Aumenta il phishing, ma è allerta infostealer e malware Android: il report CERT-AgID

Il CERT-AgID ha pubblicato il report che analizza le tendenze delle campagne malevole nel corso del 2024.

Il documento evidenzia, con un totale di 1.767 campagne malevole individuate e oltre 19.000 IoC (Indicatori di Compromissione) condivisi, un panorama sempre più complesso e minaccioso per la sicurezza informatica, con un incremento significativo delle tecniche di attacco e delle modalità operative dei criminal hacker.

Aumento delle campagne di phishing e malware

Il report indica un forte aumento delle campagne di phishing e malware, con una particolare enfasi sull’utilizzo di caselle di posta elettronica certificata (PEC) compromesse.

Gli attaccanti sfruttano queste caselle per inviare e-mail fraudolente che sembrano provenire da enti affidabili, ingannando così i destinatari e inducendoli a fornire informazioni sensibili o a scaricare malware (in particolare, il Malware as a Service Vidar).

Sebbene rispetto all’anno precedente è più che triplicato il numero delle campagne di phishing e malspam diffuse attraverso caselle di PEC compromesse (3,2%), i canali complessivamente più utilizzati rimangono la posta elettronica ordinaria (PEO, 82,7%) e l’SMS (13,9%).

Impersonificazione di enti noti

Il report rileva anche un numero crescente di domini ingannevoli che richiamano enti noti come l’INPS, Polizia di Stato, Poste italiane e Agenzia delle Entrate.

Questi domini vengono utilizzati per truffare gli utenti, facendo credere loro di essere sul sito ufficiale dell’ente e inducendoli a inserire dati personali e finanziari.

Un tipo di attacco che è particolarmente efficace grazie alla fiducia che gli utenti ripongono in questi enti.

Diffusione di infostealer e malware per Android

Tra i malware più diffusi nel 2024 ci sono gli infostealer, progettati per rubare informazioni sensibili dagli endpoint infettati. Questi malware sono in grado di sottrarre credenziali di accesso, dati bancari e altre informazioni personali, mettendo a rischio la sicurezza degli utenti.

“In totale sono state identificate 69 famiglie di malware. Dei sample analizzati, circa il 67% rientra nella categoria degli Infostealer, mentre il restante 33% in quella dei RAT (Remote Access Trojan)”, si legge nel rapporto del CERT-AgID.

Fonte: CERT-AgID.

In particolare, nel corso del 2024, Agent Tesla si è affermato come il malware più diffuso in Italia, seguito da Formbook e Remcos.

Le campagne infostealer hanno inoltre comportato una grande quantità di informazioni esfiltrate: Sarebbero 34 le diffusioni illecite di dati trafugati con un impatto su più di 250.000 indirizzi e-mail di enti pubblici.

Inoltre, il report segnala un aumento dei malware mirati ai dispositivi Android, sfruttando vulnerabilità specifiche del sistema operativo per ottenere accesso non autorizzato e rubare dati.

Tra i diversi malware identificati, Irata è il più diffuso seguito da SpyNote e da altri malware. Tutti veicolati tramite smishing o file APK malevoli, con lo scopo principale di rubare credenziali bancarie e codici OTP.

Fonte: CERT-AgID.

Un’altra tendenza preoccupante è l’incremento nell’uso di bot Telegram come server di Comando e Controllo (C2). Questi bot vengono utilizzati per gestire le comunicazioni con i sistemi compromessi, facilitando il controllo remoto e l’esfiltrazione di dati.

Telegram, essendo una piattaforma di messaggistica criptata e ampiamente utilizzata, offre agli attaccanti un livello aggiuntivo di anonimato e sicurezza.

Infine, i temi principali sfruttati nelle campagne risultano i “pagamenti” per la diffusione di malware e il “banking” per il phishing. Invece i formati di file più frequentemente adoperati per veicolare malware rimangono gli archivi compressi seguiti dagli script e dagli installer.

Fonte: CERT-AgID.

Raccomandazioni per la sicurezza

Il report del CERT-AgID mette in luce un panorama di minacce informatiche in continua evoluzione, evidenziando la necessità di adottare misure di sicurezza efficaci e di rimanere sempre vigili.

Con l’aumento delle tecniche di attacco e delle modalità operative dei criminal hacker, è fondamentale che utenti e aziende adottino un approccio proattivo alla sicurezza informatica, proteggendo i propri dati e sistemi dalle minacce emergenti.

Il CERT-AgID, settimanalmente, fornisce una serie di raccomandazioni per migliorare la sicurezza informatica e mitigare i rischi associati a queste campagne malevole:

1. Controllare sempre la fonte delle e-mail, soprattutto quelle che richiedono informazioni sensibili o azioni specifiche.
2. Mantenere aggiornati tutti i dispositivi e i software per proteggersi dalle vulnerabilità note.
3. Implementare soluzioni di sicurezza come antivirus, firewall e strumenti di rilevazione delle minacce per proteggere i sistemi.
4. Educare gli utenti sulle tecniche di phishing e su come riconoscere i segnali di un attacco informatico.