Sintesi riepilogativa delle campagne malevole nella settimana del 14 – 20 giugno 2025
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 70 campagne malevole, di cui 40 con obiettivi italiani e 30 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 680 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ Identificate quattro nuove campagne di smishing #INPS finalizzate alla sottrazione di dati e documenti personali.
➡️ Proseguono numerose le campagne di phishing #PagoPA per sottrarre dati di carte di pagamento.
➡️ Individuata una campagna di phishing che abusa del nome della Polizia di Stato per spingere le vittime a pagare una falsa sanzione.
💣 #IoC 680
🦠 #Malware 13 (famiglie)
🐟 #Phishing 19 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-14-20-giugno
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 70 campagne malevole, di cui 40 con obiettivi italiani e 30 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 680 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ Identificate quattro nuove campagne di smishing #INPS finalizzate alla sottrazione di dati e documenti personali.
➡️ Proseguono numerose le campagne di phishing #PagoPA per sottrarre dati di carte di pagamento.
➡️ Individuata una campagna di phishing che abusa del nome della Polizia di Stato per spingere le vittime a pagare una falsa sanzione.
💣 #IoC 680
🦠 #Malware 13 (famiglie)
🐟 #Phishing 19 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-14-20-giugno
🇮🇹 Le truffe di phishing relative a #PagoPA non accennano a fermarsi
🔎 Il CERT-AGID che sta monitorando attentamente il fenomeno, sta registrando e analizzando quotidianamente decine di campagne di phishing rivolte agli utenti italiani.
✉️ L'oggetto delle email è sempre di una tipologia simile, incentrato su tematiche relative alle #multe:
"Avviso di Ritardo nel Pagamento"
"Pagamento in sospeso"
"Multa non pagata"
"Regolarizza la tua situazione entro il termine previsto"
🎯 Lo scopo è quello di rubare i dati delle carte di credito delle vittime.
⚙️ I criminali stanno impiegando numerosi URL di reindirizzamento per mascherare l'indirizzo della pagina di phishing reale.
ℹ️ Per ulteriori dettagli consultare l'avviso del 12/06/2025: 👇
🔗 https://cert-agid.gov.it/news/aumentano-le-campagne-di-phishing-a-tema-pagopa-il-cert-agid-ne-individua-ben-45-da-marzo-a-oggi/
🔎 Il CERT-AGID che sta monitorando attentamente il fenomeno, sta registrando e analizzando quotidianamente decine di campagne di phishing rivolte agli utenti italiani.
✉️ L'oggetto delle email è sempre di una tipologia simile, incentrato su tematiche relative alle #multe:
"Avviso di Ritardo nel Pagamento"
"Pagamento in sospeso"
"Multa non pagata"
"Regolarizza la tua situazione entro il termine previsto"
🎯 Lo scopo è quello di rubare i dati delle carte di credito delle vittime.
⚙️ I criminali stanno impiegando numerosi URL di reindirizzamento per mascherare l'indirizzo della pagina di phishing reale.
ℹ️ Per ulteriori dettagli consultare l'avviso del 12/06/2025: 👇
🔗 https://cert-agid.gov.it/news/aumentano-le-campagne-di-phishing-a-tema-pagopa-il-cert-agid-ne-individua-ben-45-da-marzo-a-oggi/
🇮🇹 XWorm e Katz Stealer distribuiti tramite spazio di storage e-mail
⚠️ Il CERT-AGID ha identificato una campagna #malspam che sfrutta lo spazio di storage di una casella e-mail di un noto provider italiano per veicolare i malware XWorm e Katz Stealer.
⚔️ TTP: TAR > JS (offuscato) > PS (offuscato) > Immagine steganografata > Katz Stealer & XWorm
🎯 Obiettivo: furto di credenziali di accesso
🛡 Azioni di contrasto:
➡️ Il provider di posta elettronica è stato allertato e le risorse malevole sono state dismesse.
➡️ Gli #IoC relativi alla campagna sono stati diramati tramite il Feed del CERT-AGID.
