Check Point Research, la divisione Threat Intelligence di Check Point® Software Technologies Ltd. (NASDAQ: CHKP), principale fornitore di soluzioni di cybersecurity a livello globale, ha pubblicato i dati di luglio 2021 del Global Threat Index. I ricercatori riferiscono che mentre Trickbot è ancora il malware più diffuso, Snake Keylogger, che è stato identificato per la prima volta nel novembre 2020, è salito al secondo posto dopo un’intensa campagna di phishing. In Italia, invece, a spaventare maggiormente è Blindingcan che ha registrato un impatto sulle organizzazioni di oltre il 9% e si posiziona al primo posto in classifica, staccando di netto sia Formbook sia Trickbot, rispettivamente al secondo e al terzo posto. Blindingcan è un trojan ad accesso remoto (RAT) proveniente dalla Corea del Nord, già presente in Italia a febbraio. Questo RAT, che a livello globale è quasi assente con un impatto di appena lo 0,4%, contiene delle funzioni integrate che permetterebbero all’aggressore diverse capacità d’azione sul sistema della vittima.
Per quanto riguarda, invece, Snake Keylogger, si tratta di un malware che si caratterizza per il keylogging, rubando così le credenziali. La sua funzione principale è, infatti, quella di registrare le digitazioni degli utenti su computer o dispositivi mobili, e trasmettere i dati raccolti agli attori delle minacce. Nelle ultime settimane, Snake sta crescendo rapidamente tramite e-mail di phishing di diverso genere in svariati paesi e mercati.
Le infezioni di Snake rappresentano una grande minaccia per la privacy degli utenti e la sicurezza online, poiché il malware è in grado di rubare praticamente tutti i tipi di informazioni sensibili ed è un keylogger particolarmente evasivo e persistente. Attualmente ci sono forum di hacking clandestine dove il Keylogger Snake è disponibile per l’acquisto, che va dai 25 ai 500 dollari, a seconda del livello di servizio offerto.
Gli attacchi di keylogger possono essere particolarmente pericolosi perché gli individui tendono a utilizzare la stessa password e lo stesso nome utente per diversi account, e una volta che una credenziale di accesso viene violata, il cybercriminale ottiene l’accesso a tutti gli account che hanno la stessa password. Per fermarli, è essenziale utilizzare per ogni profilo diverso una password diversa. Per fare questo, si può utilizzare un gestore di password, che permette sia di gestire che di generare diverse combinazioni di accesso sicure per ogni servizio in base alle linee guida stabilite.
“Dove possibile, gli utenti dovrebbero ridurre la dipendenza dalle password, per esempio implementando l’autenticazione a più fattori (MFA) o le tecnologie Single-Sign on (SSO)”, ha dichiarato Maya Horowitz, VP Research di Check Point Software Technologies. “Inoltre, quando si tratta di password, scegliere una password efficace e unica per ogni servizio è il miglior consiglio, così, anche se i criminali entrano in possesso di una delle vostre password, non avranno immediatamente l’accesso a più siti e servizi. I keylogger come Snake, sono spesso distribuiti tramite e-mail di phishing, quindi è essenziale che gli utenti siano attenti alle piccole imperfezioni, come gli errori di ortografia nei link e negli indirizzi e-mail, e siano educati a non cliccare mai su link sospetti o ad aprire allegati insoliti.”
CPR ha anche rivelato questo mese che “Web Server Exposed Git Repository Information Disclosure” è la vulnerabilità più comunemente sfruttata, con un impatto sul 45% delle organizzazioni a livello globale, seguita da “HTTP Headers Remote Code Execution” che colpisce il 44% delle organizzazioni in tutto il mondo. “MVPower DVR Remote Code Execution” occupa il terzo posto nella lista delle vulnerabilità più sfruttate, con un impatto globale del 42%.
I tre malware più diffusi di luglio sono stati:
*Le frecce si riferiscono al cambio di classifica rispetto al mese precedente
Questo mese, Trickbot è il malware più popolare con un impatto del 4% delle organizzazioni a livello globale, seguito da Snake Keylogger e XMRig, ciascuno con un impatto globale del 3%.
- Trickbot – botnet modulare e banking trojan dominante che viene costantemente aggiornato con nuove capacità, caratteristiche e vettori di distribuzione. Questo gli permette di essere un malware flessibile e personalizzabile che può essere distribuito come parte di campagne multiuso.
- – keylogger modulare .NET e ruba-credenziali individuato per la prima volta alla fine di novembre 2020; la sua funzionalità principale è quella di registrare le digitazioni degli utenti e trasmettere i dati raccolti ai cybercriminali.
- XMRig – mining software open-source CPU utilizzato per il mining della valuta criptata Monero, e visto per la prima volta a maggio 2017.
Le tre vulnerabilità più sfruttate del mese di luglio:
Questo mese “Web Server Exposed Git Repository Information Disclosure” è la vulnerabilità più comunemente sfruttata, con un impatto del 45% delle organizzazioni a livello globale, seguita da “HTTP Headers Remote Code Execution” che colpisce il 44% delle organizzazioni in tutto il mondo. “MVPower DVR Remote Code Execution” è al terzo posto nella lista delle vulnerabilità più sfruttate, con un impatto globale del 42%.
- – Una vulnerabilità di diffusione delle informazioni è stata segnalata in Git Repository. Uno sfruttamento riuscito di questa vulnerabilità potrebbe consentire una divulgazione non intenzionale di informazioni sull’account.
- HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – consente al client e al server di passare informazioni aggiuntive con una richiesta HTTP. Un aggressore remoto può utilizzare un header HTTP vulnerabile per eseguire codice arbitrario sulla macchina della vittima.
- MVPower DVR Remote Code Execution – vulnerabilità di esecuzione del codice da remoto nei dispositivi MVPower DVR. Un malintenzionato può sfruttare questa falla da remoto per eseguire codice arbitrario nel router interessato tramite una richiesta creata appositamente.
I tre malware mobile più diffusi di luglio:
- – un’applicazione Android dannosa, individuata a marzo 2019, utilizzata per scaricare altre app dannose e visualizzare pubblicità. È in grado di nascondersi dall’utente e dai programmi antivirus mobile, e si reinstalla se l’utente la disinstalla.
- – La famiglia di malware AlienBot è un Malware-as-a-Service (MaaS) per dispositivi Android che permette inizialmente a un aggressore remoto di iniettare un codice dannoso in applicazioni finanziarie regolari. L’aggressore ottiene l’accesso ai conti delle vittime e alla fine controlla completamente il loro dispositivo.
- – malware Android che riconfeziona app legali e poi le consegna a uno store di terze parti. La sua funzione principale è visualizzare annunci, ma è anche in grado di accedere ai dati chiave di sicurezza, integrati nel sistema operativo, consentendo all’aggressore di ottenere dati sensibili dell’utente.
La ThreatCloud Map e il Global Threat Impact Index di Check Point si avvalgono dell’intelligence ThreatCloud dell’azienda, la più grande rete che collabora contro i criminali informatici e fornisce dati sulle minacce e sull’andamento degli attacchi, attraverso una rete globale di sensori delle minacce. Il database di ThreatCloud ispeziona oltre 3 miliardi di siti web e 600 milioni di file, e ogni giorno identifica più di 250 milioni di attività malware.