Le campagne malevole del 2024: pubblicato il report del CERT-AGID

Dalla lettura del report pubblicato dal CERT-AGID[1] relativamente alle campagne malevole del 2024 si rileva come esse siano state veicolate via PEC, l’uso di bot Telegram come C2 e la registrazione di domini potenzialmente ingannevoli. Suddette campagne hanno colpito soggetti pubblici e privati.

Le informazioni qui presentate sono state raccolte tramite diverse fonti, tra le quali le segnalazioni spontanee provenienti da soggetti privati o Pubbliche Amministrazioni, le rilevazioni dei sistemi automatizzati del CERT-AGID impiegati a difesa proattiva della propria constituency, le analisi dettagliate di campioni di malware e le indagini sugli incidenti trattati

I principali temi e canali utilizzati per veicolare malware

Dal censimento delle parole più utilizzate per veicolare diversi tipi di malware è emerso che i principali temi sfruttati rimangono simili a quelli degli anni precedenti. Particolarmente ricorrente è stato il tema “Pagamenti”, utilizzato in ben 141 campagne.

Rispetto allo scorso anno, invece, le campagne malevoli tramite PEC[2] compromesse sono triplicate, raggiungendo 57 attacchi, di cui 12 distribuiscono malware e 45 mirano al phishing, soprattutto nel settore bancario. In queste operazioni, il malware Vidar ha avuto un ruolo centrale. Al contempo, si è registrato un calo del 37% nello smishing[3], con attacchi via SMS che simulano comunicazioni da enti legittimi, indirizzando verso risorse dannose.

I formati di file più frequentemente adoperati per veicolare malware rimangono gli archivi compressi, che costituiscono circa il 41% dei file malevoli riscontrati e sono utilizzati per contenere al loro interno file pericolosi o collegamenti ad essi. Come quantità spiccano i formati ZIP e RAR, mentre è più occasionale l’utilizzo di altri formati, come 7Z, GZ, Z, XZ e TAR. Al secondo posto, per un totale di quasi il 14%, troviamo file script in diversi formati, quali JS, VBS, BAT e PS1, che, alla stessa stregua dei file eseguibili EXE, in molti casi possono essere lanciati anche semplicemente facendo un “doppio click” e permettono di eseguire comandi dannosi sul sistema, come il download e l’esecuzione di ulteriori malware, la modifica di configurazioni di sistema o l’esfiltrazione di dati. Alcuni di questi formati rappresentano il vettore iniziale di una infezione. Altri, come i PS1 (script di PowerShell) o gli EXE (file eseguibili), rappresentano invece i passi di infezione successivi e spesso il cosiddetto payload finale del malware. Questo significa che vengono scaricati o eseguiti dopo il download e l’attivazione del primo stadio dell’infezione, come ad esempio uno script malevolo (JS, VBS, BAT) contenuto generalmente all’interno di un archivio compresso come ad esempio ZIP o RAR.

Permane comunque l’uso di documenti contenenti link a file di script o altre risorse dannose, in particolare file PDF, documenti Excel, Word e altri formati della suite Office, per un totale di circa il 10% del totale. Si nota, inoltre, una frequenza sempre maggiore d’utilizzo di file APK (9,8%) per l’istallazione di applicazioni dannose su sistemi Android. Si osserva infine un modesto utilizzo (circa il 5%) di file HTML malevoli, che si presentano come finte pagine web e sono utilizzati per diffondere principalmente phishing di varia natura, come avvenuto per i casi di campagne che hanno sfruttato Outlook e DocuSign.

Sono utilizzati anche file formato LNK che, come primo passo nella catena di compromissione, possono eseguire comandi o reindirizzare ad altre risorse, come file scaricabili o pagine web. Esposizione di dati trafugati  Le campagne di malware che sfruttano codice di tipo Infostealer hanno portato a una preoccupante quantità di informazioni relative a utenze italiane esfiltrate, che sono state successivamente messe in vendita su diversi canali online. 

L’attenzione del CERT-AGID è stata rivolta in particolare alle utenze di caselle PEC e di servizi fiduciari coinvolti e, più in generale, anche alle eventuali utenze appartenenti al dominio della Pubblica Amministrazione. Complessivamente sono state individuate 34 compromissioni di diversa natura, per lo più riguardanti diffusione illecita di database di aziende private e di servizi non istituzionali, che contenevano comunque più di 250.000 indirizzi e-mail appartenenti a enti pubblici insieme a numerosi dati personali e non. Di queste, poco meno della metà contenevano anche password trafugate illecitamente.