ℹ️ Approfondimenti e #IoC 👇
🔗 https://cert-agid.gov.it/news/xworm-e-katz-stealer-distribuiti-tramite-spazio-di-storage-di-posta-elettronica/
⚠️ Il CERT-AGID ha identificato una campagna #malspam che sfrutta lo spazio di storage di una casella e-mail di un noto provider italiano per veicolare i malware XWorm e Katz Stealer.
⚔️ TTP: TAR > JS (offuscato) > PS (offuscato) > Immagine steganografata > Katz Stealer & XWorm
🎯 Obiettivo: furto di credenziali di accesso
🛡 Azioni di contrasto:
➡️ Il provider di posta elettronica è stato allertato e le risorse malevole sono state dismesse.
➡️ Gli #IoC relativi alla campagna sono stati diramati tramite il Feed del CERT-AGID.
ℹ️ Approfondimenti e #IoC 👇
🔗 https://cert-agid.gov.it/news/xworm-e-katz-stealer-distribuiti-tramite-spazio-di-storage-di-posta-elettronica/
🇮🇹 In corso una nuova campagna di phishing a tema #SPID
ℹ️ Il CERT-AGID ha rilevato una campagna di phishing rivolta agli utenti di SPID, che sfrutta nome e logo di AgID.
⚠️ L’obiettivo della campagna è sottrarre le credenziali SPID delle vittime, insieme a copie di documenti di identità e a video registrati secondo istruzioni specifiche per la procedura di riconoscimento.
🔎 Il dominio malevolo utilizzato
🚧 Azioni di contrasto
➡️ Richiesta la dismissione del dominio.
➡️ Gli #IoC sono stati già diramati alle organizzazioni pubbliche accreditate al Feed del CERT-AGID.
🛡 Precauzioni
▪️ Non fornire dati personali tramite link ricevuti: per aggiornare i dati relativi alle utenze SPID, accedere direttamente alla piattaforma del proprio gestore SPID.
▪️ Indicazioni su come comportarsi in caso di furto dei dati 👈
💣 Ulteriori informazioni e #IoC 👇
🔗 https://cert-agid.gov.it/news/in-corso-una-nuova-campagna-di-phishing-a-tema-spid/
ℹ️ Il CERT-AGID ha rilevato una campagna di phishing rivolta agli utenti di SPID, che sfrutta nome e logo di AgID.
⚠️ L’obiettivo della campagna è sottrarre le credenziali SPID delle vittime, insieme a copie di documenti di identità e a video registrati secondo istruzioni specifiche per la procedura di riconoscimento.
🔎 Il dominio malevolo utilizzato
it-spid[.]com è di recente registrazione e non afferente ad AgID o SPID.🚧 Azioni di contrasto
➡️ Richiesta la dismissione del dominio.
➡️ Gli #IoC sono stati già diramati alle organizzazioni pubbliche accreditate al Feed del CERT-AGID.
🛡 Precauzioni
▪️ Non fornire dati personali tramite link ricevuti: per aggiornare i dati relativi alle utenze SPID, accedere direttamente alla piattaforma del proprio gestore SPID.
▪️ Indicazioni su come comportarsi in caso di furto dei dati 👈
💣 Ulteriori informazioni e #IoC 👇
🔗 https://cert-agid.gov.it/news/in-corso-una-nuova-campagna-di-phishing-a-tema-spid/
Sintesi riepilogativa delle campagne malevole nella settimana del 21 – 27 giugno 2025
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 59 campagne malevole, di cui 31 con obiettivi italiani e 28 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 1899 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ Individuata una nuova campagna di phishing mirata agli utenti #SPID che sfrutta il nome e il logo di AgID.
➡️ Rilevata una nuova campagna italiana MintsLoader veicolata tramite caselle PEC compromesse.
➡️ Analizzata una campagna malware che veicola XWorm e Katz Stealer tramite lo spazio di storage di un provider di posta elettronica italiano.
💣 #IoC 1899
🦠 #Malware 12 (famiglie)
🐟 #Phishing 15 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-21-27-giugno/
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 59 campagne malevole, di cui 31 con obiettivi italiani e 28 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 1899 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ Individuata una nuova campagna di phishing mirata agli utenti #SPID che sfrutta il nome e il logo di AgID.
