Il CERT-AgID ha reso note le 10 famiglie di malware che hanno colpito maggiormente la Pubblica Amministrazione italiana nel primo semestre 2021. Sorprendentemente, fanno tutti parte della grande categoria degli “infostealer”, mentre grandi assenti sono i ransomware.
Indice degli argomenti
Gli infostealer colpiscono l’Italia: dati a rischio
L’attività di controllo eseguita dal Computer Emergency Response Team dell’Agenzia per l’Italia Digitale (CERT-AgID) nel corso dei primi sei mesi del 2021 ha rilevato 238 campagne malevole portate avanti nei confronti della PA e da cui ha ricavato 33 famiglie distinte di malware. Ognuna di esse è stata analizzata al fine di individuare i vettori d’attacco e comunicare i relativi Indicatori di Compromissione (IoC).
I dieci malware maggiormente rilevati fanno tutti parte della vasta categoria degli “infostealer”, ovvero di quegli applicativi malevoli sviluppati al fine di raccogliere informazioni dai sistemi attaccati.
Tali componenti possono essere lanciati singolarmente o essere inclusi in campagne più complesse, rendendoli tra i più utilizzati e remunerativi per i cyber criminali.
I dati raccolti potrebbero avere un certo valore economico generato dalla loro vendita sul Dark Web, oppure essere prodromici a ottenere altri dati, penetrare più a fondo nei sistemi (si pensi alle credenziali utente), nonché accedere, ad esempio, a conti bancari.
Guida al ransomware: cos’è, come si prende e come rimuoverlo
Formbook: il malware che si diffonde anche via file HTML
Il malware più rilevato nel periodo in esame è stato Formbook, con 37 campagne accomunate dall’invio di messaggi che invitano a scaricare ed aprire allegati che contengono il payload malevolo.
Oltre alle classiche estensioni .zip, .rar, .iso, ecc., per la prima volta è stato riscontrato l’utilizzo di un file HTML che apre una finta pagina di download del noto servizio di trasferimento file online WeTransfer.
La pagina che viene caricata, oltre a riportare la tipica doppia estensione malevola, pur ricalcando la grafica del servizio originale, contiene invece link fraudolenti che, se cliccati, scaricano l’eseguibile con il malware vero e proprio.
ASTesla usa i bot Telegram per diffondersi
Al secondo posto troviamo ASTesla, così rinominato per le somiglianze col già noto AgentTesla, che, sfruttando messaggi apparentemente riconducibili al leader della logistica DHL, invita a scaricare allegati con all’interno il payload.
Una volta installato, provvede a comunicare al server di comando e controllo (C&C) informazioni sulla macchina infettata quali identificativi hardware, il nome utente e del computer e inizia a raccogliere dati.
Oltre alla classica funzione di keylogger vengono registrati cookie, screenshot a intervalli definiti, nonché contenuto degli appunti e credenziali di una lunga lista di applicativi: il tutto viene esfiltrato tramite HTTP, FTP, e-mail o addirittura tramite Telegram grazie ad un bot apposito.
Ursnif: il trojan bancario più attivo in Italia
Nonostante sia noto sin dal 2012, il malware Ursnif, derivante dal più noto Gozi, si conferma in terza posizione come presenza fissa nel panorama italiano, con attacchi quasi quotidiani di questo trojan bancario di cui il CERT-AgID ha fornito negli scorsi mesi un’analisi completa.
Solitamente prevede l’invio di e-mail di natura commerciale redatti in un corretto italiano, oppure ricalcanti l’aspetto dei portali di INPS, MISE o Agenzia delle Entrate. In ogni caso sono presenti allegati Excel contenenti macro che, se attivate dall’utente, permettono di scaricare il loader del malware e celare la presenza al controllo firme di eventuali antivirus proteggendo il file con password.
Lokibot: così ci ruba password di e-mail, browser e chat
A metà classifica con 17 campagne rilevate troviamo il malware Lokibot, progettato per recuperare credenziali di client di posta elettronica, browser e applicazioni di messagistica.
Nel 2020 era già stato utilizzato per una campagna che prevedeva un’e-mail apparentemente proveniente dall’Università della Sapienza di Roma, con tanto di indirizzo a prima vista genuino (admin@uniroma1.it) e un allegato malevolo in formato PowerPoint.
Solitamente tale formato non viene particolarmente impiegato, preferendogli i classici allegati Word e Excel più utilizzati in ambito lavorativo. Tuttavia, facendo leva sulla specificità del messaggio, si è optato per un file di presentazione, più consono al testo che verteva su di un progetto universitario.
