Nel periodo compreso tra il 29 novembre e il 5 dicembre, il CERT-AGID ha analizzato 77 campagne malevole dirette verso cittadini, aziende e pubbliche amministrazioni italiane.
Di queste, 43 hanno avuto obiettivi specifici in Italia, mentre 34 campagne generiche hanno comunque coinvolto utenti italiani.
Gli enti accreditati hanno ricevuto 1.615 indicatori di compromissione (IoC), uno dei volumi più alti delle ultime settimane.
I temi della settimana
Sono 24 i temi utilizzati dai criminali per diffondere phishing e malware, con una prevalenza di attività legate a banking, multe, verifiche documentali e ordini commerciali.
Il tema Banking è stato sfruttato in sette campagne di phishing, quasi tutte italiane, che hanno preso di mira i clienti di SumUp, Morgan Stanley, Crédit Agricole, Intesa Sanpaolo e Unicredit.
77 campagne malevole rilevate in Italia, con 1.615 indicatori di compromissione.
In parallelo, attività malware hanno diffuso varianti come Copybara, AgentTesla, Lokibot, GoldFactory e PhantomStealer, confermando l’interesse costante dei criminali verso le credenziali finanziarie.
Il tema Multe, osservato in nove campagne, ha continuato a generare un forte volume di phishing basato su finte comunicazioni PagoPA. Le email simulano avvisi di sanzioni non pagate e indirizzano le vittime su pagine malevole progettate per sottrarre dati personali e bancari.
Il tema Verifica è emerso in sette campagne, quattro delle quali italiane. I criminali hanno abusato del nome di Mooney, Roundcube, iCloud, MetaMask e persino del Governo italiano, sfruttando la pressione esercitata dalle richieste di aggiornamento dei dati per convincere gli utenti a inserire credenziali e informazioni sensibili.
Il tema Ordine, presente in sei campagne, è stato usato esclusivamente per veicolare malware come AgentTesla, FormBook, StrRAT, XWorm e Remcos, confermando l’efficacia degli allegati fittizi relativi a spedizioni e acquisti.
Tra gli eventi di particolare interesse, il CERT-AGID ha segnalato una campagna di phishing che sfrutta nome e insegne della Presidenza del Consiglio dei Ministri, veicolata tramite email che invita le vittime a “verificare i dati bancari” per rispettare presunte nuove disposizioni.
La pagina di destinazione replica l’aspetto di un portale istituzionale e propone un menu di selezione multi-banca, attraverso il quale i criminali tentano di catturare le credenziali di home banking.
Fonte: CERT-AGID
Un’ulteriore campagna di rilievo riguarda un phishing che imita il sito ufficiale dell’Agenzia delle Entrate, promettendo un rimborso di 115,50 euro e conducendo le vittime a inserire dati personali e della carta di credito in una replica della piattaforma originale.
Malware della settimana
Sono 18 le famiglie di malware registrate nella settimana.
Remcos è stato diffuso tramite una campagna italiana a tema “Ordine”, veicolata con allegato RAR, e attraverso cinque campagne generiche legate a “Aggiornamenti”, “Contratti”, “Preventivi” e “Prezzi”. I criminali hanno utilizzato formati diversi, tra cui file Z, ZIP, RAR, 7Z e DOCX.
FormBook è comparso in cinque campagne generiche a tema “Delivery”, “Pagamenti”, “Ordine” e “Prezzi”, tramite allegati ZIP, 7Z, RAR e DOCX, confermandosi uno dei trojan più ricorrenti del trimestre.
AgentTesla è stato osservato in due campagne italiane, relative ai temi “Fattura” e “Ordine”, distribuite tramite file TAR, oltre che in due campagne generiche a tema “Banking” e “Booking”, veicolate con archivi ZIP e 7Z.
Fonte: CERT-AGID
XWorm ha riguardato due campagne italiane, con temi “Contratti” e “Booking”, distribuite rispettivamente tramite RAR e PDF, mentre due campagne generiche hanno sfruttato formati XLAM e RAR.
DarkCloud è stato individuato in due campagne generiche a tema “Pagamenti” e “Fattura”, mentre Lokibot ha colpito tramite due campagne generiche a tema “Banking” e “Pagamenti”, diffuse con allegati ZIP e DOC.
La settimana ha registrato anche una serie di campagne distribuite via SMS che hanno sfruttato APK dannosi.
Tra queste compaiono Albiriox a tema “Aggiornamenti”, Copybara in una campagna italiana a tema “Banking”, GoldFactory in una campagna generica sempre legata al settore finanziario e SeedSnatcher in un’operazione a tema “Cryptovalute”.
Completano il quadro ulteriori campagne che hanno diffuso ClayRat, Grandoreiro a tema Documenti, e PhantomStealer, PureLogs Stealer, StrRAT a tema Banking, Contratti e Ordine.
Si segnalano infine due campagne generiche QuasarRAT e zgRAT a tema Pagamenti e Prezzi, veicolate attraverso file RAR e ZIP
Phishing della settimana
Sono 25 i brand coinvolti nelle campagne di phishing rilevate nel periodo.
Prevalgono ancora una volta le campagne che imitano PagoPA, insieme a quelle che sfruttano iCloud e le numerose webmail non brandizzate, usate per sottrarre credenziali personali e aziendali.
Fonte: CERT-AGID
Formati e canali di diffusione
Gli archivi compressi restano lo strumento più utilizzato per diffondere malware.
Sono state individuate 15 tipologie di file, con RAR al primo posto (9 utilizzi), seguito da ZIP (6) e APK (5).
Seguono i formati 7Z (4), HTM, TAR e DOCX (2), mentre MSI, DOC, Z, PDF, ISO, VBS, XLAM e JAR hanno avuto un solo utilizzo.
La posta elettronica si conferma il canale dominante con 72 campagne, seguita da 4 campagne via SMS e 1 tramite Chat.
Dalla dottrina militare alla cybersecurity civile: come le Cyber Operations stanno ridefinendo la difesa digitale
Al 23° Forum ICT Security, Francesco Arruzzoli – Responsabile del Centro Studi Cyber Defense di Cerbeyra -ha illustrato perché la sicurezza informatica non può più essere solo tecnologia, ma deve diventare disciplina operativa
Quando si parla di cyber operations, il pensiero corre immediatamente alle attività militari nel dominio digitale. Eppure, come ha spiegato Francesco Arruzzoli, Responsabile del Centro Studi Cyber Defense di Cerbeyra, durante il suo intervento “Cyber Operations in ambito civile: difesa, intelligence e resilienza cibernetica” al 23° Forum ICT Security tenutosi a Roma il 20 novembre 2025, i principi delle operazioni cibernetiche militari stanno diventando sempre più rilevanti anche per il mondo civile.
«Oggi tutta la nostra continuità operativa, come società e come nazione, è sempre più legata al dominio cyber», ha esordito il relatore. «Infrastrutture tecnologiche, reti, telecomunicazioni che gestiscono la continuità della nostra attività sociale vengono gestite sempre più all’interno del dominio cyber».
Il concetto di guerra ibrida, ormai entrato nel lessico comune, descrive esattamente questa realtà: accanto ai domini tradizionali del conflitto — terra, mare, aria e spazio — si è aggiunto a pieno titolo il cyberspazio. Ma ciò che interessa maggiormente alle organizzazioni civili non è tanto la componente offensiva, quanto quegli «aspetti peculiari delle cyber operations che possono e devono essere riportati sempre più spesso nel mondo civile, perché ci danno la possibilità di contrastare tutta una serie di nuove minacce emergenti».
La lezione degli scarponi: quando la disciplina salva la vita
Per spiegare il valore della disciplina operativa, l’esperto ha attinto a un ricordo personale del servizio di leva. Durante l’addestramento presso un reparto operativo dell’esercito, le reclute erano tenute ogni sera a pulire gli anfibi e posizionarli in modo preciso davanti alla branda, a disporre la mimetica sempre nello stesso modo, il berretto sempre nella tasca destra. Rituali che sembravano quasi atti di nonnismo.
