Secondo Check Point Research, la divisione Threat Intelligence di Check Point Software Technologies, l’Italia è minacciata da Blindingcan che ha registrato un impatto sulle organizzazioni di oltre il 7%, posizionandosi al primo posto in classifica.
Rispetto al resto del territorio analizzato, infatti, il malware più diffuso da noi non è Formbook e nemmeno Trickbot, bensì Blindingcan, un trojan ad accesso remoto (RAT), che a livello globale è quasi assente, con un impatto di appena lo 0,35%, ma è pericoloso per le sue funzioni integrate che permetterebbero all’aggressore diverse capacità d’azione sul sistema della vittima.
Ma gettiamo uno sguardo oltre il solo orizzonte nazionale.
Visto per la prima volta nel 2016, Formbook è un infostealer che raccoglie credenziali da vari browser, raccoglie screenshot, monitora e registra le sequenze dei tasti della tastiera, e può scaricare ed eseguire file secondo i suoi ordini di comando e controllo (C&C). Recentemente, Formbook è stato distribuito tramite campagne a tema COVID-19 ed e-mail phishing, e nel luglio 2021, CPR ha riferito che un nuovo ceppo malware derivato da Formbook, chiamato XLoader, è ora rivolto agli utenti macOS.
Come sottolineato in una nota ufficiale da Maya Horowitz, VP Research di Check Point Software: «Il codice di Formbook è scritto in C con inserti di assemblaggio e contiene una serie di trucchi per renderlo più evasivo e difficile da analizzare per i ricercatori. Dato che di solito viene distribuito tramite e-mail e allegati phishing, il modo migliore per prevenire un’infezione data da Formbook è quello di essere consapevoli di tutte le e-mail ricevute che possono apparire strane o che provengono da mittenti sconosciuti. Come diciamo sempre, se non sembra corretto, probabilmente non lo è».
I tre malware più diffusi di agosto sono stati:
*Le frecce si riferiscono al cambio di classifica rispetto al mese precedente
Escludendo Blindingcan che preoccupa le aziende italiane, questo mese, Formbook è il malware più diffuso colpendo il 4,5% delle organizzazioni a livello globale, seguito da Trickbot e Agent Tesla, con rispettivamente il 4% e il 3%.
- ↑ Formbook – Formbook è un infostealer che raccoglie credenziali da vari browser web, raccoglie screenshot, monitora e registra le sequenze di tasti e può scaricare ed eseguire file secondo i suoi ordini C&C.
- ↓ Trickbot – botnet modulare e banking trojan dominante che viene costantemente aggiornato con nuove capacità, caratteristiche e vettori di distribuzione. Questo gli permette di essere un malware flessibile e personalizzabile che può essere distribuito come parte di campagne multiuso.
- ↑ Agent Tesla – Agent Tesla è un RAT avanzato che funziona come un keylogger e ruba informazioni, che è in grado di monitorare e raccogliere l’input della tastiera della vittima e la tastiera del sistema, prendendo screenshot ed esfiltrare le credenziali da una varietà di software installati sulla macchina della vittima (compresi Google Chrome, Mozilla Firefox e il client di posta elettronica Microsoft Outlook).
Le tre vulnerabilità più sfruttate del mese di agosto:
*Le frecce si riferiscono al cambio di classifica rispetto al mese precedente
Questo mese “Web Server Exposed Git Repository Information Disclosure” è la vulnerabilità più comunemente sfruttata, con un impatto sul 45% delle organizzazioni a livello globale, seguita da “HTTP Headers Remote Code Execution” con il 43%. “Dasan GPON Router Authentication Bypass” occupa il terzo posto con un impatto globale del 40%.
- ↔ Web Server Exposed Git Repository Information Disclosure – Una vulnerabilità di diffusione delle informazioni è stata segnalata in Git Repository. Uno sfruttamento riuscito di questa vulnerabilità potrebbe consentire una divulgazione non intenzionale di informazioni sull’account
- ↔ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – consente al client e al server di passare informazioni aggiuntive con una richiesta HTTP. Un aggressore remoto può utilizzare un header HTTP vulnerabile per eseguire codice arbitrario sulla macchina della vittima.
- ↑ Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Una vulnerabilità di bypass dell’autenticazione è presente nei router GPON Dasan. Uno sfruttamento riuscito di questa vulnerabilità permetterebbe agli aggressori remoti di ottenere informazioni sensibili e ottenere un accesso non autorizzato nel sistema interessato.
Tra i tre malware mobile più diffusi di agosto non c’è Blindingcan:
Questo mese xHelper è al primo posto tra i malware mobili più diffusi, seguito da AlienBot e FluBot.
- xHelper – un’applicazione Android dannosa, individuata a marzo 2019, utilizzata per scaricare altre app dannose e visualizzare pubblicità. È in grado di nascondersi dall’utente e dai programmi antivirus mobile, e si reinstalla se l’utente la disinstalla.
- AlienBot – questa famiglia di malware A è un Malware-as-a-Service (MaaS) per dispositivi Android che permette a un aggressore remoto di iniettare un codice dannoso in applicazioni finanziarie regolari. L’aggressore ottiene l’accesso ai conti delle vittime e il controllo del loro dispositivo.
- FluBot – è un malware botnet Android distribuito tramite SMS phishing, il più delle volte spacciandosi per brand del mondo delivery. Una volta che l’utente clicca sul link all’interno del messaggio, FluBot viene installato e ottiene l’accesso a tutte le informazioni sensibili sul telefono.
Il Global Threat Impact Index di Check Point e la sua mappa ThreatCloud sono alimentati dall’intelligence ThreatCloud di Check Point. ThreatCloud fornisce in tempo reale informazioni sulle minacce derivate da centinaia di milioni di sensori in tutto il mondo, su reti, endpoint e cellulari. L’intelligence è arricchita da motori basati sullAI e da dati di ricerca esclusivi di Check Point Research, il braccio di intelligence e ricerca di Check Point Software Technologies.
La lista completa delle 10 famiglie di malware più attive nel mese di agosto è disponibile sul blog di Check Point.