata (PEC) e collegamenti a file JavaScript.

Infine, njRAT ha lanciato una campagna generica distribuita tramite email contenenti allegati in formato JAR.

Phishing della settimana

Nel corso della settimana, il panorama del phishing in Italia ha visto il coinvolgimento di 15 marchi noti, utilizzati dagli attaccanti per ingannare gli utenti e sottrarre informazioni sensibili.

Tra i marchi più frequentemente imitati, Intesa Sanpaolo si è distinta per il numero di campagne fraudolente. Questa tendenza riflette il persistente interesse dei criminali informatici verso il settore bancario, dove la possibilità di accedere direttamente a informazioni finanziarie rappresenta un’attrattiva considerevole.

Anche Microsoft è stata al centro di numerose campagne di phishing. Dato il ruolo cruciale che i prodotti e servizi Microsoft giocano sia in ambito professionale che personale, non sorprende che gli attaccanti cerchino di sfruttare questa diffusa presenza per le loro attività illecite.

L’INPS (Istituto Nazionale della Previdenza Sociale) è stato un altro obiettivo ricorrente nelle campagne di phishing. La fiducia che i cittadini ripongono in questo ente governativo e la sensibilità delle informazioni che gestisce lo rendono un bersaglio particolarmente appetibile per i truffatori.

Il fenomeno più rilevante emerso dall’analisi è stato però il numero di campagne di phishing non associate a marchi specifici, ma mirate ai servizi di webmail generici. Queste campagne si sono rivelate particolarmente insidiose, puntando a carpire dati sensibili degli utenti attraverso false pagine di login o richieste di aggiornamento delle credenziali.

Formati e canali di diffusione

L’esame delle recenti campagne malevole ha messo in luce una strategia diversificata nell’uso dei formati di file, con sette tipologie distinte identificate durante l’analisi.

Gli eseguibili (EXE) hanno mantenuto la loro posizione di preminenza, essendo stati impiegati in nove campagne separate. I file compressi ZIP seguono al secondo posto, figurando in quattro diverse campagne mentre, con una frequenza leggermente inferiore, troviamo i formati VBS, HTML e RAR, riscontrati in tre campagne ciascuno.

I file JavaScript (JS) e le immagini (IMG) hanno avuto un’incidenza minore, apparendo in una sola campagna ciascuno.

Per quanto riguarda i metodi di propagazione, le email hanno riaffermato il loro ruolo dominante come vettore di diffusione preferito. Ben 37 campagne distinte hanno fatto affidamento su questo canale, confermando la sua persistente efficacia nel raggiungere un ampio spettro di potenziali vittime.

La Posta Elettronica Certificata (PEC) è emersa come un fronte di attacco meno utilizzato, essendo stata sfruttata in due campagne separate. È infine interessante notare l’assenza di segnalazioni riguardanti l’uso di SMS.

---

---

---

https://www.securityinfo.it/2024/09/30/cert-agid-14-20-settembre-nuove-campagne-di-phishing-inps-e-per-diffondere-il-malware-vidar/?utm_source=rss&utm_medium=rss&utm_campaign=cert-agid-14-20-settembre-nuove-campagne-di-phishing-inps-e-per-diffondere-il-malware-vidar