Il CERT-AGID ha, di volta in volta, informato ciascun ente o gestore PEC coinvolto riguardo alle informazioni raccolte, al fine di evitare l’uso improprio delle credenziali rubate e diffuse pubblicamente, provvedendo anche a tenere aggiornati i Responsabili della Protezione dei Dati, i singoli dipendenti e gli utenti delle Pubbliche Amministrazioni sulle possibili violazioni di dati personali da parte di terzi.

Nel 2024, anche le campagne malware mirate ai dispositivi Android sono aumentate, passando da 29 a 76.

Irata[4] è il malware più diffuso, seguito da SpyNote[5] e altre varianti minori. Questi malware sono principalmente distribuiti tramite smishing, con attori malevoli che impersonano istituti bancari e inducono le vittime a installare applicazioni dannose. Le app, scaricate da link in messaggi falsi, rubano credenziali bancarie e, in alcuni casi, intercettano gli SMS per ottenere i codici OTP e completare transazioni fraudolente in tempo reale.

 Servizi più sicuri, utenti e amministrazioni più consapevoli

L’obiettivo del report e delle attività di monitoraggio dell’Agenzia è quello di sensibilizzare gli utenti sull’importanza della sicurezza informatica. Il Cert-AGID conduce periodicamente anche dei webinar, all’interno dei quali si discute di minacce informatiche, di come intercettarle e degli strumenti offerti gratuitamente dall’Agenzia alle pubbliche amministrazioni per contrastarle. 

Uno di questi è il Feed degli Indicatori di Compromissione (IoC)[6], che elenca e condivide con le PA che ne fanno richiesta i dati raccolti dal CERT nelle attività quotidiane di monitoraggio, come gli indirizzi IP utilizzati per attività fraudolente, URL di siti malevoli, hash di file dannosi e altre informazioni sulle campagne in atto.  Il CERT-AGID fornisce, inoltre, anche uno strumento progettato per cercare file malevoli all’interno di un filesystem: si tratta del software Hashr[7], recentemente rilasciato in una nuova versione.  

Questi due strumenti forniti da AgID costituiscono un’opportunità per le amministrazioni al fine di migliorare la sicurezza dei propri sistemi IT, adeguandosi alle indicazioni del Piano Triennale per l’Informatica 2024-2026[8] e rafforzando la resilienza digitale della Pubblica Amministrazione.

[1] In base a quanto previsto dal Codice dell’Amministrazione Digitale e, in linea con gli obiettivi descritti dal “Piano triennale per l’informatica nella pubblica amministrazione”, AgID si impegna, tramite il CERT-AgID, a mantenere e sviluppare servizi di sicurezza preventivi e funzioni di accompagnamento utili per la crescita e la diffusione della cultura della sicurezza informatica. L’obiettivo è quello di supportare l’Agenzia su tutti i temi riguardanti gli aspetti di sicurezza informatica relativi sia a progetti interni che esterni di AgID.

[2] Questo vettore, sempre ambito dagli attori malevoli, consente di rendere più verosimili le campagne di phishing e permette di aumentare la distribuzione di malware come Vidar; – incremento dell’uso di bot Telegram come C2: quest’anno si è registrato un significativo aumento dell’utilizzo improprio di bot Telegram come server di Command and Control (C2) per attività di phishing e distribuzione di malware. Questa strategia permette agli attori malevoli di gestire con un buon grado di anonimato le comunicazioni con i sistemi compromessi; – crescita della registrazione di domini potenzialmente ingannevoli: durante il 2024 sono stati registrati numerosi domini che richiamano il nome di soggetti noti come INPS, Agenzia delle Entrate e Polizia di Stato. Sebbene alcuni siano stati realmente utilizzati per campagne di phishing e altre truffe, la maggior parte di essi è rimasta inattiva o è attualmente in vendita; – prevalenza degli Infostealer tra i software malevoli: gli infostealer hanno rappresentato la categoria di malware più diffusa, veicolati principalmente tramite archivi compressi di tipo ZIP e RAR. Questi formati continuano a essere i vettori iniziali più usati, spesso contenenti script o eseguibili utili ad avviare la catena di infezione; – incremento delle minacce per sistemi Android: le campagne malevole rivolte ai precedente. Malware come Irata e SpyNote sono stati diffusi tramite smishing e file APK malevoli, con lo scopo principale di rubare credenziali bancarie e codici OTP, eseguendo transazioni fraudolente in tempo reale. I dati riepilogativi del 2024 Nel corso del 2024, il CERT-AGID ha individuato e contrastato un totale di 1.767 campagne malevole, condividendo con la sua constituency un totale di 19.939 Indicatori di Compromissione (IoC). Malware Famiglie rilevate / Brand coinvolti Phishing 69 Campagne censite 113 639 Indicatori di Compromissione (IoC) diramati 1.128 6.645 13.294 In totale sono state identificate 69 famiglie di malware. Dei sample analizzati, circa il 67% rientra nella categoria degli Infostealer, mentre il restante 33% in quella dei RAT (Remote Access Trojan). Nel contesto di attacchi di phishing/smishing, che hanno coinvolto complessivamente 133 brand, l’obiettivo principale è stato il furto di credenziali bancarie, di credenziali di accesso a webmail e, nel caso dello smishing ai danni di INPS, il furto di documenti di identità.

