Da gennaio ad oggi, i ricercatori Proofpoint hanno identificato globalmente oltre 390 campagne di email malevole legate al Covid-19.

covid-19
covid-19

L’emergenza Coronavirus non è solo sanitaria, ma riguarda tutti i settori dell’economia, della società e il mondo della sicurezza. Nel corso degli ultimi mesi, i ricercatori Proofpoint hanno documentato oltre 390 campagne di email malevole che sfruttavano i temi del COVID-19 per sottrarre credenziali o informazioni sensibili. Cosa è successo in Italia?

Campagne malware destinate a utenti italiani

Ogni mese, dall’inizio dell’emergenza COVID-19, Proofpoint ha osservato in media 14 campagne di malware o phishing mirate all’Italia. Di queste, circa una ogni cinque sfruttava esplicitamente tematiche legate al virus. L’Italia ha avuto anche il primato per essere stata presa di mira da una campagna di phishing targettizzata e geolocalizzata, già a febbraio. L’attacco, destinato ai settori education e healthcare, utilizzava un allegato Microsoft Word per sottrarre credenziali aziendali agli utenti.

Altre campagne sono state rivolte agli utenti italiani allo scopo di distribuire forme specifiche di malware, come il RAT BackConnect, con un’esca che segnalava la sospensione dei pagamenti, o il ransomware F**kUnicorn, legato invece alla app Immuni. Quest’ultima campagna, in particolare, è stata molto mirata, colpendo quasi esclusivamente farmacie.

Infine, si è osservato il malware mirato a sottrarre credenziali di accesso a servizi cloud-based, quali Microsoft Office 365, attraverso un link che conduceva gli utenti a un sito di phishing.

Quali i principali malware che hanno colpito l’Italia?

I ricercatori Proofpoint hanno anche analizzato le differenti tipologie di malware riscontrate nelle campagne che hanno colpito l’Italia negli ultimi mesi. I banking Trojan sono stati la categoria principale, identificata nei primi mesi dell’anno, seguiti dai downloader.

In termini di volumi di messaggi, Ursnif si è rivelato il principale malware nel periodo preso in esame, AgentTesla il keylogger più frequente, mentre FTCode è stato il ransomware rilevato più spesso, in particolare durante il periodo di lockdown.