➡️ Rilevata una nuova campagna italiana MintsLoader veicolata tramite caselle PEC compromesse.
➡️ Analizzata una campagna malware che veicola XWorm e Katz Stealer tramite lo spazio di storage di un provider di posta elettronica italiano.
💣 #IoC 1899
🦠 #Malware 12 (famiglie)
🐟 #Phishing 15 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-21-27-giugno/
Sintesi riepilogativa delle campagne malevole nella settimana del 28 giugno – 4 luglio 2025
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 79 campagne malevole, di cui 32 con obiettivi italiani e 47 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 2723 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ Individuata una nuova campagna italiana che veicola MintsLoader tramite messaggi inviati da caselle PEC compromesse.
➡️ Rilevata una nuova campagna di smishing ai danni di #INPS, finalizzata alla sottrazione di dati e documenti personali.
➡️ Continua la diffusione delle email di phishing che utilizzano il nome e il logo di #PagoPA.
💣 #IoC 2723
🦠 #Malware 15 (famiglie)
🐟 #Phishing 19 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-28-giugno-4-luglio
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 79 campagne malevole, di cui 32 con obiettivi italiani e 47 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 2723 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ Individuata una nuova campagna italiana che veicola MintsLoader tramite messaggi inviati da caselle PEC compromesse.
➡️ Rilevata una nuova campagna di smishing ai danni di #INPS, finalizzata alla sottrazione di dati e documenti personali.
➡️ Continua la diffusione delle email di phishing che utilizzano il nome e il logo di #PagoPA.
💣 #IoC 2723
🦠 #Malware 15 (famiglie)
🐟 #Phishing 19 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-28-giugno-4-luglio
Vulnerabilità critica in Citrix riscontrata su host italiani
⚠️ In data odierna il CERT-AGID ha avuto evidenza di scansioni pubbliche mirate a individuare host vulnerabili.
💻 Totale host scansionati: 18K
🇮🇹 Domini Italiani potenzialmente esposti: 70+
🏢 Enti impattati: Pubbliche Amministrazioni, istituti bancari, agenzie assicurative e organizzazioni private.
🚧 Azioni di contrasto
Le Pubbliche Amministrazioni coinvolte sono state puntualmente informate dal CERT-AGID affinché possano intraprendere con urgenza le azioni di mitigazione necessarie.
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/vulnerabilita-critica-in-citrix-riscontrata-su-host-italiani/
⚠️ In data odierna il CERT-AGID ha avuto evidenza di scansioni pubbliche mirate a individuare host vulnerabili.
💻 Totale host scansionati: 18K
🇮🇹 Domini Italiani potenzialmente esposti: 70+
🏢 Enti impattati: Pubbliche Amministrazioni, istituti bancari, agenzie assicurative e organizzazioni private.
🚧 Azioni di contrasto
Le Pubbliche Amministrazioni coinvolte sono state puntualmente informate dal CERT-AGID affinché possano intraprendere con urgenza le azioni di mitigazione necessarie.
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/vulnerabilita-critica-in-citrix-riscontrata-su-host-italiani/
🇮🇹 Nuova campagna di phishing a tema #SPID
ℹ️ Il CERT-AGID ha rilevato una campagna di phishing rivolta agli utenti di SPID, che sfrutta nome e logo di AgID.
⚠️ L’obiettivo della campagna è sottrarre le credenziali SPID delle vittime, insieme a copie di documenti di identità e a video registrati secondo istruzioni specifiche per la procedura di riconoscimento.
🔎 Il dominio malevolo utilizzato
🚧 Azioni di contrasto
➡️ Richiesta la dismissione del dominio.
➡️ Gli #IoC sono stati già diramati alle organizzazioni pubbliche accreditate al Feed del CERT-AGID.
🛡 Precauzioni
▪️ Non fornire dati personali tramite link ricevuti: per aggiornare i dati relativi alle utenze SPID, accedere direttamente alla piattaforma del proprio gestore SPID.
▪️ Indicazioni su come comportarsi in caso di furto dei dati 👈
💣 Ulteriori informazioni e #IoC 👇
🔗 https://cert-agid.gov.it/news/in-corso-una-nuova-campagna-di-phishing-a-tema-spid/
ℹ️ Il CERT-AGID ha rilevato una campagna di phishing rivolta agli utenti di SPID, che sfrutta nome e logo di AgID.
⚠️ L’obiettivo della campagna è sottrarre le credenziali SPID delle vittime, insieme a copie di documenti di identità e a video registrati secondo istruzioni specifiche per la procedura di riconoscimento.
🔎 Il dominio malevolo utilizzato
idspid[.]com è di recente registrazione e non afferente ad AgID o SPID.🚧 Azioni di contrasto
➡️ Richiesta la dismissione del dominio.
➡️ Gli #IoC sono stati già diramati alle organizzazioni pubbliche accreditate al Feed del CERT-AGID.
🛡 Precauzioni
▪️ Non fornire dati personali tramite link ricevuti: per aggiornare i dati relativi alle utenze SPID, accedere direttamente alla piattaforma del proprio gestore SPID.
▪️ Indicazioni su come comportarsi in caso di furto dei dati 👈
💣 Ulteriori informazioni e #IoC 👇
🔗 https://cert-agid.gov.it/news/in-corso-una-nuova-campagna-di-phishing-a-tema-spid/
🇮🇹 #SPID sfruttato per nuova campagna di phishing
⚠️ A brevissima distanza dalla precedente, è stata rilevata una nuova campagna di phishing mirata agli utenti di SPID.
🎭 Le email sono apparentemente inviate dall'indirizzo
🚧 Azioni di contrasto
➡️ Richiesta la dismissione del dominio per impedire ulteriori compromissioni.
➡️ Gli #IoC sono stati già diramati alle organizzazioni pubbliche accreditate al Flusso IoC del CERT-AGID.
🛡 Precauzioni
▪️ Non fornire dati personali tramite link ricevuti: per aggiornare i dati relativi alle utenze SPID, accedere direttamente alla piattaforma del proprio gestore SPID.
▪️ Indicazioni su come comportarsi in caso di furto dei dati 👈
▪️ Per chi gestisce mail server, autenticare i messaggi in arrivo.
💣 Ulteriori informazioni e #IoC 👇
🔗 https://cert-agid.gov.it/news/il-tema-spid-sfruttato-per-una-nuova-campagna-di-phishing/
⚠️ A brevissima distanza dalla precedente, è stata rilevata una nuova campagna di phishing mirata agli utenti di SPID.
🎭 Le email sono apparentemente inviate dall'indirizzo
[email protected], ma provengono da terzi e possono essere recapitate solo in assenza di controlli da parte del server ricevente.🚧 Azioni di contrasto
➡️ Richiesta la dismissione del dominio per impedire ulteriori compromissioni.
➡️ Gli #IoC sono stati già diramati alle organizzazioni pubbliche accreditate al Flusso IoC del CERT-AGID.
🛡 Precauzioni
▪️ Non fornire dati personali tramite link ricevuti: per aggiornare i dati relativi alle utenze SPID, accedere direttamente alla piattaforma del proprio gestore SPID.
▪️ Indicazioni su come comportarsi in caso di furto dei dati 👈
▪️ Per chi gestisce mail server, autenticare i messaggi in arrivo.
💣 Ulteriori informazioni e #IoC 👇
🔗 https://cert-agid.gov.it/news/il-tema-spid-sfruttato-per-una-nuova-campagna-di-phishing/
Sintesi riepilogativa delle campagne malevole nella settimana del 5 – 11 luglio 2025
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 83 campagne malevole, di cui 48 con obiettivi italiani e 35 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 1091 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ Individuate nuove campagne di phishing mirate a utenti #SPID che sfruttano il logo di AgID.
➡️ È stato rilasciato un PoC per la vulnerabilità CitrixBleed 2. Oltre 70 i domini italiani potenzialmente vulnerabili.
➡️ Rilevate campagne di phishing che rimandano a false pagine di login del Fascicolo Sanitario Elettronico e del Ministero dell’Interno.