[3] Lo Smishing (o phishing tramite SMS) è una forma di truffa che utilizza messaggi di testo e sistemi di messagistica (compresi quelli delle piattaforme social media) per appropriarsi di dati personali a fini illeciti (ad esempio, per poi sottrarre denaro da conti e carte di credito).

[4] Irata (Iranian Remote Access Trojan) è un malware per Android. E’ stato scoperto, nell’Agosto del 2022, a seguito di un attacco di smishing (phishing tramite SMS)rivolto contro utenti iraniani. Il messaggio fraudolento conteneva un collegamento a un falso sito web governativo ed invitava i visitatori a scaricare un’app (APK) e a pagare una tariffa per il servizio. L’app in realtà era fake e conteneva, appunto, Irata. La catena di infezione

L’attacco inizia, solitamente, con un messaggio SMS di phishing. Nella quasi totalità dei casi, questi SMS emulano comunicazioni governative o del sistema giudiziario che avvisano la vittima di una presunta indagine a suo carico. Ovviamente questa è una tecnica di ingegneria sociale finalizzata a convincere la vittima a fare click sul link che riceve via SMS.

Il link conduce ad una pagina che emula, nuovamente, pagine governative / del sistema giudiziario del paese di riferimento. Queste pagine richiedono alcuni dati dell’utente, quindi reindirizzano la vittima ad una pagina che consente il download di un file APK. Questo file apk è, in realtà, un’app dannosa che esegue Irata. (Link: https://s-mart.biz/anatomia-di-irata-il-malware-android-distribuito-in-italia/ )

[5] Oltre ad intercettare gli SMS e a rubare password e numeri di carte di credito (grazie alle attività di keylogging) questo spyware ha la capacità di controllare le funzionalità del dispositivo compromesso, di catturare schermate, registrare chiamate ed inviarle al C2 insieme alle altre informazioni raccolte. È importante precisare che non tutte le funzionalità, anche se presenti nel codice, sono realmente utilizzate. Questa settimana sono state osservate due campagne SpyNote italiane, una segnalata da D3lab che ha sfruttato il tema “IT-Alert” ed un dominio di recente registrazione che riporta nomi e loghi della Presidenza del Consiglio, mentre la seconda, come da copione, fa riferimento ad un noto istituto bancario italiano. (Link: https://cert-agid.gov.it/news/in-crescita-la-diffusione-di-spyware-per-android-il-caso-di-spynote/ )

[6] Le Pubbliche Amministrazioni interessate possono esprimere la volontà di aderire al flusso di Indicatori di compromissione (Feed IoC) del CERT-AGID per la protezione della propria Amministrazione da minacce Malware e Phishing compilando l’apposito modulo.L’adesione comporta l’accettazione delle responsabilità relative alle condizioni d’uso.Il flusso contiene gli indicatori di compromissione in formato testuale delle campagne Malware e Phishing Italiane rilevate dal CERT-AGID tramite fonti OSINT e CLOSINT.Se utilizzato correttamente, il servizio di Feed IoC può risultare uno strumento efficace per bloccare contenuti malevoli in seguito alla ricezione di campagne di Malware e Phishing all’interno della propria Amministrazione. (Link: https://cert-agid.gov.it/scarica-il-modulo-accreditamento-feed-ioc/ )

[7] hashr è uno strumento progettato per cercare file all’interno di un filesystem confrontando il loro hash (ad esempio MD5, SHA1 o SHA256) con una lista di hash noti. Questo è particolarmente utile per indagini di sicurezza informatica, analisi forense e verifica dell’integrità dei file su filesystem di grandi dimensioni. Supporta le seguenti tipologie di hash: MD5, SHA1 e SHA256.  Logging dei file scartati: registra automaticamente i file che sono stati scartati a causa delle dimensioni o di problemi di accesso.  Output personalizzabile: i risultati possono essere salvati in un file per analisi successive.  Per le Pubbliche Amministrazioni: Le PA accreditate possono utilizzare gli Indicatori di Compromissione (IoC) basati su hash del Feed IoC di CERT-AGID in tempo reale. hashr legge una lista di hash da un file fornito in input e li confronta con gli hash dei file presenti in una directory specificata o su un’intera unità. Supporta diversi algoritmi di hash e consente di filtrare i file in base alle dimensioni per ottimizzare le prestazioni.