La regola degli scarponi
«Poi, dopo la terza settimana di addestramento, alle quattro della mattina, completamente al buio, veniamo svegliati per un allarme», ha raccontato. «La caserma era completamente al buio. Io ho visto in tre minuti persone vestirsi e mettersi in fila davanti all’armeria. Noi ci eravamo vestiti, preparati, equipaggiati senza vedere niente».
Nessuno si scontrò, nessuno perse gli anfibi. E gli scarponi erano pure lucidi. «Questo è un esempio di quello che può essere la disciplina quando andiamo a lavorare in determinati ambienti», ha sottolineato lo speaker. «Vuol dire essere pronti nel momento in cui si manifesta un’emergenza e non sappiamo quando si manifesta. Significa eliminare qualsiasi attrito».
Il parallelo con la cybersecurity è immediato: «Quando parliamo di attacchi cyber, ci riferiamo esattamente a questo. Ci riferiamo a minacce che sono l’equivalente digitale di un attacco notturno. Invisibili, imprevedibili, e spesso ce ne accorgiamo quando ormai è troppo tardi».
Malware che ragionano: la nuova frontiera delle minacce
Il cuore tecnico dell’intervento ha riguardato le nuove tipologie di malware potenziate dall’intelligenza artificiale, minacce che stanno emergendo dai laboratori di ricerca e che presto potrebbero diffondersi nel mondo reale.
PROMPTFLUX
La prima categoria presentata è quella del malware generativo adattivo, esemplificato da PROMPTFLUX. Si tratta di software malevolo capace di adattarsi all’ambiente in cui si trova, privo di codice malevolo riconoscibile al suo interno. «I sistemi normali non identificano quel software come malevolo perché non ha armi, non ha codice per fare reverse shell già integrato nel suo eseguibile», ha spiegato l’esperto. «Lui parla semplicemente con un’intelligenza artificiale esterna — potrebbe essere Gemini o qualsiasi altro LLM — e chiede istruzioni su come cambiare il suo codice, modificarlo, per rendersi invisibile a quella specifica infrastruttura».
WormGPT – Based Malware
La seconda tipologia riguarda i malware progettati direttamente dall’intelligenza artificiale, costruiti in modo specifico per una determinata organizzazione. È il concetto di spear-malware, analogo a quello di spear-phishing: non attacchi massivi e generici, ma strumenti costruiti su misura per penetrare una struttura specifica.
AI-Assisted Living-Off-The-Land (AI-LOTL)
La terza categoria, forse la più insidiosa, è quella denominata AI-Assisted Living Off The Land (AI-LOTL). Questi malware non portano con sé alcun payload malevolo: si presentano come normali applicazioni, invisibili agli antivirus e ai sistemi di intrusion detection. Il loro trucco? Sfruttano i comandi legittimi già presenti nei sistemi operativi.
L’intervento ha incluso una dimostrazione pratica: un malware che utilizza comandi PowerShell di Windows per esfiltrare un file password.txt attraverso una normale connessione HTTP. Ma la vera innovazione sta nella versione evoluta, dotata di un piccolo LLM locale addestrato su tutti i possibili comandi PowerShell. «Col primo malware, quando gli abbiamo chiuso la connessione HTTP, non era più in grado di esfiltrare il file», ha raccontato Arruzzoli. «Il secondo si è accorto che avevamo chiuso la connessione HTTP, è andato a controllare in tutti i possibili comandi PowerShell qual era una possibile soluzione, e l’ha trovata. Ha esfiltrato il file attraverso il DNS».
La conclusione è netta: «Qui ci troviamo di fronte a oggetti che ragionano, pensano. E siccome la capacità di elaborazione di un essere umano è infinitamente più lenta di un computer, voi capite che se ci mettiamo a ragionare su come difenderci da certi tipi di attacchi, è finita».
Harvest Now, Decrypt Later: la minaccia che viene dal futuro
Un’altra minaccia illustrata durante l’intervento ha un sapore quasi da spy story: il paradigma Harvest Now, Decrypt Later. Stati, enti governativi e criminali informatici stanno acquisendo enormi quantità di dati crittografati — comunicazioni TLS, trasferimenti bancari, dati su cloud — per immagazzinarli in attesa di poterli decifrare in futuro, quando i computer quantistici saranno sufficientemente potenti.
HNDL e Utah Data Center
«Il problema è che questo tipo di attacco non ce lo dobbiamo immaginare solamente da nemici, ma anche da alleati», ha precisato il relatore, citando il CLOUD Act del 2018 e la Sezione 702 del FISA. Queste normative statunitensi consentono alle agenzie di intelligence americane di acquisire dati dai data center delle Big Tech — Google, Amazon, Microsoft — anche quando si trovano su suolo straniero e riguardano cittadini non americani.
Esistono da tempo numerosi rumors che alimentano il sospetto che pratiche di sorveglianza avanzata siano già operative da anni. Un articolo pubblicato su Forbes nel 2013 segnalava l’esistenza di un sito nato come parodia della NSA, rivelatosi poi sorprendentemente ricco di informazioni provenienti da fonti governative statunitensi e abilmente correlate tra loro. Molti di quei contenuti ufficiali non sono oggi più raggiungibili attraverso i link originali, ma restano parzialmente consultabili grazie al servizio di archiviazione di archive.org.
Tra le immagini più emblematiche riportate da quel sito spicca la fotografia del data center NSA nello Utah, con la lapide d’ingresso che recita: «If you have nothing to hide, you have nothing to fear» — «Se non hai nulla da nascondere, non hai nulla da temere».
La risposta del relatore, citando l’hacker Kevin Mitnick, ribalta perfettamente la prospettiva: «Io non avrò nulla da temere, ma ho tante cose da proteggere».
La dottrina militare applicata alla sicurezza civile
Come rispondere a minacce così sofisticate? La soluzione proposta passa attraverso l’adozione della dottrina militare nel contesto civile. «Una delle particolarità della dottrina militare, se applichiamo le cyber operations in ambito civile, è il fatto che ci permette di operare nel caos», ha spiegato l’esperto. «Anche quando siamo nel caos più totale, siamo in grado di gestire la situazione».
Dottrina militare come fondamento
Tre sono le certezze da cui partire: non esistono organizzazioni troppo piccole per essere colpite; gli attacchi non chiedono permesso e non valutano il fatturato delle aziende prima di colpire; l’ecosistema tecnologico guidato dall’IA sta abbassando sempre di più i tempi di azione degli attacchi, fino a raggiungere i millisecondi.
«Le cyber operations non possiamo delegarle», ha aggiunto lo speaker. «Non è un lusso per pochi, è qualcosa che proprio perché coinvolge tutti, deve essere gestito da tutti».
Perché le Cyber Operations sono indispensabili
Playbook e Runbook: gli ordini di combattimento del cyberspazio
Nel trasferire la dottrina militare al mondo della sicurezza informatica, due strumenti emergono come fondamentali: i playbook e i runbook.
«Quando un militare fa la ronda, se qualcuno si avvicina dà tre comandi: alt chi va là, un colpo in aria, il colpo addosso. Non ci sono particolari protocolli», ha esemplificato Arruzzoli. «Così vale anche per le cyber operations».
I playbook rappresentano la componente strategica: definiscono cosa fare quando si verifica un ransomware, un data breach, un attacco specifico. Sono l’equivalente delle regole di ingaggio militari, documenti che stabiliscono non come sparare, ma quando, perché e in quale contesto.
I runbook sono invece il braccio operativo: procedure dettagliate, passo dopo passo. «Il ransomware? Apro il runbook ransomware e c’è scritto: stacca il computer, fai login nella console, spegni tutti i servizi. Operazioni alla fine molto semplici, ma la cosa importante è che devono essere eseguite senza pensare».
È questo il punto cruciale: «La forza di questi sistemi vale nel momento in cui riesco a farli esercitare in maniera automatica. Ho un attacco? Automaticamente chi è disposto alla sicurezza deve aprire il runbook ed eseguirlo riga per riga senza pensare. È l’unico modo per andare a interagire e bloccare certi tipi di attacchi».
