Check Point Research, la divisione Threat Intelligence di Check Point® Software Technologies Ltd.(NASDAQ: CHKP), il principale fornitore di soluzioni di cybersecurity a livello globale, ha reso noto il Global Threat Index di novembre 2019. Il team di ricerca ha evidenziato che, per la prima volta in oltre tre anni, un trojan mobile è entrato a far parte della classifica dei malware più diffusi, oltre ad essere la minaccia mobile più diffusa nell’ultimo mese.
Il trojan mobile è XHelper, che è stato avvistato per la prima volta nel marzo 2019. XHelper è un trojan multiuso per gli utenti Android che può scaricare altre app infette e visualizzare pubblicità malevole. Inoltre, è un’applicazione persistente, in grado di reinstallarsi anche se viene disinstallata dalla vittima. Negli ultimi sei mesi il codice del malware è stato costantemente aggiornato, cosa che gli ha consentito di eludere le soluzioni antivirus mobile e di continuare a infettare nuove vittime. Come risultato, è entrato all’ottavo posto nella classifica dei primi 10 malware più pericolosi.
Il malware più diffuso di novembre è stata la botnet Emotet, che mantiene la posizione numero 1 da ottobre. Tuttavia, a novembre, ha avuto un impatto sul 9% delle organizzazioni a livello globale, in calo rispetto al 14% del mese precedente. Mentre in Italia, ha un impatto decisamente superiore, pari al 18,28%, il doppio, rispetto alla percentuale globale. Gli altri malware più diffusi in Italia a novembre sono Ursnif, un trojan che colpisce la piattaforma Windows e che ha avuto un impatto sull’11,6% delle organizzazioni, e Formbook, un InfoStealer che colpisce il sistema operativo Windows e che ha avuto un impatto sull’7,19% delle organizzazioni.
“Sia Emotet che XHelper sono malware versatili e polivalenti che possono essere adattati alle esigenze dei criminali, come la diffusione di ransomware, campagne di spam o malvertising sui dispositivi degli utenti. Questo dimostra che i criminali stanno provando diverse tattiche illecite per monetizzare sulle loro operazioni, piuttosto che seguire un singolo trend come il cryptomining che ha dominato il mercato nel 2018”, ha dichiarato Maya Horowitz, Director, Threat Intelligence & Research, Products di Check Point. “Pertanto, è essenziale che le organizzazioni implementino soluzioni anti-malware di ultima generazione sulle proprie reti e sui dispositivi mobile dei dipendenti, per proteggere tutti gli endpoint aziendali. Dovrebbero anche informare i dipendenti sui pericoli derivanti dall’apertura di allegati e-mail, dal download di risorse o dal fare clic su link che non provengono da una fonte o un contatto di fiducia.”
I tre malware più diffusi a novembre 2019 sono stati:
*La freccia si riferisce al cambio di posizione rispetto alla classifica del mese precedente
Emotet ha mantenuto la vetta con un impatto globale del 9%. XMRig è stato il secondo malware più diffuso che ha avuto un impatto sul 7% delle organizzazioni in tutto il mondo, seguito da Trickbot, con il 6%.
- ↔Emotet– trojan avanzato, autopropagato e modulare, utilizzato come distributore per altre minacce. Utilizza molteplici metodi per mantenere la stabilità e le tecniche di evasione per evitare il rilevamento. Si diffonde anche attraverso campagne phishing con mail contenenti allegati o link dannosi.
- ↔ XMRig– mining software open-source CPU utilizzato per il mining della valuta criptata Monero, e visto per la prima volta da maggio 2017.
- ↔ Trickbot– trojan del mondo banking e viene rinnovato costantemente con nuove funzioni. Questi fattori rendono Trickbot un malware flessibile e personalizzabile che può essere diffuso tramite diversi tipi di campagne.
I tre malware per dispositivi mobile più diffusi in novembre:
Questo mese xHelper è stato il malware mobile più diffuso, seguito da Guerilla e Lotoor.
- XHelper– un’applicazione Android dannosa utilizzata per scaricare altre app dannose e visualizzare pubblicità. È in grado di nascondersi dall’utente e dai programmi antivirus mobile, e si reinstalla se l’utente la disinstalla.
- Guerrilla– Ad-clicker per Android che ha la capacità di comunicare con un server remoto di comando e controllo (C&C), scaricare plug-in aggiuntivi malevoli ed eseguire ad-clicking aggressivi senza l’autorizzazione o la consapevolezza da parte dell’utente.
- Lotoor –tecnica di hackeraggio in grado di sfruttare le vulnerabilità dei sistemi Android con lo scopo di ottenere i permessi di root sui dispositivi mobile infettati.
Le tre vulnerabilità più diffuse nel mese di novembre sono state:
Questo mese le tre principali vulnerabilità sfruttate sono rimasti le stesse del mese precedente: le tecniche di iniezione SQL continuano ad essere in testa alla lista, con un impatto sul 39% delle organizzazioni a livello globale, seguite dalle vulnerabilità OpenSSL TLS DTLS Heartbeat Information Disclosure e MVPower DVR Remote Code Execution – con un impatto rispettivamente del 34% e 33%.
- SQL Injection (tecniche diverse)– consiste nell’inserimento di query SQL, in input, dal client all’applicazione, sfruttando al contempo una vulnerabilità di sicurezza nel software di un’applicazione.
- OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346)– in OpenSSL esiste una vulnerabilità che diffonde informazioni a causa di un errore durante la gestione dei pacchetti TLS/DTLS heartbeat. Un aggressore può sfruttare questa vulnerabilità per rivelare il contenuto della memoria di un client o server collegato.
- MVPower DVR Remote Code Execution– esiste una vulnerabilità di esecuzione del codice da remoto nei dispositivi MVPower DVR. Un malintenzionato può sfruttare questa falla da remoto per eseguire codice arbitrario nel router interessato tramite una richiesta creata appositamente.
La ThreatCloud Map e il Global Threat Impact Index di Check Point si avvalgono dell’intelligence ThreatCloudTMdell’azienda, la più grande rete che collabora contro i cybercriminali e fornisce dati sulle minacce e sull’andamento degli attacchi, attraverso una rete globale di sensori delle minacce. Il database di ThreatCloud contiene più di 250 milioni di indirizzi, che vengono analizzati per scoprire bot, più di 11 milioni di firme di malware e più di 5 milioni e cinquecentomila siti web infetti, e ogni giorno individua milioni di varianti di malware.
