Questa settimana il CERT-AgiD ha osservato nello scenario italiano 5 famiglie di malware. Nello specifico:
- FormBook – Individuate 7 campagne, quasi tutte italiane, che hanno sfruttato diversi temi, fra i quali spiccano “Pagamenti“ e “Ordine” e veicolate tramite email con allegati RAR, IZH, DOCX, XLS e R01.
- AgentTesla – Rilevate 5 campagne, di cui 3 italiane e 2 generiche, a tema “Delivery“, “Pagamenti”, “Ordine“ e “Banca BBVA”, diffuse mediante email con allegati GZ, RAR e IMG.
- DanaBot – Scoperte 2 campagne ben strutturate, che sfruttano il tema “Agenzia delle Entrate” e diffuse attraverso mail con allegato ZIP. La mail malevola comunica un’irregolarità nel quadro RW della dichiarazione dei redditi. Lo ZIP, protetto da password comunicata nel testo della mail, contiene un file HTML (il cui codice riporta insulti in lingua italiana qualora l’IP sia censito in blocklist) che rimanda a una finta pagina dell’Agenzia, dalla quale si avvia in automatico il download di un file JavaScript. Il JS effettua una richiesta HTTP GET e il contenuto della risposta viene scritto in un EXE che rappresenta il malware DanaBot finale. Ulteriori dettagli sul canale Telegram del Cert-AgID.
- KoiStealer – Rilevata una campagna generica a tema “Resend” che sfrutta un dominio italiano per rilasciare il payload iniziale. La catena dell’infezione è LNK > ZIP > JS > PS1.
- Strela – Osservata infine dal CERT-AgID una campagna italiana a tema “Pagamenti” che veicola un malware diffuso tramite email con allegato ZIP con all’interno un file JS.