Il SOC non è un ufficio: la disciplina del processo
L’intervento ha dedicato ampio spazio ai Security Operation Center, il cui mercato in Italia è in forte crescita: da circa 1,1 miliardi di dollari nel 2024, si prevede raggiunga i 4,5 miliardi entro il 2035. Un trend trainato inizialmente dalle grandi imprese, ma che vedrà le PMI superarle numericamente nei prossimi anni.
Mercato SOC in Italia
«Quello che va capito è che il SOC non è un ufficio», ha precisato il relatore. «Non vi immaginate gente che va in ufficio alle otto. Stiamo parlando di un centro operativo che deve monitorare e controllare tutta una serie di segnali importanti». E ha aggiunto con forza: «La cosa più importante di un centro operativo non è la tecnologia. È la disciplina del processo».
SOC come unità tattica
Un monito chiaro per chi si affaccia a questo mercato: «Diffidate da chi vi vende il SOC come tecnologia. Il SOC non è tecnologia, il SOC è processi. La tecnologia serve a far sì che i processi possano operare più velocemente. Diffidate da chi vi dice: vi metto due o tre endpoint e poi vi controllo i log. Lì non avete un SOC, avete qualcuno che vi sta guardando la rete, e poi incrociate le dita».
Un modello italiano: l’esperienza Vianova-Cerbeyra
A conclusione dell’intervento, è stato presentato un esempio concreto di applicazione di questi principi. Cerbeyra, parte del gruppo Vianova — quarto operatore nazionale nel segmento business per servizi avanzati di telecomunicazione — opera con un’infrastruttura interamente italiana: reti, data center, software applicativi sviluppati e gestiti in Italia. Una scelta che risponde alle preoccupazioni sulla sovranità digitale emerse nella prima parte dell’intervento.
Metriche e disciplina del processo
I numeri presentati testimoniano l’efficacia dell’approccio basato sulla disciplina del processo: oltre il 96% di retention dei clienti nel 2024, e il 73% di incidenti intercettati prima ancora che il cliente se ne accorgesse. «Ci prendono per matti a volte perché ci apriamo il ticket da soli e poi avvertiamo il cliente», ha commentato con un sorriso l’esperto. «Eppure è così. Riusciamo a individuare le anomalie perché abbiamo il controllo dell’intera infrastruttura».
SOC Cerbeyra
Capire la minaccia prima che colpisca: dalla difesa passiva all’intelligence attiva
La chiusura dell’intervento ha offerto una riflessione che sintetizza l’intero messaggio: «La sicurezza non è ciò che impedisce l’attacco, ma è ciò che ci permette di comprendere la minaccia e bloccarla prima che si sviluppi appieno».
Un cambio di paradigma profondo, che trasforma la cybersecurity da presidio tecnico ad attività operativa permanente. Non più reagire agli eventi, ma interpretarli e, possibilmente, anticiparli. Non difendere un perimetro, ma operare in un dominio. Non installare tecnologie, ma orchestrare informazioni.
Come nella migliore tradizione militare, la prontezza non è un atto istantaneo ma un’abitudine. Non un riflesso casuale, ma un comportamento costruito giorno dopo giorno. Perché quando l’allarme suona — nel cyberspazio come nella caserma di un tempo — non c’è tempo per cercare gli scarponi: bisogna averli già ai piedi.
Guarda il video completo dell’intervento:
[embedded content]
Profilo Autore
Progettista di sistemi esperti, software developer, network e system engineer, con oltre 30 anni di esperienza nell’ambito della sicurezza delle informazioni, Francesco Arruzzoli è il Resp. del Centro Studi Cyber Defense Cerbeyra, dove svolge attività di R&D, analisi delle cyber minacce e progettazione di nuove soluzioni per la cyber security di aziende ed enti governativi. Esperto di Cyber Threat Intelligence e contromisure digitali, autore di libri ed articoli sue riviste del settore, in passato ha lavorato per multinazionali, aziende della sanità italiana, collaborato con enti governativi e militari. In qualità di esperto cyber ha svolto inoltre attività di docenza presso alcune università italiane.
Dopo l’esplosione di ChatGPT e degli LLM, nel mondo della cybersicurezza è emersa una preoccupazione importante: molti ricercatori si sono chiesti se, così come si stavano diffondendo chatbot in grado di aiutare gli utenti in quasi qualsiasi task, sarebbero cominciati a emergere anche LLM malevoli al servizio del cybercrimine.
Così è stato, in effetti, ma a distanza di tre anni sembra che questi modelli non siano ancora abbastanza potenti e quindi pericolosi per rappresentare una minaccia così seria; è anche vero, però, che stanno aiutando tanti cybercriminali con poca o nessuna conoscenza tecnica ad agire molto più facilmente.
In una recente analisi, Unit 42 di Palo Alto Networks ha approfondito l’impatto di due LLM malevoli noti: WormGPT e KawaiiGPT. Il primo è considerato il “progenitore” degli LLM malevoli commercializzati su larga scala. Basato sul modello open-source GPT-J 6B, è stato addestrato su dataset contenenti malware e template di phishing.
Il modello era in grado di creare messaggi di phishing senza errori grammaticali e altamente persuasivi, oltre che generare rapidamente snippet di codice malevolo. Il progetto originale è stato dismesso, ma ciò non ha impedito che nascessero altri strumenti malevoli. È il caso, per esempio, di WormGPT 4: in questo caso ci troviamo a che fare con un vero e proprio servizio professionale, con un modello di abbonamento che varia da 50 dollari al mese a 220 dollari per l’accesso a vita. L’LLM è in grado di generare script PowerShell per crittografare ed esfiltrare file.
Un altro esempio significativo di LLM malevolo è KawaiiGPT, un tool che abbassa ulteriormente la barriera d’accesso al mondo del cybercrimine. Gratuito e disponibile su GitHub, KawaiiGPT è facile da configurare e usare, pronto all’uso in una manciata di minuti. In questo caso l’utente non deve quindi neanche perdere tempo in configurazioni lunghe e complesse.
L’LLM è in grado di generare email di phishing altamente persuasive, generare script Python per automatizzare attacchi brute-force su server SSH e muoversi lateralmente e inoltre creare script per rubare dati sensibili e generare note di riscatto.
Ma sono davvero così pericolosi? Il codice generato da questi modelli è in realtà piuttosto semplice e, soprattutto, spesso pieno di errori. Contattato dalla redazione di Dark Reading, Kyle Wilhoit, director of threat , ha affermato che “Gli LLM continuano a soffrire di allucinazioni, generando codice plausibile a una prima occhiata, ma di fatto errato. Spesso la conoscenza astratta necessaria a creare un malware completamente funzionante è difficile da simulare per un LLM. Penso inoltre che la supervisione umana è ancora richiesta per verifica la presenza di allucinazioni o per adattarsi a determinate caratteristiche di rete, per esempio.”
Pixabay
Come sottolineano i ricercatori di Unit 42, l’impatto più significativo degli LLM malevoli non è tanto il livello di pericolosità, quando l’aver permesso la democratizzazione del cybercrimine. Rimuovendo qualsiasi barriera in termini di skill tecniche, questi LLM possono essere usati da chiunque per lanciare campagne malware in breve tempo.
La spaventosa minaccia dei malware creati dall’IA anticipata qualche anno fa non è diventata realtà (almeno per ora), ma questo non significa che ci si può permettere di abbassare la guardia.
“Il futuro della sicurezza informatica e dell’intelligenza artificiale non consiste nel bloccare strumenti specifici, ma nel costruire sistemi in grado di resistere alla portata e alla velocità delle minacce generate dall’intelligenza artificiale. La capacità di generare rapidamente una catena di attacchi completa, da una richiesta di riscatto altamente persuasiva a un codice di esfiltrazione funzionante, è la minaccia che ci troviamo a dover affrontare oggi” concludono i ricercatori.
Nel periodo compreso tra il 15 e il 21 novembre, il CERT-AGID ha analizzato 71 campagne malevole indirizzate verso utenti e organizzazioni italiane.
Di queste, 44 hanno avuto obiettivi specificamente italiani, mentre 27 campagne generiche hanno comunque raggiunto il nostro Paese.
Complessivamente, sono stati messi a disposizione degli enti accreditati 634 indicatori di compromissione (IoC) legati alle attività osservate.
I temi della settimana
Sono 21 i temi sfruttati dai criminali informatici per diffondere phishing e malware, con particolare insistenza su banking, fatture, multe, pagamenti e documenti.
Il tema Banking è stato utilizzato in 11 campagne, di cui otto italiane. Le operazioni di phishing hanno imitato istituti finanziari come Crédit Agricole, ING, Intesa Sanpaolo, Inbank e Unicredit.
Le campagne malware hanno diffuso trojan come SnakeKeylogger, FormBook e BTMob, insieme a malware mobile come Copybara e Sturnus, distribuiti tramite SMS con link verso file APK dannosi.
La scorsa settimana sono state rilevate 71 campagne malevole in Italia, con l’emissione di 634 indicatori di compromissione.
Il tema Fattura, presente in sette campagne, ha riguardato sia operazioni italiane che internazionali.
La maggior parte delle attività era finalizzata alla distribuzione di malware come FormBook, PhantomStealer, XWorm e Remcos.
Da segnalare inoltre due campagne di phishing rivolte agli utenti di Aruba e un caso di diffusione del malware MintLoader tramite PEC compromesse.
Il tema Multe, anch’esso con sette campagne tutte italiane, è stato nuovamente sfruttato per imitare comunicazioni PagoPA.
Le email, costruite come notifiche di sanzioni stradali non pagate, inducono le vittime a cliccare su link malevoli per sottrarre dati personali e bancari.
Il tema Pagamenti, osservato in cinque campagne, ha combinato phishing e smishing ai danni di Autostrade per l’Italia, Netflix e Aruba, oltre a una campagna malware generica che ha diffuso Remcos via email.
Il tema Documenti, anch’esso con cinque campagne, ha diffuso malware come AgentTesla, Grandoreiro, Remcos e SnakeKeylogger, insieme a un caso di phishing che imitava comunicazioni DocuSign.
Tra gli eventi di particolare interesse, il CERT-AGID ha rilevato una campagna di phishing mirata agli studenti dell’Università di Padova, in cui una pagina fraudolenta replicava l’accesso all’area riservata dell’ateneo per sottrarre credenziali istituzionali.
Fonte: CERT-AGID
Contestualmente è stata individuata una campagna che sfrutta il nome e il logo della Polizia di Stato, inviata tramite email per impossessarsi delle credenziali delle vittime attraverso un finto modulo di accesso.
È stata inoltre osservata un’operazione diretta al personale della Regione Toscana, che sfrutta Weebly per creare una finta pagina di login Zimbra con lo scopo di carpire le credenziali istituzionali.
Infine, il CERT-AGID ha rilevato e contrastato una nuova campagna di malspam basata su PEC compromesse, impiegata per diffondere il malware MintLoader, in continuità con attività simili osservate nelle settimane precedenti.
Malware della settimana
Nel periodo analizzato sono state osservate 13 famiglie di malware attive sul territorio italiano.
Tra le più diffuse compare FormBook, coinvolto in sei campagne generiche legate ai temi “Delivery”, “Aggiornamenti”, “Fattura”, “Prezzi”, “Ordine” e “Banking”, distribuite tramite email con allegati ZIP e RAR.
Remcos è stato impiegato in una campagna italiana veicolata tramite DonutLoader con script JS e in cinque campagne generiche a tema “Pagamenti”, “Prezzi”, “Ordine”, “Fattura” e “Delivery”, diffuse tramite documenti XLS e DOCX e archivi RAR e ZIP.
Segue SnakeKeylogger, presente in una campagna italiana a tema “Documenti” e in quattro campagne generiche a tema “Contratti”, “Delivery” e “Banking”, diffuse tramite allegati RAR, ARJ, ZIP e 7Z.
Fonte: CERT-AGID
AgentTesla è stato osservato in una campagna italiana con allegato TAR e in una generica a tema “Booking” diffusa tramite archivio 7Z.
Da segnalare inoltre due campagne generiche di Guloader, insieme a una serie di campagne mobile che hanno diffuso BTMob, Copybara e Sturnus tramite SMS con link a file APK dannosi.
Una campagna italiana di MintLoader è stata nuovamente distribuita via PEC, con ZIP contenenti file HTML, mentre altre campagne hanno coinvolto Modiloader, PhantomStealer, XWorm e Grandoreiro, sfruttando temi come “Fattura”, “Ordine” e “Documenti”.
Phishing della settimana
Sono 26 i brand coinvolti nelle campagne di phishing rilevate tra il 15 e il 21 novembre.
Fonte: CERT-AGID
Le più frequenti hanno sfruttato i nomi di PagoPA, Aruba e Autostrade per l’Italia, insieme alle numerose campagne che imitano webmail non brandizzate, confermatesi ancora una volta tra i vettori più diffusi.
Formati e canali di diffusione
L’analisi dei vettori conferma la predominanza degli archivi compressi come strumento preferito per diffondere contenuti malevoli.
Nel periodo considerato sono state individuate 12 tipologie di file, con ZIP al primo posto (9 utilizzi), seguito da RAR (5). I formati APK e DOCX compaiono tre volte, mentre 7Z e XLS sono stati osservati in due campagne.
Con un solo impiego figurano invece DOC, ARJ, HTML, JS, ISO e TAR.
Fonte: CERT-AGID
La posta elettronica si conferma il canale principale con 60 campagne, mentre sette sono state condotte via SMS e due tramite chat o PEC.
Memory Forensics avanzata: tecniche anti-VM Evasion e analisi di Malware Fileless
L’evoluzione del panorama delle minacce informatiche ha trasformato radicalmente l’approccio investigativo alla cybersecurity. Mentre per decenni l’analisi forense si è concentrata sull’acquisizione di evidenze persistenti su disco, oggi ci confrontiamo con una realtà in cui circa il 70% degli incidenti malware più gravi coinvolge attacchi fileless che operano esclusivamente in memoria, destinati a dissolversi nel momento stesso in cui il sistema viene spento o riavviato.
Questa metamorfosi tecnologica rappresenta una sfida senza precedenti per esperti di digital forensics, investigatori di cybercrime, professionisti del cyber law e operatori di law enforcement. La memoria RAM è diventata il teatro operativo prediletto degli attori malevoli più sofisticati, costringendo l’intera comunità forense a ripensare metodologie, strumenti e framework giuridici consolidati.
Il malware fileless: quando l’evidenza esiste solo in memoria
La categoria delle minacce fileless rappresenta oggi una delle evoluzioni più insidiose del panorama malware. Gli attacchi fileless sono risultati dieci volte più efficaci nell’eludere i sistemi di detection rispetto ai malware tradizionali, proprio perché non lasciano artefatti persistenti analizzabili con le tecniche forensi classiche.
Il ciclo di vita completo di questi attacchi si consuma interamente nella dimensione volatile della RAM, sfruttando componenti legittimi del sistema operativo. PowerShell, WMI e macro Office sono i vettori privilegiati, utilizzati per eseguire codice malevolo che risiede esclusivamente negli spazi di indirizzamento dei processi, senza mai toccare il filesystem.
Questa caratteristica pone un dilemma procedurale fondamentale: l’acquisizione stessa dell’evidenza ne altera inevitabilmente lo stato. Il principio di Locard – secondo cui ogni contatto lascia una traccia – si rovescia paradossalmente: è l’investigatore stesso che, tentando di raccogliere l’evidenza, contamina potenzialmente la scena del crimine digitale. Questa problematica solleva interrogativi critici sulla catena di custodia delle digital evidence e sull’integrità probatoria dei reperti acquisiti.
Living off the Land: quando il sistema si attacca da solo
Le tecniche Living off the Land (LotL) sono utilizzate nel 79% degli attacchi mirati, sfruttando binari legittimi del sistema operativo per eseguire operazioni malevole. Gli attaccanti utilizzano strumenti come certutil.exe, regsvr32.exe o mshta.exe – tutti componenti standard di Windows – per scaricare ed eseguire payload senza mai creare file eseguibili tradizionali.
Dal punto di vista dell’analisi forense, queste tecniche rappresentano una sfida particolare perché i tool di sicurezza tradizionali, basati sul rilevamento di firme note o comportamenti anomali di eseguibili, risultano completamente inefficaci. Il malware si mimetizza perfettamente all’interno di processi trusted, rendendo la distinzione tra attività lecita e illecita estremamente complessa.
Tecniche anti-VM: l’evasion come standard
Parallelamente all’evoluzione verso approcci fileless, gli sviluppatori di malware hanno perfezionato sofisticate strategie di evasione per sfuggire all’analisi in ambienti controllati. Le tecniche anti-VM (Virtual Machine) e anti-sandbox costituiscono oggi un layer praticamente standard in ogni campione di malware avanzato, rendendo estremamente complessa l’analisi dinamica che rappresenta uno strumento fondamentale del reverse engineering.
I meccanismi di detection dell’ambiente virtualizzato
Il malware moderno implementa controlli multilivello per rilevare ambienti di analisi:
A livello hardware: L’istruzione CPUID consente di interrogare il processore e ottenere informazioni sul vendor. Quando eseguita in ambiente virtualizzato, restituisce stringhe identificative come “VMwareVMware” o “Microsoft Hv” invece di “GenuineIntel” o “AuthenticAMD”, rivelando immediatamente la natura dell’ambiente.
A livello di sistema operativo: I campioni di malware ricercano chiavi di registro specifiche, driver di paravirtualizzazione e processi con nomi riconducibili a software di virtualizzazione come VMware Tools, VirtualBox Guest Additions o servizi Hyper-V. La presenza anche di una sola di queste tracce può essere sufficiente per attivare comportamenti evasivi.
Timing attack e side-channel: Tecniche sofisticate misurano l’overhead introdotto dalla virtualizzazione attraverso l’analisi dei tempi di esecuzione di istruzioni privilegiate. L’istruzione RDTSC (Read Time-Stamp Counter), ad esempio, può rivelare anomalie temporali caratteristiche degli ambienti virtualizzati.
Behavioral analysis: Gli ambienti sandbox sono tipicamente “troppo puliti” per un sistema reale. Il malware può verificare la cronologia dei documenti recenti, il numero di applicazioni installate, la presenza di file temporanei, tutti indicatori che in un sistema di analisi risultano assenti o minimali.
Volatility Framework: il pilastro della memory forensics moderna
Di fronte a queste evoluzioni, la disciplina della memory forensics ha sviluppato approcci sempre più sofisticati. Il Volatility Framework è diventato lo strumento di memory forensics più utilizzato al mondo, impiegato da forze dell’ordine, organizzazioni militari, mondo accademico e investigatori commerciali.
Sviluppato come progetto open source e rilasciato inizialmente nel 2007, Volatility permette l’estrazione di artefatti digitali dalla memoria volatile attraverso una comprensione approfondita delle strutture dati interne dei kernel dei sistemi operativi. Nel 2024 è stata rilasciata Volatility 3 versione 2.26.0, annunciata come “Feature Parity release”, con cui Volatility 2 è stato ufficialmente deprecato.
Capacità analitiche avanzate
Il framework offre plugin specializzati per:
Process analysis: identificazione di processi nascosti attraverso tecniche di unlink dalla lista ufficiale dei task del kernel
Network forensics: ricostruzione di connessioni di rete non registrate nei normali artefatti del sistema
Driver detection: individuazione di driver kernel-mode non autorizzati o rootkit
Code injection detection: analisi di VAD (Virtual Address Descriptor) manipolati per nascondere regioni di memoria eseguibile
Malware analysis: estrazione di shellcode iniettato in processi legittimi tramite tecniche come process hollowing
Per il malware fileless specificamente, l’analisi si concentra sull’identificazione di anomalie nei processi trusted: un processo PowerShell che carica assembly .NET direttamente in memoria, script che iniettano shellcode tramite API come VirtualAllocEx e WriteProcessMemory, o tecniche di process hollowing dove un processo legittimo viene “svuotato” e riempito con codice malevolo.
Acquisizione forense della memoria: metodologie e strumenti
L’acquisizione della RAM richiede approcci metodologici rigorosi che minimizzino l’alterazione dell’evidenza. Le tecniche moderne si dividono in diverse categorie in base al livello di privilegio di accesso:
Acquisizione hardware-based via DMA
L’utilizzo di dispositivi DMA (Direct Memory Access) permette di acquisire la memoria operando a livello di bus fisico, bypassando completamente il sistema operativo compromesso. Strumenti come PCILeech utilizzano hardware FPGA o schede basate su USB3380 per leggere la memoria attraverso interfacce PCIe, riducendo drasticamente il rischio che il malware interferisca con l’acquisizione.
BMCLeech rappresenta la prima implementazione software che porta l’acquisizione forense della memoria sul Baseboard Management Controller (BMC), particolarmente utile per incident response team che operano su sistemi server.
Acquisizione software-based
Per sistemi dove l’acquisizione hardware non è praticabile, esistono tool software come WinPmem, DumpIt o LiME (Linux Memory Extractor) che operano a livello kernel. PMEM (WinPmem) si distingue per acquisizione rapida e basso impatto, rendendolo versatile sia per forensics che per cybersecurity.
Hypervisor-level acquisition
Gli strumenti a livello hypervisor acquisiscono memoria esternamente al sistema operativo guest, rendendoli resistenti a rootkit e altre tecniche anti-forensi. Questa caratteristica li rende particolarmente adatti per investigazioni forensi avanzate e analisi malware, sebbene sacrifichino velocità rispetto agli approcci software diretti.
Intel SGX: protezione o minaccia?
Intel Software Guard Extensions (SGX) rappresenta un caso paradigmatico di tecnologia di sicurezza che può essere sfruttata anche per scopi malevoli. SGX fornisce meccanismi di isolamento che mirano a proteggere codice e dati dalla modifica o divulgazione anche se tutto il software privilegiato è malevolo, utilizzando ambienti di esecuzione speciali chiamati “enclave”.
Il paradosso delle enclave sicure
Ricercatori hanno dimostrato praticamente che malware può essere eseguito all’interno di enclave SGX, impersonando completamente l’applicazione host. L’attacco SGX-ROP utilizza primitive basate su TSX per costruire attacchi code-reuse dall’interno dell’enclave, bypassando ASLR, stack canaries e address sanitizer.
La protezione della memoria fornita da SGX è asimmetrica: mentre impedisce al codice non-enclave di accedere alla memoria dell’enclave, l’enclave stessa può accedere all’intero spazio di indirizzamento dell’applicazione host, creando un vettore di attacco per malware sofisticato.
Dal punto di vista della memory forensics, le enclave SGX rappresentano regioni di memoria crittografate hardware che non possono essere ispezionate attraverso tecniche tradizionali di dump, creando “blind spots” nell’analisi forense che gli attaccanti possono sfruttare per nascondere payload malevoli.
Framework giuridici e standard internazionali
La natura volatile dell’evidenza in memoria solleva questioni giuridiche fondamentali che investono l’intera procedura penale. Il NIST (National Institute of Standards and Technology) ha definito un processo in quattro fasi per la digital forensics: identificazione e acquisizione dei dati, processing ed estrazione di informazioni rilevanti, analisi dei dati estratti e reporting dei risultati.
Linee guida NIST per memory acquisition
La documentazione NIST sottolinea che la memoria volatile deve essere acquisita tempestivamente da personale addestrato nell’acquisizione della memoria. Le pubblicazioni NIST SP 800-86 (“Guide to Integrating Forensic Techniques into Incident Response”) e NIST IR 8354 (“Digital Investigation Techniques”) forniscono framework metodologici per garantire l’integrità probatoria.
