Quasi cinque azioni al giorno di attacco via spam e phishing: è il numero che sintetizza, secondo le rilevazioni Cert-Agid, l'andamento delle campagne malevole che hanno colpito l'Italia nel 2022. Un totale di 1.763 campagne che hanno bersagliato le caselle di posta e anche, via SMS, gli smartphone degli italiani. Un numero che rappresenta una crescita sensibile rispetto all'anno precedente.

Cosa conquista l'attenzione degli italiani tanto da spingerli a compiere azioni rischiose per la loro cyber security? Sempre i grandi classici, verrebbe da dire. In oltre metà dei casi, spiega Agid, le mail di phishing che diffondono malware invitano le vittime a prendere visione di ordini e pagamenti o fingono di riprendere una comunicazione già intercorsa. Oppure, allegano generici documenti da consultare, un trucco sempre efficace perché per lavoro si ha effettivamente sempre a che fare con qualche tipo di documento.

Crescono decisamente, però, le campagne meglio strutturate. Quelle che usano loghi di banche ed enti della PA per simulare comunicazioni urgenti, secondo le quali è necessario cliccare su un qualche link o consultare un allegato per evitare ritardi di pagamento e penali. Sulla stessa falsariga, sono in crescita anche le campagne che simulano le comunicazioni dei corrieri per tracciare la spedizione di un presunto pacco. Solitamente, spiega Agid, in queste mail il link o l’allegato puntano al download di file di tipo Office contenenti una macro malevola.

I file sono infatti sempre il mezzo più usato per veicolare malware. In primis i file compressi con estensione Zip, che sono il vettore più usato in assoluto. Una volta scompattati, si vede che contengono di norma documenti di tipo Office, file formato immagine montabili o file contenenti script. Vanno molto "di moda" anche i file di tipo Office non compressi: principalmente fogli Excel e documenti Word, ma anche documenti OneNote.

I malware più veicolati dalle campagne malevole del 2022 sono stati, in larga maggioranza, gli infostealer. Rispetto agli anni precedenti, spiega Agid, questi malware si sono notevolmente evoluti introducendo nuove funzionalità per eludere le difese, acquisire alti privilegi e garantirsi la persistenza e la costante comunicazione con i server C2. Le informazioni carpite dai sistemi compromessi vengono solitamente rivendute agli operatori ransomware. In rari casi è stato osservato il caricamento di un beacon Cobalt Strike pochi minuti dopo l’infezione, per consentire agli aggressori di intervenire manualmente sul sistema e di sferrare attacchi ransomware.

I canali alternativi: SMS e PEC

In Italia continua a crescere l’uso dello smishing, ossia delle campagne malevole veicolate tramite messaggi SMS mirati. Questi messaggi-civetta spesso riguardano temi di particolare interesse per la potenziale vittima, perché gli attaccanti hanno una maggiore mole di informazioni su di essa rispetto a quanto accade nelle normali azioni di email phishing.

Gli SMS malevoli sono spesso usati per veicolare malware che possono prendere il controllo di uno smartphone e carpire informazioni. L’obiettivo principale qui è acquisire gli SMS ricevuti dalle vittime come secondo fattore di autenticazione in servizi come quelli di home banking. La maggior parte dei malware analizzati da Agid sono di matrice estera e riutilizzati in Italia, ma alcuni - come SmsGrab, SmsRat o SmsControllo - sono di matrice italiana.

In questo scenario la PEC resta una zona relativamente più sicura. Le campagne malevole veicolate via Posta Elettronica Certificata ci sono ma il loro numero si mantiene basso. Spesso si tratta poi di campagne malware nate via email ordinaria ma che hanno anche raggiunto caselle PEC. Attenzione comunque a non abbassare la guardia: Agid segnala diversi tentativi di frode via PEC basati su azioni di ingegneria sociale. In questi casi il fatto che la PEC sia percepita come un canale "serio", su cui si trovano solo comunicazioni importanti e certificate, diventa più uno svantaggio che un vantaggio.