Questo CSIRT ha recentemente individuato una campagna di phishing finalizzata alla diffusione di malware RAT tramite falsi inviti Zoom che inducono la potenziale vittima a prelevare software, camuffato da client Zoom, il quale nasconde un agente ScreenConnect opportunamente predisposto per connettersi ad un server C2 sotto il controllo dell’attaccante.
Nell'ambito delle proprie attività, volte ad individuare fattori di rischio a cui è esposto lo spazio digitale nazionale, lo CSIRT Italia registra costantemente un alto numero di dispositivi e servizi eterogenei (ad esempio IoT, router industriali, telecamere IP e controllori e sistemi SCADA) esposti su Internet in maniera insicura. L’aumento della relativa superficie di esposizione è tipicamente riconducibile a configurazioni non adeguate, all’utilizzo di credenziali deboli o predefinite o all’assenza di meccanismi di autenticazione robusti (ad es. MFA). Tale scenario comporta l’aumento del rischio di compromissione dei sistemi target da parte di minacce informatiche sempre più evolute e persistenti non solo in contesti strutturati, quali ad esempio reti aziendali o industriali, ma anche in contesti domestici mettendo anche in questo caso a rischio la privacy degli utenti o fungendo da piattaforma per ulteriori attacchi verso terzi.
Descrizione e potenziali impatti Questo CSIRT ha effettuato un’analisi di un malware open source pubblicamente disponibile su GitHub, noto con la denominazione venom.
Descrizione e potenziali impatti Questo CSIRT ha recentemente individuato una campagna di malspam mirata a organizzazioni situate in tutta europa, volta a diffondere un malware di tipo RAT attraverso risorse web compromesse, sfruttando il pretesto della consultazione di un documento online.
È stata rilevata una vulnerabilità in dMSA (delegated Managed Service Account), nuova funzionalità introdotta in Windows Server 2025 all'interno di Active Directory che consente di delegare la creazione e la gestione di account di servizio a utenti non privilegiati. Microsoft ha riconosciuto il problema, ma lo ha classificato come "Moderate Severity" e non ha ancora rilasciato una patch.
Il CSIRT fornisce la seguente guida per prevenire e mitigare potenziali effetti indesiderati derivanti dallo sfruttamento di una vulnerabilità recentemente individuata nella funzionalità dMSA (delegated Managed Service Account), trattata nell’ambito delBL01/250527/CSIRT-ITA.
Impatto Sistemico Critico (77.94) Sintesi E’ stata rilevato lo sfruttamento di una vulnerabilità nei router Asus che consente l’apertura di una backdoor, persistente anche dopo il riavvio del dispositivo o gli aggiornamenti del firmware.
Descrizione e potenziali impatti Questo CSIRT ha recentemente rilevato una campagna di “ malvertising ” [1] che utilizza loghi e riferimenti del brand “Luma Dream Machine” – nota piattaforma AI per la generazione video – per distribuire varianti del malware NodeStealer e del RAT XWorm ai danni di utenti Windows.
È stato recentemente rilevato un riacutizzarsi di una campagna di phishing a tema “Autorità”, veicolata via e-mail, che sfrutta il nome e il logo della Polizia di Stato.
Descrizione e potenziali impatti È stata recentemente rilevata la distribuzione del malware INC – nota minaccia Ransomware-as-a-Service (RaaS) emersa intorno a luglio 2023 – ai danni di organizzazioni operanti sul territorio nazionale.
Il 10 aprile 2025, Fortinet ha pubblicato un post sul proprio blog segnalando l’uso di una nuova tecnica di post-sfruttamento utilizzata da attori malevoli per compromettere dispositivi FortiGate.
Questo CSIRT ha recentemente individuato una campagna che impiega una tecnica denominata “Phishing adattivo”, che sfrutta i parametri presenti all’interno delle URL di phishing per creare e presentare alla vittima una pagina web con layout minimale.
CSIRT Toscana