Ordine di volatilità e best practices
Il principio dell’ordine di volatilità stabilisce che i dati più volatili devono essere acquisiti per primi: cache, tabelle di routing, tabelle di processo, memoria RAM, file di sistema temporanei, disco rigido, log remoti e infine configurazione fisica di rete e topologia.
La sfida della ripetibilità
La questione della ripetibilità dell’esperimento forense – principio fondamentale per la verificabilità dell’evidenza scientifica in sede processuale – si scontra con l’impossibilità di riprodurre esattamente lo stato della memoria in un momento specifico. Un secondo dump della memoria, anche a distanza di millisecondi, catturerà uno stato differente del sistema.
Aspetti giuridici peculiari della memory forensics
Un dump completo della RAM include inevitabilmente contenuti di email, messaggi, password in chiaro e altri dati sensibili non necessariamente pertinenti all’indagine. Il bilanciamento tra esigenza investigativa e tutela della privacy richiede:
Protocolli di acquisizione selettiva: documentazione fotografica e video dell’intero processo
Hash crittografici: per garantire l’integrità del dump acquisito (tipicamente SHA-256)
Procedure di sealatura: delle porzioni di dump non rilevanti per l’indagine
Adozione di standard internazionali: come ISO/IEC 27037:2012 per identificazione, raccolta e acquisizione di digital evidence
La competenza tecnica degli operatori di law enforcement diventa elemento cruciale. Le perizie in memory forensics avanzata richiedono specializzazione che interseca conoscenze di architettura dei sistemi, reverse engineering, analisi malware e comprensione dei protocolli giuridici – competenze che vanno ben oltre la generica formazione informatica.
Tecniche di contrasto all’anti-evasion analysis
Per contrastare le tecniche anti-VM, gli analisti hanno sviluppato strategie sempre più sofisticate che cercano di rendere l’ambiente di analisi indistinguibile da un sistema reale:
Sandbox trasparenti
Implementazione di modifiche che mascherano tutti gli artefatti tipici della virtualizzazione: alterazione dei risultati delle istruzioni CPUID, rimozione di chiavi di registro riconducibili alla virtualizzazione, popolamento di cronologie e file temporanei per simulare un ambiente “vissuto”.
Bare metal analysis
Esecuzione del malware su hardware fisico dedicato, eliminando completamente la possibilità di detection della virtualizzazione. Questo approccio, sebbene efficace, presenta limitazioni significative in termini di scalabilità e costi operativi.
Analisi ibrida e migrazione dinamica
Combinazione di sandboxing iniziale con successiva migrazione su ambiente fisico quando viene rilevato comportamento sospetto di anti-VM checking. Il malware viene inizialmente eseguito in ambiente controllato per classificazione preliminare, ma se manifesta tecniche di evasion sofisticate, viene trasferito in ambiente bare metal per analisi approfondita.
Il futuro della memory forensics: intelligenza artificiale e automation
L’integrazione dell’intelligenza artificiale nei processi di digital forensics rappresenta una trasformazione paradigmatica, introducendo capacità analitiche avanzate con accuratezza fino al 98,7% nella classificazione di malware, come analizzato nell’articolo AI per la Digital Forensics di ICT Security Magazine.
L’automazione gioca ruolo crescente, con sistemi di threat hunting che operano continuamente per identificare anomalie comportamentali in memoria prima che un incidente venga dichiarato. L’utilizzo di machine learning per il rilevamento di pattern anomali negli spazi di memoria, l’analisi predittiva dei comportamenti di processo e la correlazione automatica di indicatori di compromissione rappresentano l’avanguardia di questo nuovo approccio.
Tuttavia, gli strumenti AI forensi presentano vulnerabilità fondamentali ad attacchi adversariali e bias algoritmici, richiedendo framework di validazione rigorosi come l’AI Risk Management Framework del NIST per garantire trustworthiness e ammissibilità processuale.
Conclusioni: verso nuovi paradigmi investigativi
La memory forensics avanzata non rappresenta semplicemente una disciplina tecnica, ma un punto di convergenza critico tra tecnologia, diritto e procedura penale. La tradizionale dicotomia tra live forensics e dead forensics si sfuma in un continuum dove acquisizione e analisi diventano processi sovrapposti e interdipendenti.
L’investigatore forense non può più limitarsi a essere un collettore passivo di evidenze, ma deve trasformarsi in analista proattivo capace di adattare dinamicamente le proprie tecniche alla natura della minaccia. Questo richiede:
Framework giuridico evolutivo che riconosca le peculiarità dell’evidenza volatile
Collaborazione internazionale, dato che gli attacchi operano su scala globale
Formazione specialistica continua per operatori di law enforcement
Standard tecnici condivisi per garantire interoperabilità e ammissibilità probatoria
Bilanciamento tra efficacia investigativa e tutela dei diritti fondamentali
Solo attraverso la comprensione profonda di tutte queste dimensioni sarà possibile contrastare efficacemente le minacce informatiche più evolute, garantendo al contempo il rispetto dei diritti fondamentali e l’integrità del processo giudiziario. La sfida è aperta, e la posta in gioco è la credibilità stessa del sistema di giustizia penale nell’era digitale.
Nel periodo compreso tra l’8 e il 14 novembre, il CERT-AGID ha analizzato 87 campagne malevole dirette verso utenti e organizzazioni italiane.
Di queste, 53 hanno avuto obiettivi esplicitamente italiani, mentre 34 campagne generiche hanno comunque coinvolto il nostro Paese.
Complessivamente, sono stati condivisi con gli enti accreditati 820 indicatori di compromissione (IoC) relativi alle minacce osservate.
I temi della settimana
Sono stati 21 i temi sfruttati per veicolare phishing e malware, con un marcato aumento delle campagne che imitano servizi online legati ai rinnovi, alle multe, ai pagamenti e ai servizi bancari.
87 campagne malevole rilevate in Italia, con 820 indicatori di compromissione. In aumento i phishing a tema rinnovo servizi, mentre crescono gli attacchi contro atenei e grandi piattaforme online.
Il tema Rinnovo risulta tra i più diffusi con 12 campagne di phishing, sia italiane che internazionali, tutte via email.
Le comunicazioni imitano il rinnovo di servizi legati a Register, Serverplan, OVHCloud, Aruba, Wix, Axarnet, oltre a iCloud, Mooney, McAfee e vari provider di webmail, sfruttando la pressione psicologica delle scadenze amministrative e tecniche.
Altre 12 campagne, tutte italiane, hanno sfruttato il tema Multe, con finte comunicazioni PagoPA che simulano sanzioni stradali non pagate e invitano le vittime a inserire dati personali e bancari attraverso link malevoli.
Il tema Banking, con 11 campagne (8 italiane e 3 generiche), ha combinato phishing e malware mobile: tra gli istituti imitati figurano ING, Interactive Brokers, Credem e Standard Bank, mentre le campagne malware hanno diffuso DonutLoader, insieme ai trojan Android Copybara, Herodotus e GhostGrab.
Il tema Ordine, sfruttato in otto campagne, è stato impiegato esclusivamente per la diffusione di malware come Remcos, AgentTesla, PureLogs, FormBook e PhantomStealer, tutti veicolati tramite allegati manipolati.
Tra gli eventi di particolare interesse della settimana, il CERT-AGID segnala una campagna di phishing ai danni degli utenti Facebook che, attraverso email dai toni legali, indirizza le vittime verso una finta pagina Meta.
Il sito fraudolento replica un popup del browser e un modulo di login identico a quello originale, con l’obiettivo di sottrarre le credenziali di accesso.
Parallelamente è stata individuata una campagna diffusa via SMS e rivolta a utenti INPS, pensata per raccogliere una quantità significativa di dati personali: oltre alle generalità e all’IBAN, gli attaccanti richiedono un selfie e foto della carta di identità, della tessera sanitaria, della patente e delle ultime tre buste paga.
