Sommario
Nell’ultima settimana di giugno, il panorama delle minacce informatiche che interessa l’Italia e il contesto globale si caratterizza per un’intensa attività di campagne malevole a tema banking, phishing e malware modulare, unite a una crescita significativa di tentativi di compromissione su larga scala legati a vulnerabilità in software di trasferimento file. La sintesi CERT-AGID e l’analisi GreyNoise consentono di tracciare una mappa aggiornata dei rischi cyber più attivi e dei vettori d’attacco predominanti contro infrastrutture pubbliche, privati e grandi aziende.
Sintesi CERT-AGID: analisi approfondita delle campagne malevole in Italia
Nella settimana dal 21 al 27 giugno, il CERT-AGID ha monitorato un’intensa attività di campagne malevole rivolte a utenti italiani, segnalando una sofisticazione crescente dei vettori di attacco e una continua diversificazione degli obiettivi. Le campagne a tema phishing bancario si sono evolute non solo nella qualità delle esche, ma anche nella varietà delle banche e dei servizi simulati: oltre ai classici istituti bancari nazionali, sono state rilevate false comunicazioni su carte di credito, accesso a servizi finanziari, falsi avvisi di blocco conti e aggiornamenti di sicurezza. Spesso le email sono costruite in modo da sembrare risposte a thread reali o sono inviate da indirizzi che mimano quelli di uffici compliance, customer care o sistemi antifrode.
I link malevoli conducono l’utente verso landing page che replicano fedelmente l’aspetto dei portali originali, comprese le fasi di inserimento OTP, dati personali, codici dispositivi e persino domande di sicurezza. Le infrastrutture usate per l’hosting dei kit phishing vengono frequentemente modificate: vengono impiegati domini registrati di recente, URL brevi, e redirect multi-livello per eludere blacklist e strumenti di threat intelligence automatica. L’uso di template mobile-friendly e la localizzazione in lingua italiana aumentano il tasso di successo delle campagne, colpendo sia utenti consumer che dipendenti aziendali.
Sul fronte malware, il CERT-AGID evidenzia l’incremento delle campagne di info-stealer e trojan modulari. Allegati ZIP, RAR o ISO, spesso protetti da password, sono veicolati come documenti finanziari, preventivi o notifiche legali; una volta aperti, scaricano malware come AgentTesla, Formbook, RedLine o nuove varianti di Remcos RAT e Warzone RAT. Questi strumenti, dotati di funzioni di exfiltration automatica, raccolgono dati di browser, cookie di sessione, credenziali VPN, wallet di criptovalute e file sensibili, spesso trasmettendo le informazioni via Telegram Bot, FTP o canali C2 cifrati.
La settimana ha visto anche campagne miste che combinano phishing SPID (mirato a rubare identità digitali pubbliche) e malspam con download di loader per malware multi-stage. I cyber criminali dimostrano una capacità adattiva: mutano infrastrutture C2 e tecniche di evasione, utilizzano packer, criptatori, e aggiornano frequentemente le signature per aggirare sandbox e scanner automatici.
CERT-AGID raccomanda una difesa stratificata: filtri anti-phishing avanzati, formazione degli utenti sulla riconoscibilità di email sospette, segmentazione degli asset critici aziendali e utilizzo di EDR con monitoraggio comportamentale. Particolare attenzione va riservata alle utenze che accedono a portali bancari o gestiscono credenziali di identità digitale, con controlli periodici sugli indicatori di compromissione, log di accesso e monitoraggio del traffico in uscita per prevenire la perdita di dati sensibili.
GreyNoise: surge globale di scanning su MOVEit Transfer, rischio exploitation automatizzata
Parallelamente, GreyNoise segnala una nuova ondata di scanning automatizzato ai danni delle istanze MOVEit Transfer, software ampiamente usato per il trasferimento sicuro di file in ambito enterprise e PA. La piattaforma GreyNoise Intelligence ha registrato un picco di tentativi di connessione e probing, con attori malevoli che ricercano host vulnerabili da sfruttare con exploit pubblici o zero-day recentemente documentati. Gli scanner utilizzano principalmente richieste HTTP POST e GET su endpoint MOVEit specifici, con payload riconducibili a ricognizione preliminare, dump di file e tentativi di upload di webshell e malware modulare.
L’intensificazione dello scanning riflette il crescente interesse criminale verso vulnerabilità critiche già usate in campagne di ransomware e supply chain attack negli ultimi mesi, come testimoniato dagli alert CISA e dagli advisory internazionali. La persistenza del fenomeno conferma la necessità di aggiornare e monitorare costantemente le piattaforme di file transfer, adottando patch tempestive, log analysis approfondita e restrizioni sull’accesso pubblico ai servizi esposti.
Approfondimento tecnico: mitigazione phishing e difesa contro exploit transfer
Le organizzazioni italiane sono invitate a rafforzare i sistemi di email filtering, a promuovere la formazione sulla detection delle truffe più comuni e a monitorare indicatori di compromissione legati a info-stealer e RAT. Sul fronte MOVEit Transfer, la difesa più efficace resta la patch management immediata, la segmentazione dei servizi di trasferimento dati e la chiusura delle porte non necessarie, unita all’analisi dei log per identificare rapidamente eventuali tentativi di exploit o accessi anomali.