💣 #IoC 1091
🦠 #Malware 15 (famiglie)
🐟 #Phishing 16 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-5-11-luglio/
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 83 campagne malevole, di cui 48 con obiettivi italiani e 35 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 1091 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ Individuate nuove campagne di phishing mirate a utenti #SPID che sfruttano il logo di AgID.
➡️ È stato rilasciato un PoC per la vulnerabilità CitrixBleed 2. Oltre 70 i domini italiani potenzialmente vulnerabili.
➡️ Rilevate campagne di phishing che rimandano a false pagine di login del Fascicolo Sanitario Elettronico e del Ministero dell’Interno.
💣 #IoC 1091
🦠 #Malware 15 (famiglie)
🐟 #Phishing 16 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-5-11-luglio/
🇮🇹 Nuova campagna di Phishing #AgenziaEntrate
⚠️ Individuata una nuova campagna di phishing che utilizza nome e logo dell'Agenzia delle Entrate. La pagina malevola chiede all'utente di inserire le proprie credenziali di accesso per accedere a una presunta area di notifica.
🚧 Azioni di contrasto:
➡️ Informato il MEF della campagna in atto
➡️ Gli #IoC sono stati già diramati alle organizzazioni pubbliche accreditate al Flusso IoC del CERT-AGID
🛡 Precauzioni:
▪️ Verifica sempre l’URL e la legittimità del sito.
▪️ Diffida di richieste sospette di dati personali tramite link.
▪️ Segnala eventuali messaggi dubbi al CERT-AGID ([email protected]).
ℹ️ Download #IoC 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2025/07/phishing_AdE.json
⚠️ Individuata una nuova campagna di phishing che utilizza nome e logo dell'Agenzia delle Entrate. La pagina malevola chiede all'utente di inserire le proprie credenziali di accesso per accedere a una presunta area di notifica.
🚧 Azioni di contrasto:
➡️ Informato il MEF della campagna in atto
➡️ Gli #IoC sono stati già diramati alle organizzazioni pubbliche accreditate al Flusso IoC del CERT-AGID
🛡 Precauzioni:
▪️ Verifica sempre l’URL e la legittimità del sito.
▪️ Diffida di richieste sospette di dati personali tramite link.
▪️ Segnala eventuali messaggi dubbi al CERT-AGID ([email protected]).
ℹ️ Download #IoC 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2025/07/phishing_AdE.json
🇮🇹 Mail di phishing a tema PagoPA: compaiono i QR code
⚠️ Il CERT-AGID sta osservando dallo scorso aprile un'evoluzione costante delle campagne di phishing che sfruttano il nome di #PagoPA. Queste truffe, che si camuffano da richieste di pagamento per presunte multe, si modificano costantemente per apparire sempre più realistiche.
📲 Le ultime e-mail fraudolente includono un QR code al posto del consueto link malevolo per indurre l’utente a visitare la pagina malevola. Diversi i vantaggi per i criminali:
▪️ Maggior facilità nel superare i controlli di sicurezza di molti provider di posta.
▪️ I link malevoli non sono immediatamente riconoscibili nemmeno dagli utenti più attenti.
▪️ Il messaggio si presenta più attuale e convincente.
🎯 Il fine, come al solito, è di rubare i dati delle carte di credito delle vittime.
ℹ️ Per maggiori informazioni sulla truffa invitiamo a consultare le nostre news al riguardo: 👇
🔗 https://cert-agid.gov.it/tag/pagopa/
⚠️ Il CERT-AGID sta osservando dallo scorso aprile un'evoluzione costante delle campagne di phishing che sfruttano il nome di #PagoPA. Queste truffe, che si camuffano da richieste di pagamento per presunte multe, si modificano costantemente per apparire sempre più realistiche.
📲 Le ultime e-mail fraudolente includono un QR code al posto del consueto link malevolo per indurre l’utente a visitare la pagina malevola. Diversi i vantaggi per i criminali:
▪️ Maggior facilità nel superare i controlli di sicurezza di molti provider di posta.
▪️ I link malevoli non sono immediatamente riconoscibili nemmeno dagli utenti più attenti.
▪️ Il messaggio si presenta più attuale e convincente.
🎯 Il fine, come al solito, è di rubare i dati delle carte di credito delle vittime.
ℹ️ Per maggiori informazioni sulla truffa invitiamo a consultare le nostre news al riguardo: 👇
🔗 https://cert-agid.gov.it/tag/pagopa/
🇮🇹 Formbook diffuso via macro Office: nel mirino aziende coinvolte in gare e progetti
⚠️ Una campagna tecnicamente semplice ma, credibile e ben orchestrata, che fa leva su dinamiche tipiche del contesto aziendale, come gare d’appalto, progetti riservati o inviti a partecipare a iniziative commerciali.
🔬 L’analisi del codice evidenzia una catena che conduce passo dopo passo all’installazione del malware #Formbook, attraverso il download e l’esecuzione di componenti malevoli provenienti da:
➡️ Domini registrati di recente, con nomi simili a quelli della società impersonata;
➡️ Domini italiani compromessi, verosimilmente legati ad aziende dello stesso settore.
🦠 Sebbene non siano più sfruttate come in passato, le #macro rimangono ancora una minaccia concreta.
ℹ️ Approfondimenti e #IoC 👇
🔗 https://cert-agid.gov.it/news/formbook-diffuso-via-macro-office-nel-mirino-aziende-coinvolte-in-gare-e-progetti/
⚠️ Una campagna tecnicamente semplice ma, credibile e ben orchestrata, che fa leva su dinamiche tipiche del contesto aziendale, come gare d’appalto, progetti riservati o inviti a partecipare a iniziative commerciali.
🔬 L’analisi del codice evidenzia una catena che conduce passo dopo passo all’installazione del malware #Formbook, attraverso il download e l’esecuzione di componenti malevoli provenienti da:
➡️ Domini registrati di recente, con nomi simili a quelli della società impersonata;
➡️ Domini italiani compromessi, verosimilmente legati ad aziende dello stesso settore.
🦠 Sebbene non siano più sfruttate come in passato, le #macro rimangono ancora una minaccia concreta.
ℹ️ Approfondimenti e #IoC 👇
🔗 https://cert-agid.gov.it/news/formbook-diffuso-via-macro-office-nel-mirino-aziende-coinvolte-in-gare-e-progetti/
Sintesi riepilogativa delle campagne malevole nella settimana del 12 – 18 luglio 2025
In questa settimana, il CERT-AGID ha riscontrato ed analizzato nello scenario italiano di suo riferimento un totale di 73 campagne malevole, di cui 46 con obiettivi italiani e 27 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 875 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ Individuata una nuova campagna italiana MintsLoader diffusa con PEC inviate da caselle compromesse.
➡️ Rilevate nuove campagne di phishing a tema #PagoPA, di cui una senza link diretti ma con QR code.
➡️ Analizzata una campagna malware Formbook che sfrutta documenti Office con macro.
➡️ Nuova campagna di phishing ai danni dell'Agenzia delle Entrate.
💣 #IoC 875
🦠 #Malware 18 (famiglie)
🐟 #Phishing 14 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-12-18-luglio
In questa settimana, il CERT-AGID ha riscontrato ed analizzato nello scenario italiano di suo riferimento un totale di 73 campagne malevole, di cui 46 con obiettivi italiani e 27 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 875 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ Individuata una nuova campagna italiana MintsLoader diffusa con PEC inviate da caselle compromesse.
➡️ Rilevate nuove campagne di phishing a tema #PagoPA, di cui una senza link diretti ma con QR code.
➡️ Analizzata una campagna malware Formbook che sfrutta documenti Office con macro.
➡️ Nuova campagna di phishing ai danni dell'Agenzia delle Entrate.
💣 #IoC 875
🦠 #Malware 18 (famiglie)
🐟 #Phishing 14 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-12-18-luglio
Sintesi riepilogativa delle campagne malevole nella settimana del 19 – 25 luglio 2025
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 60 campagne malevole, di cui 40 con obiettivi italiani e 20 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 532 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ Rilevate diverse campagne di phishing che sfruttano il nome del Fascicolo Sanitario Elettronico.