Fonte: CERT-AGID
Un ulteriore caso riguarda una campagna a tema GLS che diffonde il malware Remcos tramite email con allegato XHTML, spingendo la vittima a copiare e incollare comandi dannosi nel terminale per scaricare ed eseguire uno script malevolo.
Infine, il CERT-AGID ha rilevato un nuovo caso di phishing mirato contro l’Università di Parma: una pagina ospitata su Weebly replica l’accesso all’area privata dell’ateneo e viene utilizzata per sottrarre credenziali istituzionali a studenti e personale.
Malware della settimana
Sono state 16 le famiglie di malware osservate tra l’8 e il 14 novembre.
Il più diffuso è Remcos, con 5 campagne italiane a tema “Preventivo”, “Ordine”, “Banking” e “Fattura”, e 4 campagne generiche “Delivery”, “Ordine” e “Pagamenti”. I file allegati utilizzati includono XLS, 7Z, Z, GZ, RAR, ZIP e DOCX, oltre a siti con finti Captcha.
AgentTesla è stato individuato in 3 campagne italiane a tema “Contratti”, “Ordine” e “Pagamenti” e in quattro campagne generiche “Contratti”, “Documenti”, “Pagamenti” e “Ordine”, diffuso tramite allegati TAR, BZ2, 7Z, ZIP e RAR contenenti script VBS e VBE.
PhantomStealer compare in 3 campagne generiche legate ai temi “Ordine”, “Pagamenti” e “Prezzi”, mentre DarkCloud è stato utilizzato in 2 campagne a tema “Prezzi” e “Delivery”.
Meritano attenzione anche i malware mobile: 2 campagne italiane hanno diffuso Copybara, una campagna generica ha distribuito GhostGrab, e un’altra campagna italiana ha impiegato Herodotus, tutti via SMS con link a file APK malevoli.
Fonte: CERT-AGID
Guloader è stato individuato in 2 campagne generiche a tema “Fattura” e “Pagamenti” , mentre Rhadamanthys è stato usato in 2 campagne italiane a tema “Booking” e “Documenti”, distribuite tramite script PS1 e installer MSI.
Un’ulteriore campagna italiana ha diffuso MintLoader tramite PEC contenenti ZIP con file HTML.
Completano il quadro varie campagne italiane che hanno diffuso DonutLoader, FormBook, PureLogs e XWorm, insieme a campagne generiche Danabot e LummaStealer, sfruttando argomenti come “Aggiornamenti” e “Documenti”.
Phishing della settimana
Sono stati 27 i brand coinvolti nelle campagne di phishing rilevate nel corso della settimana presa in esame.
Fonte: CERT-AGID
Particolarmente ricorrenti sono state le operazioni che hanno sfruttato i nomi di PagoPA e iCloud, insieme alle numerose campagne che imitano servizi di webmail non brandizzate, ancora fra i vettori più frequenti per la raccolta fraudolenta di credenziali.
Formati e canali di diffusione
L’analisi conferma la netta predominanza degli archivi compressi come principale mezzo di diffusione dei contenuti malevoli.
Nel periodo considerato sono state individuate 20 tipologie di file, con ZIP al primo posto (9 utilizzi), seguito da RAR (7) e 7Z (5). Seguono VBS e APK (4 utilizzi ciascuno), e Z (3).
I formati PDF, EXE e DOCX compaiono due volte, mentre BZ2, HTML, PS1, HTM, BAT, GZ, MSI, JS, VBE, TAR e XLS sono stati impiegati in un singolo caso.
Fonte: CERT-AGID
La posta elettronica rimane il vettore dominante con 81 campagne. Cinque attacchi sono stati condotti via SMS, mentre una campagna è transitata tramite PEC.
I ricercatori di zImperium zLabs hanno individuatoFantasy Hub, un RAT per Android venduto su canali Telegram russi come Malware-as-a-Service.
Il RAT viene usato principalmente per colpire istituti finanziari (tra i quali Alfa, PSB, Tbank e Sber) implementando pagine di phishing per rubare le credenziali bancarie degli utenti. È possibile sia creare pagine custom che usare quelle pre-impostate presenti nel pacchetto iniziale. Colui (o coloro) che hanno messo in vendita il malware mettono a disposizione dei propri clienti anche delle istruzioni su come creare applicazioni e pagine fake.
Fantasy Hub viene infatti generalmente distribuito tramite finte pagine Google Play Store, complete di recensioni. Il malware viene camuffato da aggiornamento di Google Play o da altra applicazione legittima.
Il malware presenta numerose capacità di cyberspionaggio, a partire dall’accesso completo agli SMS e all’intercettazione degli stessi. Il RAT consente anche di manipolare le notifiche push per renderle invisibili agli utenti e rispondere direttamente ai messaggi, attivare la videocamera e il microfono per la registrazione e lo streaming di video e audio, scattare foto e accedere alla galleria e ai contatti.
Gli acquirenti di Fantasy Hub gestiscono il funzionamento del RAT tramite un pannello dedicato; qui accedono alle informazioni sullo stato dei dispositivi infetti, sul modello e sull’ID utente, sul numero di telefono e sulla scadenza dell’abbonamento al malware. Gli attaccanti hanno a disposizione una guida con tutti i comandi disponibili che possono far eseguire al RAT, per esempio per accedere ai messaggi, attivare la fotocamera e così via.
“La rapida diffusione delle operazioni Malware-as-a-Service (Maas) come Fantasy Hub dimostrano che gli attaccanti possono facilmente trasformare componenti Android legittime in armi per ottenere la totale compromissione dei dispositivi” affermano i ricercatori.
La minaccia di Fantasy Hub è significativa per due motivi: in primo luogo, è un prodotto che viene venduto con tanto di documentazione che lo rende accessibile anche agli attaccanti meno esperti; inoltre, poiché colpisce i flussi bancari e sfrutta l’handler degli SMS, è altamente pericoloso per i dipendenti che utilizzano applicazioni di home banking e che gestiscono informazioni sensibili.
“Con la continua evoluzione dell’offerta MaaS, le organizzazioni devono trattare ogni dispositivo mobile come un potenziale entry point” concludono i ricercatori.
ClickFix may be the biggest security threat your family has never heard of
Another campaign, documented by Sekoia, targeted Windows users. The attackers behind it first compromise a hotel’s account for Booking.com or another online travel service. Using the information stored in the compromised accounts, the attackers contact people with pending reservations, an ability that builds immediate trust with many targets, who are eager to comply with instructions, lest their stay be canceled.
The site eventually presents a fake CAPTCHA notification that bears an almost identical look and feel to those required by content delivery network Cloudflare. The proof the notification requires for confirmation that there’s a human behind the keyboard is to copy a string of text and paste it into the Windows terminal. With that, the machine is infected with malware tracked as PureRAT.
Push Security, meanwhile, reported a ClickFix campaign with a page “adapting to the device that you’re visiting from.” Depending on the OS, the page will deliver payloads for Windows or macOS. Many of these payloads, Microsoft said, are LOLbins, the name for binaries that use a technique known as living off the land. These scripts rely solely on native capabilities built into the operating system. With no malicious files being written to disk, endpoint protection is further hamstrung.
The commands, which are often base-64 encoded to make them unreadable to humans, are often copied inside the browser sandbox, a part of most browsers that accesses the Internet in an isolated environment designed to protect devices from malware or harmful scripts. Many security tools are unable to observe and flag these actions as potentially malicious.
The attacks can also be effective given the lack of awareness. Many people have learned over the years to be suspicious of links in emails or messengers. In many users’ minds, the precaution doesn’t extend to sites that instruct them to copy a piece of text and paste it into an unfamiliar window. When the instructions come in emails from a known hotel or at the top of Google results, targets can be further caught off guard.
With many families gathering in the coming weeks for various holiday dinners, ClickFix scams are worth mentioning to those family members who ask for security advice. Microsoft Defender and other endpoint protection programs offer some defenses against these attacks, but they can, in some cases, be bypassed. That means that, for now, awareness is the best countermeasure.
