Check Point Research, la divisione Threat Intelligence di Check Point Software Technologies, ha pubblicato il suo ultimo Global Threat Index di settembre 2021. I ricercatori riferiscono che Trickbot, è tornato in cima alla lista dopo essere sceso al secondo posto nel mese di agosto.
In Italia Trickbot domina assieme a Formbook, rispettivamente secondo e primo nella speciale classifica. Formbook, rilevato per la prima volta nel 2016, è un infostealer che prende di mira il sistema operativo Windows. È commercializzato come MaaS nei forum hacker per le sue forti tecniche di evasione e il prezzo relativamente basso. FormBook raccoglie credenziali da vari browser web, raccoglie screenshot, monitora e registra le sequenze di tasti e può scaricare ed eseguire file secondo i suoi ordini C&C.
Il trojan di accesso remoto, njRAT, è entrato per la prima volta nella top10, prendendo il posto di Phorpiex, non più attiva. Trickbot è un banking trojan che può rubare dettagli finanziari, credenziali dei conti e informazioni personali, oltre a diffondersi all’interno di una rete e rilasciare ransomware. Dal takedown di Emotet a gennaio, il trojan Trickbot ha guadagnato popolarità: viene costantemente aggiornato con nuove capacità, caratteristiche e vettori di distribuzione che gli permettono di essere un malware flessibile e personalizzabile che può essere distribuito come parte di campagne multiuso.
Come sottolineato in una nota ufficiale da Maya Horowitz, VP Research di Check Point Software: «Nello stesso mese in cui Trickbot è diventato ancora una volta il malware più diffuso, uno dei membri che gestiva Trickbot è stato individuato e arrestato dopo un’indagine negli Stati Uniti. Oltre ad altre accuse presentate quest’anno nella lotta contro il trojan, siamo fiduciosi che il dominio della famiglia di Trickbot sarà presto indebolito. Ma, come sempre, c’è ancora molta strada da fare. Questa settimana i nostri ricercatori hanno riferito che ci sono il 40% in più di attacchi settimanali alle organizzazioni nel 2021 rispetto al 2020 a livello globale, eppure la maggior parte di questi, se non tutti, avrebbero potuto essere evitati. Le organizzazioni non devono indugiare nell’adottare un approccio alla cybersecurity incentrato sulla prevenzione».
I tre malware più diffusi di settembre sono stati:
*Le frecce si riferiscono al cambio di classifica rispetto al mese precedente
Questo mese, Trickbot è il malware più popolare con un impatto del 4% delle organizzazioni a livello globale, seguito da Formbook e XMRig, ciascuno con un impatto del 3% delle organizzazioni in tutto il mondo.
- ↑ Trickbot – botnet modulare e banking trojan dominante che viene costantemente aggiornato con nuove capacità, caratteristiche e vettori di distribuzione. Questo gli permette di essere un malware flessibile e personalizzabile che può essere distribuito come parte di campagne multiuso.
- ↓ Formbook – Formbook è un infostealer che raccoglie credenziali da vari browser web, raccoglie screenshot, monitora e registra le sequenze di tasti e può scaricare ed eseguire file secondo i suoi ordini C&C.
- ↑ XMRig – XMRig è un software open-source per il mining della CPU utilizzato per il processo di mining della criptovaluta Monero, ed è stato osservato per la prima volta nel maggio 2017.
Le tre vulnerabilità più sfruttate del mese di settembre:
*Le frecce si riferiscono al cambio di classifica rispetto al mese precedente
Questo mese “Web Server Exposed Git Repository Information Disclosure” è la vulnerabilità più sfruttata, con un impatto del 44% delle organizzazioni a livello globale, seguita da “Command Injection Over http” con il 43%. “HTTP Headers Remote Code Execution” al terzo posto, con un impatto globale del 43%.
- ↔ Web Server Exposed Git Repository Information Disclosure – una vulnerabilità di diffusione delle informazioni è stata segnalata in Git Repository. Uno sfruttamento riuscito di questa vulnerabilità potrebbe consentire una divulgazione non intenzionale di informazioni sull’account
- ↑ Command Injection Over HTTP – un hacker può sfruttare da remoto questo problema inviando una richiesta appositamente elaborata alla vittima. Uno sfruttamento riuscito permetterebbe ad un hacker di eseguire codice arbitrario sulla macchina di destinazione.
- ↓ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – consente al client e al server di passare informazioni aggiuntive con una richiesta HTTP. Un aggressore remoto può utilizzare un header HTTP vulnerabile per eseguire codice arbitrario sulla macchina della vittima.
I tre malware mobile più diffusi di settembre:
Per questo mese xHelper rimane al primo posto tra i malware mobili più diffusi, seguito da AlienBot e FluBot.
- xHelper – un’applicazione Android dannosa, individuata a marzo 2019, utilizzata per scaricare altre app dannose e visualizzare pubblicità. È in grado di nascondersi dall’utente e dai programmi antivirus mobile, e si reinstalla se l’utente la disinstalla.
- AlienBot – questa famiglia di malware A è un Malware-as-a-Service (MaaS) per dispositivi Android che permette a un aggressore remoto di iniettare un codice dannoso in applicazioni finanziarie regolari. L’aggressore ottiene l’accesso ai conti delle vittime e il controllo del loro dispositivo.
- FluBot – un malware botnet Android distribuito tramite SMS phishing, il più delle volte spacciandosi per brand del mondo delivery. Una volta che l’utente clicca sul link all’interno del messaggio, FluBot viene installato e ottiene l’accesso a tutte le informazioni sensibili sul telefono.
Il Global Threat Impact Index di Check Point e la sua mappa ThreatCloud sono alimentati dall’intelligence ThreatCloud di Check Point. ThreatCloud fornisce in tempo reale informazioni sulle minacce derivate da centinaia di milioni di sensori in tutto il mondo, su reti, endpoint e cellulari. L’intelligence è arricchita da motori basati sull’AI e da dati di ricerca esclusivi di Check Point Research, il braccio di intelligence e ricerca di Check Point Software Technologies.
La lista completa delle 10 famiglie di malware più attive nel mese di settembre è disponibile sul blog di Check Point.