➡️ Osservato un numero significativo di campagne di phishing aventi come obiettivi clienti ING Bank e utenti PagoPA.
💣 #IoC 532
🦠 #Malware 11 (famiglie)
🐟 #Phishing 16 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-19-25-luglio/
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 60 campagne malevole, di cui 40 con obiettivi italiani e 20 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 532 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ Rilevate diverse campagne di phishing che sfruttano il nome del Fascicolo Sanitario Elettronico.
➡️ Osservato un numero significativo di campagne di phishing aventi come obiettivi clienti ING Bank e utenti PagoPA.
💣 #IoC 532
🦠 #Malware 11 (famiglie)
🐟 #Phishing 16 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-19-25-luglio/
Sintesi riepilogativa delle campagne malevole nella settimana del 26 luglio – 1 agosto 2025
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 77 campagne malevole, di cui 45 con obiettivi italiani e 32 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 828 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ Individuata una nuova campagna di phishing #INPS con l’obiettivo di sottrarre dati personali per furti di identità.
➡️ Rilevata una nuova campagna veicolata tramite caselle PEC compromesse e finalizzata alla diffusione del malware MintLoader.
➡️ Sfruttate le vulnerabilità ToolShell di Sharepoint per veicolare il ransomware 4L4MD4R.
💣 #IoC 828
🦠 #Malware 17 (famiglie)
🐟 #Phishing 18 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-26-luglio-1-agosto/
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 77 campagne malevole, di cui 45 con obiettivi italiani e 32 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 828 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ Individuata una nuova campagna di phishing #INPS con l’obiettivo di sottrarre dati personali per furti di identità.
➡️ Rilevata una nuova campagna veicolata tramite caselle PEC compromesse e finalizzata alla diffusione del malware MintLoader.
➡️ Sfruttate le vulnerabilità ToolShell di Sharepoint per veicolare il ransomware 4L4MD4R.
💣 #IoC 828
🦠 #Malware 17 (famiglie)
🐟 #Phishing 18 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-26-luglio-1-agosto/
🇮🇹 Phishing mirato a #UniPi: campagna attualmente in corso
⚠️ Dettagli della campagna
Il CERT-AGID ha avuto evidenza di una campagna di phishing mirato diretta al personale delll’Università di Pisa: pagine fraudolente imitano il portale di accesso all'area privata dell'ateneo.
🎯 Obiettivo
I criminali mirano a impossessarsi delle credenziali istituzionali (email e password in chiaro) di studenti e dipendenti.
🚧 Azioni di contrasto
L’Università di Pisa è stata prontamente informata della minaccia e gli Indicatori di Compromissione (#IoC) sono stati diramati dal CERT-AGID a tutti gli enti accreditati al feed.
🛡 Precauzioni
▪️Verificare sempre il dominio del sito prima di inserire le credenziali.
▪️Diffidare di email che invitano a cambiare password tramite link.
▪️È sempre possibile segnalare eventuali messaggi sospetti al CERT-AGID ([email protected]).
ℹ️ Download #IoC 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2025/08/phishing_UniPi.json
⚠️ Dettagli della campagna
Il CERT-AGID ha avuto evidenza di una campagna di phishing mirato diretta al personale delll’Università di Pisa: pagine fraudolente imitano il portale di accesso all'area privata dell'ateneo.
🎯 Obiettivo
I criminali mirano a impossessarsi delle credenziali istituzionali (email e password in chiaro) di studenti e dipendenti.
🚧 Azioni di contrasto
L’Università di Pisa è stata prontamente informata della minaccia e gli Indicatori di Compromissione (#IoC) sono stati diramati dal CERT-AGID a tutti gli enti accreditati al feed.
🛡 Precauzioni
▪️Verificare sempre il dominio del sito prima di inserire le credenziali.
▪️Diffidare di email che invitano a cambiare password tramite link.
▪️È sempre possibile segnalare eventuali messaggi sospetti al CERT-AGID ([email protected]).
ℹ️ Download #IoC 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2025/08/phishing_UniPi.json