Nel periodo compreso tra il 1° e il 7 novembre, il CERT-AGID ha analizzato 91 campagne malevole che hanno interessato il territorio nazionale.
Di queste, 54 hanno avuto obiettivi specificamente italiani, mentre 37 di carattere generico hanno comunque coinvolto utenti e organizzazioni nel Paese.
Complessivamente, il team ha messo a disposizione degli enti accreditati 853 indicatori di compromissione (IoC) relativi alle minacce individuate.
I temi della settimana
Sono 24 i temi sfruttati dai criminali informatici per veicolare campagne di phishing e malware. Tra i più ricorrenti figurano i riferimenti a Banking, Multe, Pagamenti, Documenti e Ordini, che continuano a rappresentare i vettori preferiti per colpire utenti e aziende italiane.
Il tema Banking è stato quello più utilizzato, con 14 campagne, di cui 10 italiane, diffuse tramite email e SMS. Le operazioni di phishing, sei in totale, hanno imitato comunicazioni di Mooney, ING, Inbank e Interactive Brokers, con l’obiettivo di sottrarre credenziali e dati bancari.
Le otto campagne malware associate hanno invece diffuso FormBook, Copybara, Remcos, XWorm e Herodotus, quest’ultimo distribuito via SMS contenenti link per il download di file APK malevoli.
91 campagne malevole rilevate in Italia, con 853 indicatori di compromissione. In crescita le truffe bancarie e fiscali.
Il tema Multe ha interessato nove campagne di phishing, tutte italiane e veicolate esclusivamente via email. Le comunicazioni, che simulano avvisi di PagoPA, fingono sanzioni o mancati pagamenti e mirano a indurre le vittime a fornire dati personali e informazioni finanziarie.
Il tema Pagamenti, osservato in sette campagne malware sia italiane che generiche, è stato sfruttato per diffondere Remcos, FormBook, SnakeKeylogger, AgentTesla, DarkCloud e XWorm. Tutte le operazioni sono state condotte tramite email con allegati dannosi.
Anche il tema Documenti, impiegato in sette campagne (tre italiane), ha continuato a essere sfruttato per la diffusione di malware come Remcos, Guloader, AgentTesla, FormBook e Modiloader, mentre i due casi di phishing hanno preso di mira i brand Microsoft e Interactive Brokers.
Infine, il tema Ordine, rilevato in sei campagne malware, ha veicolato AgentTesla, Remcos, FormBook e PureLogs, mentre una singola campagna di phishing ha preso di mira gli utenti di cPanel.
Tra gli eventi di particolare interesse, il CERT-AGID ha individuato una campagna di phishing che abusa del nome e del logo della Banca d’Italia, presentandosi come piattaforma per l’aggiornamento dei dati personali “in conformità alle nuove disposizioni antiriciclaggio”.
La pagina fraudolenta propone un elenco di istituti bancari reali, invitando l’utente a selezionare il proprio per sottrarre le credenziali di accesso.
Un’altra campagna rilevante ha coinvolto l’Agenzia delle Entrate, con email che simulano un servizio di “Dichiarazione Fiscale Criptovalute”. Le pagine malevole mirano al furto di wallet crypto e alla raccolta di dati sensibili, tra cui nome, codice fiscale, email e numero di telefono.
Fonte: CERT-AGID
Contestualmente, è stata osservata una seconda campagna che sfrutta sempre il nome dell’Agenzia delle Entrate, con la promessa di un rimborso di 1.495,39 euro.
Anche in questo caso la pagina consente di scegliere tra undici istituti di credito reali, inducendo le vittime a inserire le proprie credenziali bancarie.
Malware della settimana
Nel periodo analizzato sono state individuate 12 famiglie di malware.
Tra le più diffuse figura Remcos, protagonista di otto campagne: quattro italiane a tema “Documenti”, “Delivery”, “Banking” e “Ordine”, e quattro generiche a tema “Pagamenti”, “Fattura” e “Delivery”, diffuse tramite email con allegati ZIP, Z, RAR, XZ, IMG, DOCX o tramite siti con finti Captcha.
Segue AgentTesla, rilevato in tre campagne italiane (“Ordine” e “Pagamenti”) e quattro generiche (“Fattura”, “Ordine”, “Documenti”), diffuse tramite allegati ZIP, TAR, RAR e IMG.
FormBook è stato utilizzato in due campagne italiane e quattro generiche, con allegati 7Z, RAR, Z e PDF, mentre DarkCloud è comparso in quattro campagne generiche a tema “Prezzi”, “Contratti”, “Fattura” e “Pagamenti”. Altre quattro campagne hanno diffuso XWorm, con file RAR, ZIP, Z e ZST.
Fonte: CERT-AGID
Due campagne italiane di Copybara e due di Herodotus a tema “Banking” sono state invece veicolate via SMS, con link che conducevano al download di APK malevoli.
Completano il quadro le campagne Guloader, Modiloader, PureLogs, PhantomStealer e SnakeKeylogger, diffuse per lo più via email con allegati compressi.
Phishing della settimana
Sono 26 i brand coinvolti nelle campagne di phishing tra il 1° e il 7 novembre.
Le più frequenti hanno sfruttato i nomi di PagoPA, Agenzia delle Entrate e iCloud, insieme alle consuete campagne di webmail non brandizzate, che continuano a rappresentare una porzione significativa delle minacce rilevate nel panorama italiano.
Formati e canali di diffusione
L’analisi dei vettori di attacco conferma la netta predominanza degli archivi compressi come strumento di diffusione dei contenuti malevoli.
Nel periodo considerato sono state individuate 16 tipologie di file, con ZIP al primo posto (9 utilizzi), seguito da RAR (5). Con 4 utilizzi figurano TAR, APK e Z, mentre 7Z è stato osservato in 3 campagne.
Fonte: CERT-AGID
I formati IMG e DOCX compaiono due volte, mentre XML, GZ, WIM, XZ, PDF, BZ2, LZH e ZST sono stati impiegati in un solo caso ciascuno.
La posta elettronica resta il principale canale di distribuzione, utilizzato in 87 campagne su 91, mentre quattro operazioni sono state condotte tramite SMS.
Commercial spyware “Landfall” ran rampant on Samsung phones for almost a year
Before the April 2025 patch, Samsung phones had a vulnerability in their image processing library. This is a zero-click attack because the user doesn’t need to launch anything. When the system processes the malicious image for display, it extracts shared object library files from the ZIP to run the Landfall spyware. The payload also modifies the device’s SELinux policy to give Landfall expanded permissions and access to data.
How Landfall exploits Samsung phones.
Credit: Unit 42
How Landfall exploits Samsung phones. Credit: Unit 42
The infected files appear to have been delivered to targets via messaging apps like WhatsApp. Unit 42 notes that Landfall’s code references several specific Samsung phones, including the Galaxy S22, Galaxy S23, Galaxy S24, Galaxy Z Flip 4, and Galaxy Z Fold 4. Once active, Landfall reaches out to a remote server with basic device information. The operators can then extract a wealth of data, like user and hardware IDs, installed apps, contacts, any files stored on the device, and browsing history. It can also activate the camera and microphone to spy on the user.
Removing the spyware is no easy feat, either. Because of its ability to manipulate SELinux policies, it can burrow deeply into the system software. It also includes several tools that help evade detection. Based on the VirusTotal submissions, Unit 42 believes Landfall was active in 2024 and early 2025 in Iraq, Iran, Turkey, and Morocco. The vulnerability may have been present in Samsung’s software from Android 13 through Android 15, the company suggests.
Unit 42 says that several naming schemes and server responses share similarities with industrial spyware developed by big cyber-intelligence firms like NSO Group and Variston. However, they cannot directly tie Landfall to any particular group. While this attack was highly targeted, the details are now in the open, and other threat actors could now employ similar methods to access unpatched devices. Anyone with a supported Samsung phone should make certain they are on the April 2025 patch or later.