(Link: https://cert-agid.gov.it/hashr/ )

[8] Il Piano Triennale per l’informatica nella Pubblica Amministrazione (di seguito Piano triennale) è uno strumento fondamentale per promuovere la trasformazione digitale del Paese attraverso quella della Pubblica Amministrazione italiana. In un contesto socioeconomico in continua evoluzione, l’informatica e le nuove tecnologie emergenti rivestono oggi un ruolo fondamentale e necessitano di un Piano e di una programmazione di ampio respiro in ambito pubblico, che tenga conto delle molteplici variabili sul tema e dei cambiamenti in atto. L‘evoluzione delle soluzioni tecnologiche rese disponibili e l’adeguamento delle norme rivolte all’ambito della digitalizzazione, nonché gli interventi finanziari europei e nazionali sul tema, stanno accompagnando e rafforzando notevolmente la strada della trasformazione digitale già in corso.  Fin dalla sua prima edizione (2017-2019) il Piano triennale ha rappresentato il documento di supporto e di orientamento per le pubbliche amministrazioni italiane nella pianificazione delle attività sul percorso di innovazione tecnologica e nelle edizioni successive ha costituito il riferimento per declinare le strategie che si sono susseguite nel tracciato operativo composto da obiettivi e attività. L’edizione 2021-2023 prefigurava un quadro di sintesi degli investimenti nel digitale nell’ambito della Strategia Italia Digitale 2026, in quel momento appena pubblicata; l’aggiornamento 2022-2024 del Piano è stato caratterizzato dalla presenza sempre più pervasiva del Piano Nazionale di Ripresa e Resilienza (PNRR), che ha rappresentato e rappresenta una straordinaria opportunità di accelerazione della fase di esecuzione della trasformazione digitale della PA. Le problematiche dell’amministrazione pubblica possono trovare nuove soluzioni grazie alla trasformazione digitale, se questa viene vista come “riforma” dell’azione amministrativa e quindi come un nuovo tipo di “capacità istituzionale” che ogni ente pubblico deve strutturare nel proprio funzionamento interno (“riorganizzazione strutturale e gestionale” ex art.15 CAD) ed esterno (facendo sistema con gli altri enti pubblici e anche con le imprese, i professionisti, le università/centri di ricerca, il terzo settore, ecc.). Il Piano triennale 2024-26 presenta alcuni cambiamenti nella sua struttura, rispetto alle edizioni precedenti; inoltre, alcuni contenuti stati approfonditi per sostenere in modo efficace le pubbliche amministrazioni nel processo di implementazione e gestione dei servizi digitali. L’introduzione delle tecnologie non porta a cambiamenti se non si ripensa l’organizzazione dei procedimenti e l’attività amministrativa, con una revisione dei processi delle amministrazioni secondo il principio once only.  Il nuovo Piano triennale si inserisce in un contesto di riferimento più ampio definito dal programma strategico “Decennio Digitale 2030”, istituito dalla Decisione (UE) 2022/2481 del Parlamento Europeo e del Consiglio del 14 dicembre 2022, i cui obiettivi sono articolati in quattro dimensioni: competenze digitali, servizi pubblici digitali, digitalizzazione delle imprese e infrastrutture digitali sicure e sostenibili.  La strategia alla base del Piano triennale 2024-26 nasce quindi dalla necessità di ripensare alla programmazione della digitalizzazione delle pubbliche amministrazioni basata su nuove leve strategiche, tenendo conto di tutti gli attori coinvolti nella trasformazione digitale del Paese, e degli obiettivi fissati per il 2030 dal percorso tracciato dalla Commissione europea per il Decennio Digitale. Gli investimenti del Piano Nazionale di Ripresa e Resilienza e del Piano nazionale per gli investimenti complementari, oltre a quelli previsti dalla Programmazione Europea 2021-2027, rappresentano l’occasione per vincere queste sfide. (Link: https://www.agid.gov.it/it/agenzia/piano-triennale )