Allarme Emotet nel Global Threat Index di novembre

Stando alle rilevazioni a cura di Check Point Research (CPR), la divisione Threat Intelligence di Check Point Software Technologies, nella classifica dei malware più diffusi Emotet è inaspettatamente tornato nella Top 10.

Nonostante i grandi sforzi di Europol insieme alle forze dell’ordine per annientare Emotet a inizio anno, la nota botnet è tornata, quindi, in azione già da novembre ed è già il settimo malware più utilizzato a livello mondiale. Trickbot è in cima alla classifica per la sesta volta questo mese, ed è anche coinvolto con la nuova variante di Emotet, che viene installata su sistemi già infetti utilizzando l’infrastruttura di Trickbot.

Emotet si diffonde tramite e-mail di phishing che contengono file Word, Excel e Zip infetti che distribuiscono Emotet sull’host della vittima. Il contenuto delle e-mail varia dalle notizie di attualità a fatture e falsi promemoria aziendali per attirare le vittime ad aprirli. Più recentemente, Emotet ha anche iniziato a diffondersi attraverso pacchetti Windows App Installer maligni che fingono di essere software Adobe.

Emotet conferma il ruolo prioritario della formazione

Come sottolineato in una nota ufficiale da Maya Horowitz, VP Research di Check Point Software: «Emotet è una delle botnet di maggior successo nella storia del crimine informatico ed è responsabile dell’esplosione di attacchi ransomware mirati a cui abbiamo assistito negli ultimi anni. Il ritorno della botnet a novembre è estremamente preoccupante perché potrebbe portare a un notevole aumento di questi attacchi. Il fatto che stia usando l’infrastruttura di Trickbot significa che sta accorciando il tempo necessario a Emotet per costruire un punto d’appoggio abbastanza significativo nelle reti di tutto il mondo. Poiché si sta diffondendo tramite e-mail di phishing con allegati dannosi, è fondamentale che la consapevolezza e la formazione degli utenti sia in cima alle liste di priorità delle organizzazioni quando si tratta di cybersecurity. E chiunque cerchi di scaricare il software Adobe dovrebbe ricordarsi, come per qualsiasi applicazione, di passare solo attraverso i canali ufficiali».

CPR ha anche rivelato che questo mese l’istruzione/ricerca è il settore più attaccato a livello globale, seguito da quello delle comunicazioni e dal governo/militare. “Web Servers Malicious URL Directory Traversal” è ancora la vulnerabilità più sfruttata, con un impatto sul 44% delle organizzazioni a livello globale, seguita da “Web Server Exposed Git Repository Information Disclosure” che colpisce il 43,7% delle organizzazioni in tutto il mondo. “HTTP Headers Remote Code Execution” rimane al terzo posto nella lista delle vulnerabilità più sfruttate, con un impatto globale del 42%.

Non c’è solo Emotet di cui preoccuparsi. I tre malware più diffusi di novembre sono stati:

*Le frecce si riferiscono al cambio di classifica rispetto al mese precedente

Questo mese, Trickbot è il malware più popolare con un impatto del 5% delle organizzazioni a livello globale, seguito da Agent Tesla e Formbook, entrambi con il 4%.

1. ↔ Trickbot – botnet modulare e banking trojan dominante che viene costantemente aggiornato con nuove capacità, caratteristiche e vettori di distribuzione. Questo gli permette di essere un malware flessibile e personalizzabile che può essere distribuito come parte di campagne multiuso.
2. ↑ Agent Tesla – Agent Tesla è un RAT avanzato che funziona come un keylogger che ruba informazioni ed è in grado di monitorare e raccogliere l’input della tastiera della vittima e la tastiera del sistema, prendendo screenshot, ed esfiltrando le credenziali a una varietà di software installati sulla macchina della vittima (tra cui Google Chrome, Mozilla Firefox e Microsoft Outlook).
3. ↑ Formbook – Formbook è un infostealer che raccoglie credenziali da vari browser web, raccoglie screenshot, monitora e registra le sequenze di tasti e può scaricare ed eseguire file secondo i suoi ordini C&C.

I settori più attaccati a livello globale per il mese di novembre:

1. Istruzione/Ricerca
2. Comunicazioni
3. Governo/Militare

Le tre vulnerabilità più sfruttate del mese di novembre:

*Le frecce si riferiscono al cambio di classifica rispetto al mese precedente

Questo mese, “Web Servers Malicious URL Directory Traversal” è la vulnerabilità più sfruttata, con un impatto del 44% delle organizzazioni a livello globale, seguita da “Web Server Exposed Git Repository Information Disclosure” con il 43.7%. “HTTP Headers Remote Code Execution” rimane terza con il 42%.

1. ↑ Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – vulnerabilità dovuta a un errore di convalida dell’input in un server web che non sanifica correttamente l’URL per pattern directory traversal. Uno sfruttamento riuscito permette agli aggressori non autenticati di rivelare o accedere a file arbitrari sul server vulnerabile.
2. ↓ Web Server Exposed Git Repository Information Disclosure – una vulnerabilità di diffusione delle informazioni è stata segnalata in Git Repository. Uno sfruttamento riuscito di questa vulnerabilità potrebbe consentire una divulgazione non intenzionale di informazioni sull’account.
3. ↔ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – consente al client e al server di passare informazioni aggiuntive con una richiesta HTTP. Un aggressore remoto può utilizzare un header HTTP vulnerabile per eseguire codice arbitrario sulla macchina della vittima.

I tre malware mobile più diffusi di novembre:

Questo mese AlienBot prende il primo posto tra i malware mobili più diffusi, seguito da xHelper e FluBot.

1. AlienBot – questa famiglia di malware è un Malware-as-a-Service (MaaS) per dispositivi Android che permette a un aggressore remoto di iniettare un codice dannoso in applicazioni finanziarie regolari. L’aggressore ottiene l’accesso ai conti delle vittime e il controllo del loro dispositivo.
2. xHelper – un’applicazione Android dannosa, individuata a marzo 2019, utilizzata per scaricare altre app dannose e visualizzare pubblicità. È in grado di nascondersi dall’utente e dai programmi antivirus mobile, e si reinstalla se l’utente la disinstalla.
3. FluBot– è un malware botnet Android distribuito tramite SMS phishing, il più delle volte spacciandosi per brand del mondo delivery. Una volta che l’utente clicca sul link all’interno del messaggio, FluBot viene installato e ottiene l’accesso a tutte le informazioni sensibili sul telefono.