L’emergenza Coronavirus non è solo sanitaria, ma riguarda tutti i settori dell’economia e della società e il mondo della sicurezza non ne è stato certo immune. Nel corso degli ultimi mesi, i ricercatori Proofpoint hanno documentato oltre 390 campagne di email malevole che sfruttavano i temi del COVID-19, tipicamente per sottrarre credenziali e informazioni sensibili. Ma cosa è successo nello specifico in Italia?
Campagne malware destinate a utenti italiani
Ogni mese, dall’inizio dell’emergenza, Proofpoint ha osservato in media 14 campagne di malware o phishing al mese mirate all’Italia. Di queste, circa una ogni cinque sfruttava esplicitamente tematiche legate al COVID-19. L’Italia ha avuto anche il primato di essere stato il primo paese preso di mira da una campagna di phishing targettizzata e geolocalizzata, già a febbraio. L’attacco, destinato ai settori education e healthcare, utilizzava un allegato Microsoft Word per sottrarre credenziali aziendali agli utenti.
Altre campagne sono state rivolte agli utenti italiani allo scopo di distribuire forme specifiche di malware, come il RAT BackConnect, con un’esca che segnalava la sospensione dei pagamenti a causa del COVID-19, o il ransomware F**kUnicorn, legato invece alla app Immuni. Quest’ultima campagna, in particolare, è stata molto mirata, colpendo quasi esclusivamente farmacie.
Infine, sono state registrate altre campagne, come quella mirata a sottrarre credenziali di accesso a servizi cloud-based quali Microsoft Office 365, attraverso un messaggio contenente un link che conduceva gli utenti a un sito di phishing.
Quali i principali malware che hanno colpito l’Italia?
I ricercatori Proofpoint hanno anche analizzato le differenti tipologie di malware riscontrate nelle campagne che hanno colpito l’Italia negli ultimi mesi. I banking Trojan sono stati di gran lunga la categoria principale di malware identificata nei primi mesi dell’anno, seguiti dai downloader.
In termini di volumi di messaggi, Ursnif si è rivelato il principale malware nel periodo preso in esame, AgentTesla il keylogger più frequente, mentre FTCode è stato il ransomware rilevato più spesso, in particolare durante il periodo di lockdown – tra marzo e aprile.