Nel 2021 il malware è stato declinato anche in campagne di phishing che simulavano e-mail della banca Intesa Sanpaolo con un allegato compresso in formato .zip al cui interno era contenuto un file .iso dal quale viene estratto un .exe.
Flubot: il malware Android che si diffonde via SMS
L’unico malware all’interno di questa lista che invece di essere veicolato tramite posta elettronica ordinaria prevede l’invio di SMS è Flubot, già diffuso fuori dall’Italia, ma a partire dallo scorso aprile rilevato anche nel nostro Paese.
Le 17 campagne registrate ruotano tutte attorno a SMS legati alla consegna, ritiro o tracciamento di spedizioni DHL fasulle che riportano un link malevolo che invita a scaricare ed installare un pacchetto .apk di una sedicente app DHL per sistemi Android.
Una volta installata l’app, il malware non ha alcun effetto fino alla concessione degli alti privilegi garantiti dal servizio di accessibilità (pensato per aiutare non vedenti e diversamente abili nella fruizione dei dispositivi), operando quindi non sulla base di vulnerabilità o falle, ma grazie ai permessi offerti dall’utente stesso.
Una volta lanciato, Flubot può rubare direttamente dati quali messaggi e rubrica, sottrarre i dati della carta di credito con una finta pagina di Google Play Protect, presentare pagine di phishing in luogo di quelle legittime delle rispettive app, nonché prendere il controllo delle notifiche sui codici per l’autenticazione a due fattori.
Tale malware, in continua evoluzione (raggiunta la versione 4.0), risulta particolarmente preoccupante per via della facilità di trasmissione, legata anche alla spesso scarsa attenzione nell’uso degli smartphone, per le ampie possibilità di compromissione visti i dati recuperabili, nonché per la difficile rimozione, dal momento che provvede a chiudere qualsiasi istanza di disinstallazione non appena rilevata.
Emotet: un vero e proprio framework criminale
Nonostante l’infrastruttura su cui era basato sia stata smantellata nel gennaio 2021 grazie ad un’operazione internazionale di Europol ed Eurojust, il malware Emotet è stato comunque registrato in 10 campagne.
Questo trojan, in circolazione e costante evoluzione sin dal 2014, sfruttava un’ampia botnet che permetteva di effettuare attacchi di varia natura secondo il modello Cybercrime as a Service, offrendo ai propri utenti attacchi DDoS o phishing anche senza particolari conoscenze tecniche.
Nato per sfruttare l’utilizzo sempre più diffuso di servizi di home banking, grazie anche alla propria modularità e all’utilizzo di allegati e-mail con macro per sottrarre credenziali e password è diventato uno dei malware più dannosi degli ultimi anni.
IcedID: il malware modulare che si “adatta” alle vittime
Con lo smantellamento della rete di Emotet, il malware IcedID, che sfrutta lo stesso modello modulare as-a-service, si candida a sostituirlo come più pericoloso sia per gli utenti individuali, soggetti alle funzionalità di banking trojan, che per quelli aziendali, vista la possibilità di infiltrarsi nella rete e lanciare trojan ad accesso remoto (RAT).
Le modalità di infezione restano le medesime: e-mail apparentemente legittime con allegati contenenti macro che l’utente è invitato ad abilitare.
sLoad: il malware delle PEC
Il malware in ultima posizione con 6 campagne rilevate è sLoad, che ha la particolarità di essere l’unico veicolato non con la Posta Elettronica Ordinaria (PEO), ma con la Posta Elettronica Certificata (PEC), destando quindi preoccupazione per il mezzo scelto, solitamente associato a comunicazioni ufficiali e per cui si è portati ad abbassare il livello di guardia.
A parte la differenza di vettore, la dinamica dell’attacco rimane la stessa: e-mail commerciali fraudolente ma credibili con allegati archivi .zip contenenti l’effettivo payload.
Cosa impariamo dai recenti attacchi
Dall’analisi dei malware che hanno interessato la Pubblica Amministrazione italiana nella prima metà del 2021 emerge uno scenario composto da campagne di vecchia data o nuove, ma tutte incentrate su infezioni veicolate da allegati malevoli e mirate alla sottrazione dei dati.
Di particolare interesse la variante PEC rappresentata da sLoad e la declinazione in ambito smartphone Android di Flubot.
La mancanza di elementi ransomware, che pure sono stati in continua ascesa, viene ricondotta dallo stesso CERT-AgID al fatto che tali campagne sono solitamente mirate al singolo bersaglio, nonché successive alla fase di compromissione ed esfiltrazione.
