In Italia Formbook è ancora Il malware più presente a ottobre 2023, mentre a livello globale si registra una crescita di NJRat e la diffusione di AgentTesla attraverso una nuova campagna Mal-Spam
Check Point® Software Technologies Ltd. (NASDAQ: CHKP), tra i fornitori leader di soluzioni di cybersecurity a livello globale, ha pubblicato il Global Threat Index per il mese di ottobre 2023. Il mese scorso il Trojan per l’accesso remoto (RAT) NJRat, noto per colpire agenzie governative e organizzazioni in Medio Oriente, è passato dal sesto al secondo posto. Nel frattempo, i ricercatori hanno segnalato una nuova campagna di mal-spam che coinvolge il RAT avanzato AgentTesla, mentre il settore dell’istruzione è rimasto il più bersagliato.
A ottobre in Italia, come a livello globale, la minaccia più grande continua a essere rappresentata dal malware Formbook (Infostealer che colpisce il sistema operativo Windows), con un impatto del 3,45%. La seconda minaccia più importante nel nostro Paese è arrivata da Blindingcan (trojan ad accesso remoto di origine nord coreana) che in Italia ha avuto un impatto del 3,15%, notevolmente più alto rispetto a quanto rilevato a livello mondiale (0,21%). Il malware Nanocore (Trojan osservato per la prima volta nel 2013 ad accesso remoto, che attacca gli utenti del sistema operativo Windows)ènel mese di ottobre la terza minaccia nel nostro Paese con un impatto del 2,97%, più del doppio dell’impatto globale (1,71%). Il malware Remcos (Remote Access Trojan apparso per la prima volta nel 2016) scende invece al quarto posto con un impatto del 2,26%. Anche in questo caso si registra un valore più alto rispetto all’impatto globale (1,89%).
Nel mese di ottobre, AgentTesla è stato distribuito attraverso file di archivio che contenevano un’estensione malevola di Microsoft Compiled HTML Help (.CHM). I file sono stati consegnati via e-mail come allegati .GZ o .zip utilizzando nomi relativi a ordini e spedizioni recenti, come – po-######.gz / shipping documents.gz, progettati per attirare le vittime a scaricare il malware. Una volta installato, AgentTesla è in grado di eseguire il keylogging, catturare i dati degli appunti, accedere al file system e trasferire surrettiziamente i dati rubati a un server di comando e controllo (C&C).
“Non possiamo permetterci di ignorare le tattiche utilizzate dagli hacker per distribuire malware, come impersonare marchi noti o inviare file dannosi via e-mail”, ha dichiarato Maya Horowitz, VP Research di Check Point Software. “Nell’entrare in un’intensa stagione di shopping a novembre, è importante rimanere vigili e ricordare che i criminali informatici sfruttano attivamente il nostro maggiore interesse per gli acquisti e le spedizioni online”.
CPR ha inoltre rivelato che “Zyxel ZyWALL Command Injection (CVE-2023-28771)”, “Command Injection Over HTTP” e “Web Servers Malicious URL Directory Traversal” sono le vulnerabilità più sfruttate con un impatto globale del 42%.
Famiglie di malware più diffuse
*Le frecce si riferiscono alla variazione di posizione rispetto al mese precedente.
Formbook è stato il malware più diffuso il mese scorso con un impatto del 3% sulle organizzazioni mondiali, seguito da NJRat e da Remcos con un impatto globale del 2%.
1. ↔ Formbook è un Infostealer che colpisce il sistema operativo Windows ed è stato rilevato per la prima volta nel 2016. È commercializzato come Malware as a Service (MaaS) nei forum di hacking underground per le sue forti tecniche di evasione e il prezzo relativamente basso. Formbook raccoglie le credenziali da vari browser web e screenshot, monitora e registra le sequenze di tasti e può scaricare ed eseguire file in base agli ordini del suo C&C (Command & Control).
2. ↑ NJRat è un trojan per l’accesso remoto, che colpisce soprattutto le agenzie governative e le organizzazioni del Medio Oriente. Il trojan è emerso per la prima volta nel 2012 e ha molteplici capacità: catturare sequenze di tasti, accedere alla fotocamera della vittima, rubare le credenziali memorizzate nei browser, caricare e scaricare file, eseguire manipolazioni di processi e di file oltre a visualizzare il desktop della vittima. NJRat infetta i dispositivi tramite attacchi di phishing e download drive-by e si propaga attraverso chiavette USB infette o unità collegate in rete, con il supporto del software server Command & Control.
