Close Menu
    Trending

    Emotet si conferma il numero uno tra i malware più diffusi

    By 6 Mins Read

    Per Check Point Research Emotet resta il numero uno tra i malware più diffusi, mentre Agent Tesla lo segue dopo diverse campagne di mal-spam

    malware Trickbot

    Check Point Research segnala che Emotet continua a essere il malware più diffuso, impattando il 10% delle organizzazioni in tutto il mondo, il doppio rispetto febbraio.

    Lo ha reso noto la divisione Threat Intelligence di Check Point Software Technologies, che ha pubblicato il suo ultimo Global Threat Index di marzo 2022.

    Emotet è un trojan avanzato, modulare e auto-propagante che utilizza più metodi e tecniche di evasione per persistere ed evitare il rilevamento. Dal suo ritorno, nel novembre dello scorso anno, e dal recente stop di Trickbot, Emotet ha si è rafforzata. Questo è stato confermato ancora di più questo mese, dato che molte campagne e-mail hanno distribuito la botnet, comprese varie truffe di phishing a tema pasquale. Queste e-mail sono state inviate a vittime di tutto il mondo, usando oggetti come “buona pasqua, felice pasqua”, ma in allegato c’era un file xls dannoso che attivava Emotet.

    Questo mese, AgentTesla, il RAT avanzato che agisce come keylogger e infostealer, è il secondo malware più diffuso, dopo essersi classificato quarto nella classifica del mese scorso. La crescita di AgentTesla è dovuta a diverse nuove campagne mal-spam che consegnano il RAT tramite file xlsx/pdf dannosi in tutto il mondo. Alcune di queste campagne hanno sfruttato anche il conflitto Russia/Ucraina per attirare diverse vittime.

    Come sottolineato in una nota ufficiale da Maya Horowitz, VP Research di Check Point Software: «Negli ultimi anni, la tecnologia è progredita a tal punto che i criminali informatici devono fare sempre più affidamento sulla fiducia delle persone per riuscire a penetrare in una rete aziendale. Con le loro e-mail phishing a tema, sfruttando festività come la Pasqua, sono in grado di approfittarne, attirando le vittime a scaricare allegati dannosi contenenti malware come Emotet. Prima del weekend di Pasqua, ci aspettiamo di vedere molte truffe di questo tipo e invitiamo gli utenti a prestare molta attenzione, anche se l’e-mail sembra provenire da una fonte attendibile. Pasqua non è l’unica festività pubblica e gli hacker continueranno a mettere in atto le stesse tattiche per infliggere danni. Questo mese abbiamo anche osservato Apache Log4j diventare di nuovo la vulnerabilità numero uno più pericolosa. Anche dopo il clamore della fine dell’anno scorso, la vulnerabilità sta causando ancora danni, mesi dopo il rilevamento iniziale. Le organizzazioni devono intraprendere azioni immediate per prevenire gli attacchi».

    I tre malware più diffusi di marzo sono stati:

    *Le frecce si riferiscono al cambio di classifica rispetto al mese precedente

    Questo mese, Emotet è ancora il malware più diffuso con un impatto sul 10% delle organizzazioni a livello globale, seguito da AgentTesla e XMRig entrambi con un impatto del 2%.

    1. Emotet – un trojan avanzato, auto-propagante e modulare. Una volta usato come banking trojan, ora viene utilizzato come distributore di altri malware o campagne dannose. Utilizza più metodi per mantenere la propria forza e tecniche di evasione per evitare la detection. Inoltre, può diffondersi attraverso e-mail spam contenenti allegati o link dannosi.
    2. Formbook – RAT avanzato che funziona come keylogger e ruba informazioni, in grado di monitorare e raccogliere l’input della tastiera della vittima, la tastiera del sistema, di scattare screenshot e di esfiltrare le credenziali a una serie di software installati sulla macchina della vittima (tra cui Google Chrome, Mozilla Firefox e il client di posta elettronica Microsoft Outlook).
    3. Glupteba – mining software open-source CPU utilizzato per il mining della valuta criptata Monero, e visto per la prima volta da maggio 2017.

    I settori più attaccati a livello globale per il mese di marzo:

    1. Istruzione/Ricerca
    2. Governo/Militare
    3. ISP/MSP

    Le tre vulnerabilità più sfruttate del mese di marzo:

    *Le frecce si riferiscono al cambio di classifica rispetto al mese precedente

    Questo mese “Apache Log4j Remote Code Execution” è la vulnerabilità più sfruttata, con un impatto sul 33% delle organizzazioni a livello globale, seguita da “Web Server Exposed Git Repository Information Disclosure”, ora al secondo posto, con il 26%. “HTTP Headers Remote Code Execution” è rimane terza vulnerabilità con un impatto globale del 26%.

    1. Apache Log4j Remote Code Execution (CVE-2021-44228) – una vulnerabilità di esecuzione di codice remoto esistente in Apache Log4j. Uno sfruttamento a buon fine potrebbe permettere ad un hacker di eseguire codice arbitrario sul sistema interessato
    2. Web Server Exposed Git Repository Information Disclosure – una vulnerabilità di diffusione delle informazioni segnalata in Git Repository. Uno sfruttamento riuscito di questa vulnerabilità potrebbe consentire una divulgazione non intenzionale di informazioni sull’account.
    3. HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – consente al client e al server di passare informazioni aggiuntive con una richiesta HTTP. Un aggressore remoto può utilizzare un header HTTP vulnerabile per eseguire codice arbitrario sulla macchina della vittima.

    I tre malware mobile più diffusi di marzo:

    Questo mese XLoader conquista il primo posto tra i malware mobile più diffusi, seguito da xHelper e AlienBot.

    1. AlienBot – questa famiglia di malware è un Malware-as-a-Service (MaaS) per dispositivi Android che permette a un aggressore remoto di iniettare un codice dannoso in applicazioni finanziarie regolari. L’aggressore ottiene l’accesso ai conti delle vittime e il controllo del loro dispositivo.
    2. xHelper – un’applicazione Android dannosa, individuata a marzo 2019, utilizzata per scaricare altre app dannose e visualizzare pubblicità. È in grado di nascondersi dall’utente e dai programmi antivirus mobile, e si reinstalla se l’utente la disinstalla.
    3. FluBot – un malware Android distribuito tramite Smishing (SMS di phishing), il più delle volte spacciandosi per delivery brand. Una volta che l’utente clicca sul link all’interno del messaggio, viene reindirizzato al download di una falsa app contenente FluBot. Una volta installato, il malware può raccogliere credenziali e supportare l’operazione di Smishing stessa, compreso il caricamento di contatti, l’invio di SMS ad altri numeri di telefono.

    l Global Threat Impact Index di Check Point e la sua mappa ThreatCloud sono alimentati dall’intelligence ThreatCloud di Check Point. ThreatCloud fornisce in tempo reale informazioni sulle minacce derivate da centinaia di milioni di sensori in tutto il mondo, su reti, endpoint e cellulari. L’intelligence è arricchita da motori basati sull’AI e da dati di ricerca esclusivi di Check Point Research, il braccio di intelligence e ricerca di Check Point Software Technologies.

    La lista completa delle 10 famiglie di malware più attive nel mese di marzo è disponibile sul blog.

    Share.

    LineaEDP è parte di BitMAT Edizioni, una casa editrice che ha sede a Milano con copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.

    Correlati