Nel corso dell’ultima settimana il panorama delle minacce cyber in Italia ha evidenziato una forte persistenza delle campagne malware basate su email di phishing e smishing, con un utilizzo massiccio di temi legati a ordini commerciali, fatture, pagamenti e documentazione aziendale.
Secondo il bollettino di CERT-AgID, sono state individuate 12 famiglie malware attive contro utenti e organizzazioni italiane, confermando come gli attaccanti continuino a sfruttare il social engineering e allegati compressi per aggirare i controlli di sicurezza.
Tra le minacce più rilevanti spicca AgentTesla, impiegato in numerose campagne a tema “Ordine”, “Contratti” e “Delivery”, diffuse tramite archivi compressi RAR, ZIP, TAR, GZ e IMG. La famiglia malware, nota per le capacità di credential stealing e keylogging, continua a rappresentare una minaccia significativa per aziende e professionisti.
Particolarmente attive anche le campagne Remcos e XWorm, entrambe distribuite mediante archivi compressi e spesso camuffate da comunicazioni commerciali legittime. Remcos utilizzato come RAT per il controllo remoto dei sistemi compromessi, mentre XWorm integra funzionalità di furto dati, esecuzione remota di comandi e persistenza sul dispositivo infetto.
Il report evidenzia inoltre il ritorno di FormBook e AsyncRat, malware storicamente associati al furto di credenziali e all’accesso remoto illecito. In diversi casi le campagne hanno sfruttato link per il download diretto di archivi ZIP malevoli, tecnica che consente di bypassare alcuni filtri antispam tradizionali.
Sul fronte mobile, CERT-AgID ha osservato campagne italiane Copybara e Herodotus, insieme alla generica RelayNFC, diffuse tramite SMS fraudolenti contenenti link per il download di APK Android malevoli. Queste minacce si inseriscono nel crescente fenomeno del malware mobile orientato al banking fraud e all’intercettazione delle credenziali bancarie tramite applicazioni apparentemente legittime.
Completano il quadro le campagne associate a Guloader, UpCrypter, MassLogger e PureCrypter, utilizzate come loader o crypter per distribuire payload aggiuntivi e ostacolare le attività di rilevamento. Anche in questi casi i temi più sfruttati restano “Documenti”, “Ordine” e “Pagamenti”, segnale di come gli attaccanti continuino a puntare sulla routine operativa quotidiana delle vittime per aumentare il tasso di apertura degli allegati malevoli.