3. ↓ Remcos è un RAT apparso per la prima volta nel 2016. Remcos si distribuisce attraverso documenti Microsoft Office dannosi, allegati a e-mail SPAM, ed è progettato per aggirare la protezione UAC di Microsoft Windows ed eseguire il malware con privilegi di alto livello.
I settori più attaccati a livello globale
Il mese scorso il settore Istruzione/Ricerca è rimasto al primo posto come quello più attaccato a livello globale, seguito da Comunicazioni e Governo/Militare.
1. Istruzione/Ricerca
2. Comunicazioni
3. Governo/Militare
Le vulnerabilità maggiormente utilizzate
Nel mese di ottobre, “Zyxel ZyWALL Command Injection (CVE-2023-28771)“, “Command Injection Over HTTP” e “Web Servers Malicious URL Directory Traversal” sono state le vulnerabilità più sfruttate, con un impatto sul 42% delle organizzazioni a livello globale.
1. ↑ Zyxel ZyWALL Command Injection (CVE-2023-28771) – Esiste una vulnerabilità di command injection in Zyxel ZyWALL. Lo sfruttamento riuscito di questa vulnerabilità consentirebbe agli attaccanti remoti di eseguire comandi arbitrari del sistema operativo nel sistema interessato.
2. ↔ Command Injection su HTTP (CVE-2021-43936, CVE-2022-24086) – È stata segnalata una vulnerabilità di Command Injection su HTTP. Un aggressore remoto può sfruttare questo problema inviando una richiesta appositamente creata alla vittima. Uno sfruttamento riuscito consentirebbe a un criminale informatico di eseguire codice arbitrario sul computer di destinazione.
3. ↓ Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Esiste una vulnerabilità di directory traversal su diversi web server. La vulnerabilità è dovuta a un errore di convalida dell’input in un server web che non sanifica correttamente l’URL per i modelli di attraversamento delle directory. Uno sfruttamento riuscito consente agli attaccanti remoti non autenticati di divulgare o accedere a file arbitrari sul server vulnerabile.
Principali malware per dispositivi mobili
Anche nel mese di ottobre Anubis è rimasto al primo posto come malware mobile più diffuso, seguito da AhMyth. La novità è il malware Hiddad, che scalza SpinOk e arriva ad essere la terza minaccia per dispositivi mobili.
1. Anubis è un malware Trojan bancario progettato per i telefoni cellulari Android. Da quando è stato rilevato inizialmente, ha acquisito ulteriori funzioni, tra cui la funzionalità di Trojan ad accesso remoto (RAT), keylogger, capacità di registrazione audio e varie funzionalità ransomware. È stato rilevato in centinaia di applicazioni diverse disponibili su Google Store.
2. AhMyth è un Trojan ad accesso remoto (RAT) scoperto nel 2017. Viene distribuito attraverso applicazioni Android che possono essere trovate sugli app store e su vari siti web. Quando un utente installa una di queste app infette, il malware può raccogliere informazioni sensibili dal dispositivo ed eseguire azioni come il keylogging, lo scatto di screenshot, l’invio di SMS e l’attivazione della fotocamera, che di solito viene utilizzata per rubare informazioni sensibili.
3. Hiddad è un malware per Android che riconfeziona applicazioni legittime e le rilascia su uno store di terze parti. La sua funzione principale è quella di visualizzare annunci pubblicitari, ma può anche ottenere l’accesso a dettagli chiave di sicurezza integrati nel sistema operativo.
Il Global Threat Impact Index di Check Point e la sua ThreatCloud Map sono basati sui dati di intelligence ThreatCloud di Check Point. ThreatCloud fornisce intelligence in tempo reale prodotta da centinaia di milioni di sensori presenti all’interno di reti, endpoint e dispositivi mobili di tutto il mondo. Questa intelligence viene arricchita da engine basati su AI e da ricerche esclusive realizzate da Check Point Research, la divisione di Check Point Software Technologies specializzata nell’intelligence e nella ricerca.
L’elenco completo delle prime dieci famiglie di malware di ottobre è disponibile sul blog di Check Point.