15/11/2021
12:57

2021W46 Report settimanale => 15/11 - 21/11 2K21 campagne MalSpam target Italia


Malware veicolati attraverso le campagne: AgentTesla, Ave_Maria, FormBook, LokiBot, sLoad, QakBot.
       
week46

Report settimanale delle campagne italiane di malspam a cura del C.R.A.M. di TG Soft.

Di seguito i dettagli delle campagne diffuse in modo massivo nella settimana dal 15 novembre 2021 al 21 novembre 2021.

Nella settimana monitorata le campagne globali sono aumentate rispetto alla settimana precedente, in aumento anche quelle rivolte all'utenza italiana.

Nella settimana appena trascorsa vi è stato un gran ritorno ovvero il malware Emotet, che nonostante l'operazione di smantellamento
da parte delle forze dell'ordine di numerosi paesi avvenuta in gennaio, è riuscito a ripristinare l'infrastruttura (anche grazie alla gang del TrickBot) e ad avviare immediatamente le operazioni di spam.
L'invio di malspam ha colpito globalmente con una quantità massiva di email contenti allegati Word, Excel o zip con password.
Vedi anche le informative brevi pubblicate su Facebook e su Twitter (Informativa 1 e Informativa 2)

La settimana è
caratterizzata dai Password Stealer delle famiglie AgentTesla, Ave_Maria, FormBook, LokiBot, sLoad e QakBot.

La barra di colore blu indica il numero totale di campagne monitorate in Italia in ogni settimana, invece quella di colore rosso riguarda le campagne scritte in italiano (con target Italia).
In questa settimana sono state 133 le campagne che abbiamo monitorato, di cui 20 sono scritte in lingua italiana.



Per poter capire come sono suddivise le varie settimane (Week) di seguito una piccola tabella che indica la suddivisione dei periodi presi in considerazione:

Settimana
dal al
Week_43 25/10 31/10
Week_44 01/11 07/11
Week_45 08/11 14/11
Week_46 15/11 21/11


Nella settimana il picco totale delle campagne è stato riscontrato lunedì 15 novembre con 34 differenti campagne. Martedì 16 si è rilevato il picco delle campagne con target Italia con 7 differenti campagne, come è evidenziato dal grafico riportato di seguito:




La maggioranza dei sample eseguibili che ha caratterizzato questa settimana è stata sviluppata in MSIL (C#) e copre il 62.41% dei malware inviati via mail. Al secondo posto troviamo i Win32 con il 18.80%.
Il 3.76% dei sample distribuiti sono documenti di Office (Word, Excel, PowerPoint).
Nella figura sottostante possiamo vedere le varie tipologie di linguaggio con cui vengono sviluppati i malware.


Nel seguente grafico vediamo la distribuzione delle varie tipologie di linguaggio divise per giorno:


*Nella categoria JAR sono compresi i file JNLP
 
Nel grafico di seguito è possibile vedere le famiglie dei malware che sono state veicolate con target Italia (scritte in lingua italiana) nella settimana:

 
Le campagne italiane analizzate dal C.R.A.M. di TG Soft sono state raggruppate secondo delle macro categorie ricavate dal tema del messaggio email sfruttato per la distribuzione dei malware (malspam). Di seguito vediamo i temi utilizzati nelle varie campagne suddivisi per giorno e tipologia di malware.
 

15/11/2021

AgentTesla - veicolato tramite una campagna a tema "Spedizioni".

LokiBot
 - veicolato tramite una campagna a tema "Fatture".

sLoad - veicolato tramite una campagna a tema "Ordini".


16/11/2021

AgentTesla - veicolato tramite una campagna a tema "Fatture" e una a tema "Spedizioni".

Ave_Maria - veicolato tramite una campagna a tema "Ordini".

FormBook - veicolato tramite due campagne, una a tema "Ordini" e una a tema "Offerte".

LokiBot
 veicolato tramite una campagna a tema "Offerte".

QakBot veicolato tramite una campagna a tema "Documenti".


17/11/2021

FormBook - veicolato tramite due campagne a tema "Ordini".

LokiBot
 veicolato tramite due campagne, una a tema "Ordini" e una a tema "Offerte".


18/11/2021

AgentTesla - veicolato tramite una campagna a tema "Fatture".

Ave_Maria - veicolato tramite una campagna a tema "Ordini".

FormBook - veicolato tramite una campagna a tema "Offerte".

LokiBot
 veicolato tramite una campagna a tema "Ordini".


19/11
/2021

AgentTesla - veicolato tramite una campagna a tema "Fatture".

LokiBot veicolato tramite una campagna a tema "Pagamenti".


EMOTET

Dal 16 Novembre è ripartito l'invio di malspam per la diffusione del malware Emotet. Questo malware, effettua il furto di password e dati dal PC. Il PC infetto diventa inoltre parte della Botnet stessa di Emotet. Il PC infetto potrà quindi essere utilizzato per l'invio di ulteriore Malspam o essere target di altri malware distribuiti da Emotet come i Ransomware.
Di seguito vediamo alcuni esempi di email di Emotet:

Email con allegato di tipo Excel:

emotet_excel.png


Email con allegato di tipo Word:

emotet_word.png


Email con allegato di tipo ZIP con password:


E' evidente che, dalla tipologia di messaggi, i CyberCriminali della gang di Emotet stanno lavorando per ripristinare in pieno la Botnet che avevano costruito in passato e che grazie allo sforzo congiunto di varie forze dell'ordine internazionali era stata smantellata a Gennaio 2021.
C'è da aspettarsi quindi un probabile progressivo aumento della qualità delle email e come visto in passato lo sfruttamento della tecnica della reply-chain per ingannare l'utente e invogliarlo ad aprire i file allegati.
E' pertanto fondamentale prestare attenzione ai messaggi ricevuti anche se sono risposte ad email precedenti e provengono da contatti conosciuti.
 

Consulta le campagne del mese di Ottobre/Novembre

Vi invitiamo a consultare i report del mese di Ottobre/Novembre, per rimanere aggiornati sulle campagne di malspam circolanti in Italia:

08/11/2021 = Report settimanale delle campagne italiane di MalSpam dal 08 novembre 2021 al 14 novembre 2021
01/11/2021 = Report settimanale delle campagne italiane di MalSpam dal 01 novembre 2021 al 07 novembre 2021
25/10/2021 = Report settimanale delle campagne italiane di Malspam dal 25 ottobre 2021 al 31 ottobre 2021
18/10/2021 = Report settimanale delle campagne italiane di Malspam dal 18 ottobre 2021 al 24 ottobre 2021


C.R.A.M. 
Centro Ricerche Anti-Malware di TG Soft 
Any information published on our site may be used and published on other websites, blogs, forums, facebook and/or in any other form both in paper and electronic form as long as the source is always and in any case cited explicitly “Source: CRAM by TG Soft www.tgsoft.it” with a clickable link to the original information and / or web page from which textual content, ideas and / or images have been extrapolated.
It will be appreciated in case of use of the information of C.R.A.M. by TG Soft www.tgsoft.it in the report of summary articles the following acknowledgment/thanks “Thanks to Anti-Malware Research Center C.R.A.M. by TG Soft of which we point out the direct link to the original information: [direct clickable link]”

Vir.IT eXplorer PRO is certified by the biggest international organisation: