Il monitoraggio settimanale del CERT-AgID evidenzia un’intensa attività delle campagne malware rivolte agli utenti italiani, con 18 famiglie di codice malevolo individuate attraverso diverse tecniche di diffusione. Le campagne confermano il ruolo centrale del phishing via e-mail, con messaggi costruiti attorno a temi quotidiani come ordini, fatture, pagamenti, contratti e documenti, utilizzati per convincere le vittime ad aprire allegati infetti.
Tra le minacce più rilevanti emergono FormBook, AgentTesla, Remcos e Guloader, distribuiti principalmente tramite archivi compressi RAR, ZIP, TAR e 7Z oppure attraverso documenti Office manipolati e script VBS. Questi malware vengono spesso impiegati per sottrarre informazioni, raccogliere credenziali, monitorare le attività degli utenti o consentire accessi remoti non autorizzati ai dispositivi compromessi.
Il CERT-AgID ha inoltre rilevato campagne dedicate a malware Android di tipo banking, tra cui Herodotus e Rokarolla, progettati per colpire gli smartphone e intercettare informazioni sensibili legate ai servizi finanziari. Parallelamente continuano le attività legate ai Remote Access Trojan come AsyncRat, XWorm e QuasarRAT, strumenti che permettono agli attaccanti di prendere il controllo dei sistemi infetti.
Particolare attenzione anche all’abuso di strumenti legittimi come ScreenConnect, utilizzato in una campagna a tema “Delivery” per ottenere il controllo remoto degli host attraverso link contenuti in documenti PDF. Questa tecnica sfrutta software normalmente utilizzati in ambito aziendale per eludere i controlli e rendere più difficile l’individuazione dell’attacco.
Le campagne analizzate mostrano una costante evoluzione delle tecniche di ingegneria sociale, con l’utilizzo di argomenti credibili e file apparentemente legati ad attività lavorative. L’ampia varietà di malware distribuiti, tra cui anche infostealer come Lumma Stealer e RedLine, evidenzia il rischio crescente per aziende e utenti che possono subire furti di dati, compromissioni degli account e accessi abusivi.
La difesa passa dalla formazione degli utenti, dal controllo degli allegati ricevuti via posta elettronica, dall’aggiornamento dei sistemi e dall’adozione di strumenti di sicurezza capaci di individuare comportamenti anomali prima che il malware completi la fase di infezione.