Gli attacchi informatici della prima settimana di settembre 2024

Un’analisi delle principali minacce rilevate da CERT-AGID in Italia dal 31 agosto al 6 settembre 2024. Malware in crescita e molti tentativi di phishing con un’attenzione particolare per le email di rinnovo a nome di Register.it.

Nell’ultima settimana, il CERT-AGID (Computer Emergency Response Team dell’Agenzia per l’Italia Digitale) ha condotto un’analisi delle principali minacce informatiche che hanno interessato lo scenario italiano.

L’indagine ha portato all’identificazione di 40 campagne malevole presenti in Italia dal 31 agosto al 6 settembre 2024. Di queste, 22 erano mirate specificamente a obiettivi italiani, mentre le restanti 18 avevano una natura più generica, pur avendo comunque un impatto sul territorio nazionale.

Vediamo i dettagli dell’analisi fornita da CERT-AGID, con particolare attenzione alle campagne di phishing che hanno riguardato Register.it.

I temi usati per tentare gli attacchi
I malware della settimana
I tentativi di phishing della settimana
Phishing e falsi rinnovi a nome di Register.it: Come proteggersi

I temi usati per tentare gli attacchi

CERT-AGID ha identificato 14 diversi temi usati per diffondere campagne malevole in Italia nella prima settimana di settembre.

Alcuni di questi si sono distinti per la loro frequenza e impatto.

• Il tema “Undelivered” (mancata consegna) è stato ampiamente sfruttato per campagne di phishing mirate agli utenti di Poste Italiane, Roundcube e cPanel, sia in contesti specificamente italiani che più generici.
• Il tema “Ordine” è stato principalmente impiegato per la diffusione di malware come FormBook, AgentTesla, Guloader e StrRat, oltre a una campagna di phishing generica.
• Il tema del “Rinnovo” dei servizi in scadenza ha caratterizzato campagne di phishing italiane contro Aruba e Register.it.
• Il tema “Avvisi sicurezza” è stato sfruttato per campagne di phishing generiche, coinvolgendo tra gli altri MetaMask.

I restanti temi hanno veicolato varie tipologie di malware e campagne di phishing.

Si cerca, quindi, di usare argomenti capaci di smuovere gli utenti ad un’azione immediata, sfruttando il senso di urgenza, quello del dovere, o l’errore dei sistemi.

I malware della settimana

Nel periodo preso in esame sono state identificate 7 famiglie di malware con caratteristiche e metodi di diffusione specifici.

• AgentTesla si è manifestato in 3 campagne distinte: 2 italiane, incentrate sui temi “Ordine” e “Delivery”, e una generica.
• FormBook è stato rilevato in 3 campagne: una italiana focalizzata sul tema “Contratti”, diffusa tramite email, e 2 generiche sul tema “Ordine”.
• EagleSpy ha lanciato 2 campagne italiane legate al tema “Banking” diffuse tramite un file APK scaricabile tramite un link condiviso via SMS.
• Vidar ha attuato una campagna italiana sul tema “Pagamenti” attraverso PEC compromesse che richiedono il pagamento di false fatture insolute, inducendo il download del malware tramite un link.
• Guloader ha lanciato una campagna generica, diffusa tramite email, sul tema “Ordine”.
• LummaC è stato osservato in una campagna generica a tema “Sociale” propagata via email
• StrRat ha condotto una campagna in Italia a tema “Ordine” diffusa tramite email.

I tentativi di phishing della settimana

Il phishing è una pratica molto diffusa in cui vengono inviati dei falsi messaggi in cui, a nome di mittenti noti, si invitano i destinatari a fornire dati riservati.

Gli attacchi di phishing sfruttano la fiducia che gli utenti ripongono nei mittenti per rendere le truffe più credibili e più efficaci, con l’obiettivo di acquisire dati sensibili, come credenziali di accesso, informazioni personali e dati finanziari.

Leggi anche “Phishing. Cos’è e come difendersi”

Nel periodo compreso fra il 31 agosto al 6 settembre 2024, le campagne di phishing presenti in Italia hanno coinvolto 13 marchi noti, tra cui anche Registet.it.

Il fenomeno più importante è stato l’elevato numero di campagne di phishing generiche rivolte ai servizi di webmail. Queste campagne non si sono concentrate su un singolo brand, ma puntavano ad ingannare gli utenti di vari servizi di posta elettronica.

Aruba, Poste Italiane e cPanel si sono distinti per il numero di campagne di phishing a loro dedicate.

Come accennato in precedenza le campagne di phishing che hanno preso di mira Register.it si sono focalizzate sul rinnovo dei servizi in scadenza con false email di rinnovo per indurre gli utenti a precedere al pagamento su piattaforme non sicure e non riconducibili a Register.it.

Phishing e falsi rinnovi a nome di Register.it: Come proteggersi

Un tema particolarmente rilevante della settimana riguarda le campagne di phishing rivolte ai clienti di Register.it, con email fasulle che chiedono il rinnovo di servizi.

Non è la prima volta che Register.it viene usata dagli hacker come mittente per tentativi di phishing. Queste comunicazioni vengono inviate a liste generiche di indirizzi email con l’obiettivo di ottenere in modo fraudolento informazioni personali, come i dati di accesso al Pannello di controllo. Tali indirizzi non vengono sottratti a Register.it e possono appartenere a nostri clienti solo per casualità.

Raccomandiamo di prestare molta attenzione alle comunicazioni di rinnovo che arrivano via email:
Queste email possono sembrare legittime ma contengono link che indirizzano gli utenti a siti web che potrebbero imitare l’aspetto ufficiale di Register.it. Potrebbero, inoltre, contenere dettagli che tradiscono la loro natura fraudolenta.

Si raccomanda di:

1. Verificare l’indirizzo del mittente: Le email ufficiali di Register.it provengono sempre da indirizzi email @register.it.
2. Controllare bene il contenuto: Le email ufficiali non contengono errori grammaticali e non richiedono mai azioni urgenti o sospette.
3. Verificare attentamente l’URL del sito web in cui viene richiesto di inserire i dati. Assicurati che si tratti del dominio register.it (attenzione agli errori di battitura) e che si tratti una pagina protetta, facilmente riconoscibile della presenza dal prefisso https:// ( e non http://) nella barra degli indirizzi, elemento che  indica che le informazioni scambiate saranno criptate.

In caso di dubbi, prima di procedere al rinnovo, è sempre consigliabile accedere alla propria Area Clienti personale dal sito ufficiale di Register.it e verificare lo stato dei servizi.

Leggi anche “Le 5 migliori best practice per la tua sicurezza online“

Lo scenario degli attacchi informatici in Italia durante la prima settimana di settembre 2024 rappresenta un campanello d’allarme per privati e aziende. La massiccia diffusione di malware e i numerosi tentativi di phishing richiedono una maggiore consapevolezza e attenzione. La sicurezza informatica inizia dalla prudenza: verifica sempre la provenienza delle comunicazioni e fidati solo delle fonti ufficiali.