Malware EMOTET

Alias: Geodo ; Heodo


Emotet, 
attivo dal 2014, è fra i malware più utilizzati dai criminali per la     compromissione delle postazioni di lavoro delle Aziende italiane.

Dopo l’installazione nel sistema vittima ne   ruba le password salvate nei Browser (   accessi bancariposta elettronica  portali aziendali ).  Viene spesso utilizzato come “cavallo di troia” per l’installazione di altre tipologie di Malware ( Trickbot o IcedID ).


Fonti interne:

Fonti esterne:

Fortgale ed EMOTET

Analisi tecniche e dettagli

Per saperne di più sugli interventi Fortgale relativi a questa minaccia informatica.

Fortgale e TRICKBOT

Analisi tecniche e dettagli

Per saperne di più sugli interventi Fortgale relativi a questa minaccia informatica.

Malware TRICKBOT

Alias: Trickster, TheTrick, TrickLoader

Trickbot, attivo dal 2016, è un Trojan bancario modulare sviluppato da WIZARD SPIDER con il principale scopo di sottrarre le credenziali delle vittime. Nel corso degli anni sono state colpite le aziende e i privati su scala globale.

A seguito dell’infezione (solitamente tramite spearphishing) consente l’implementazione di funzionalità aggiuntive, come la raccolta dei dati, la ricognizione e il movimento laterale nella rete locale della vittima.

Spesso viene utilizzato come accesso iniziale che poi può essere venduto ad altri gruppi criminali.

Fonti interne:

Fonti esterne:

Malware URSNIF

Alias: Gozi, CRM, Gozi CRM, Papras, Snifula

Ursnif è uno dei malware più diffusi in Italia, ogni anno si registrano diverse campagne con target le aziende italiane.

I primi samples sono stati rilevati nel 2015 e in questi anni le sue funzionalità hanno subito delle variazioni, ma il metodo di propagazione e infezione è rimasto uguale. Solitamente sfrutta un allegato malevolo all’interno delle mail di phishing  per installarsi nei sistemi delle vittime.

Le sue funzionalità principali consistono nel rubare le informazioni relative a banche, wallets e delle cryptomonete; inoltre, può anche eseguire ulteriori operazioni come: prelevare altre informazioni relative all’utente, creare screenshot e web injections.

Fonti interne:

Fonti esterne:

Fortgale ed URSNIF

Analisi tecniche e dettagli

Per saperne di più sugli interventi Fortgale relativi a questa minaccia informatica.

Fortgale e AGENT TESLA

Analisi tecniche e dettagli

Per saperne di più sugli interventi Fortgale relativi a questa minaccia informatica.

Malware AGENT TESLA

Alias: AgenTesla, AgentTesla, Negasteal

Agent Tesla è uno spyware capace di rubare le informazioni relative alle credenziali dei browser, dei servizi FTP, di Windows, delle mail e delle VPN.

Nel corso del tempo sono state sviluppate anche altre funzionalità come: raccolta informazioni riguardo l’hardware dei sistemi della vittima, creazione di screenshot, download ed esecuzione di ulteriori eseguibili, log dei tasti premuti e della clipboard.

Fonti interne:

Fonti esterne:

Malware FORMBOOK

Alias: win.xloader

Formbook è un Data Stealer distribuito come Maas (Malware as a Services) attivo dal 2016, che ha l’obbiettivo di esfiltrare credenziali e informazioni personali delle vittime. Fornisce ai malintenzionati meno esperti la possibilità di  eseguire campagne d’attacco in pochi click affittandolo a prezzi relativamente bassi (qualche centinaio di euro).

Nel corso del tempo il malware ha subito numerosi aggiornamenti, spesso viene distribuito tramite campagne malspam e allegati malevoli. 


Fonti interne:

Fonti esterne:

Fortgale e FORMBOOK

Analisi tecniche e dettagli

Per saperne di più sugli interventi Fortgale relativi a questa minaccia informatica.

Fortgale e QAKBOT

Analisi tecniche e dettagli

Per saperne di più sugli interventi Fortgale relativi a questa minaccia informatica.

Malware QAKBOT

Alias: Pinkslipbot, Qbot, Quakbot

QakBot è un trojan bancario modulare attivo dal 2007.

Nel corso del tempo ha subito diverse modifiche passando dall’essere un “semplice” info stealer fino a diventare un dropper per alcuni ransomware come ProLock ed Egregor.

Tuttavia, il sistema di infezione è rimasto pressochè invariato, sfruttando campagne di malspam con allegati o link malevoli. 


Fonti interne:

Fonti esterne: