Check Point: Emotet cambia metodo di diffusione e rimane al primo posto nella top10 dei malware più pericolosi di aprile

redazione

Check Point Research (CPR), la divisione di Threat Intelligence di Check Point® Software Technologies Ltd. (NASDAQ: CHKP), il principale fornitore di soluzioni di cybersecurity a livello globale, ha pubblicato il suo ultimo Global Threat Index di aprile, riferendo che Emotet è ancora il malware più diffuso, con un impatto sul 6% delle organizzazioni in tutto il mondo. Tuttavia, l’elenco degli altri malware ha subito un cambiamento: Tofsee e Nanocore sono stati sostituiti da Formbook e Lokibot, rispettivamente al secondo e al sesto posto nella classifica dei malware più diffusi.

L’alta percentuale di impatto di Emotet a marzo (10%) era dovuta principalmente a specifiche truffe di Pasqua. Il calo di questo mese potrebbe essere spiegato anche dalla decisione di Microsoft di disabilitare specifiche macro associate ai file di Office, influenzando il modo in cui Emotet si diffonde. Sembrerebbe che Emotet abbia un nuovo metodo di diffusione: l’utilizzo di e-mail di phishing che contengono un URL di OneDrive. Grazie alle sue sofisticate tecniche di diffusione e assimilazione, Emotet mette a disposizione anche altri malware sui forum del darkweb, tra cui trojan bancari, ransomware, botnet, ecc. Di conseguenza, una volta che Emotet vede una breccia, le conseguenze possono variare a seconda del malware diffuso dopo la violazione.

Secondo il Global Threat Index, Lokibot è rientrato nella lista al sesto posto dopo una campagna spam ad alto impatto che ha diffuso il malware tramite file xlsx. Questo, insieme all’ascesa di Formbook, ha avuto un effetto a catena sulla posizione di altri malware: AgentTesla, ad esempio, dal secondo posto è sceso al terzo.

Alla fine di marzo sono state scoperte alcune vulnerabilità critiche in Java Spring Framework, note come Spring4Shell, e da allora numerosi hacker hanno sfruttato questa minaccia per diffondere Mirai, che è diventato il nono malware più diffuso di questo mese.

“Con le minacce informatiche in continua evoluzione e con le grandi aziende come Microsoft che influenzano i parametri in cui i criminali informatici possono operare, questi ultimi devono diventare più creativi nel modo in cui distribuiscono malware, come dimostra il nuovo metodo utilizzato da Emotet”, ha dichiarato Maya Horowitz, VP Research di Check Point. “Inoltre, questo mese abbiamo visto la vulnerabilità Spring4Shell andare alla ribalta. Sebbene non sia ancora nella top ten delle vulnerabilità, vale la pena notare che oltre il 35% delle organizzazioni di tutto il mondo sono già state colpite da questa minaccia solo nel primo mese, e quindi ci aspettiamo di vederla salire nella classifica nei prossimi mesi.”

I tre malware più diffusi di aprile sono stati:

*Le frecce si riferiscono alla variazione di posizione rispetto al mese precedente

Questo mese Emotet è ancora il malware più diffuso, con un impatto del 6% sulle organizzazioni in tutto il mondo, seguito da Formbook con un impatto del 3% e da AgentTesla con il 2%.

  1. ↔ Emotet – un trojan avanzato, auto-propagante e modulare. Una volta usato come banking trojan, ora viene utilizzato come distributore di altri malware o campagne dannose. Utilizza più metodi per mantenere la propria forza e tecniche di evasione per evitare la detection. Inoltre, può diffondersi attraverso e-mail spam contenenti allegati o link dannosi.
  2. ↑ Formbook – RAT avanzato che funziona come keylogger e ruba informazioni, in grado di monitorare e raccogliere l’input della tastiera della vittima, la tastiera del sistema, di scattare screenshot e di esfiltrare le credenziali a una serie di software installati sulla macchina della vittima (tra cui Google Chrome, Mozilla Firefox e il client di posta elettronica Microsoft Outlook).
  3. Agent Tesla – un RAT avanzato che funziona come un keylogger che ruba informazioni ed è in grado di monitorare e raccogliere l’input della tastiera della vittima e la tastiera del sistema, prendendo screenshot, ed esfiltrando le credenziali a una varietà di software installati sulla macchina della vittima (tra cui Google Chrome, Mozilla Firefox e Microsoft Outlook).

I settori più attaccati a livello globale per il mese di aprile:

  1. Istruzione/Ricerca
  2. Governo/Militare
  3. ISP/MSP

In Italia:

  1. Software vendor
  2. Istruzione/Ricerca
  3. Governo/Militare

Le tre vulnerabilità più sfruttate del mese di aprile:

*Le frecce si riferiscono al cambio di classifica rispetto al mese precedente

Questo mese “Web Server Exposed Git Repository Information Disclosure” è la vulnerabilità più sfruttata, con un impatto del 46% sulle organizzazioni a livello globale, seguita da vicino da “Apache Log4j Remote Code Execution” con un impatto globale del 46%. “Apache Struts ParametersInterceptor ClassLoader Security Bypass” è ora al terzo posto con il 45%.

  1. ↑ Web Server Exposed Git Repository Information Disclosure – una vulnerabilità di diffusione delle informazioni segnalata in Git Repository. Uno sfruttamento riuscito di questa vulnerabilità potrebbe consentire una divulgazione non intenzionale di informazioni sull’account.
  2. Apache Log4j Remote Code Execution (CVE-2021-44228) – una vulnerabilità di esecuzione di codice remoto esistente in Apache Log4j. Uno sfruttamento a buon fine potrebbe permettere ad un hacker di eseguire codice arbitrario sul sistema interessato
  3. Apache Struts ParametersInterceptor ClassLoader Security Bypass (CVE-2014-0094, CVE-2014-0112, CVE-2014-0113, CVE-2014-0114) – una vulnerabilità in Apache Struts dovuta a una convalida inadeguata dei dati elaborati da ParametersInterceptor, che consente la manipolazione del ClassLoader. Un hacker, da remoto, potrebbe sfruttarla fornendo un parametro di classe in una richiesta.

I malware mobile più diffusi di aprile:

Questo mese AlienBot è il malware mobile più diffuso, seguito da FluBot e xHelper.

  1. AlienBot – questa famiglia di malware è un Malware-as-a-Service (MaaS) per dispositivi Android che permette a un aggressore remoto di iniettare un codice dannoso in applicazioni finanziarie regolari. L’aggressore ottiene l’accesso ai conti delle vittime e il controllo del loro dispositivo.
  2. FluBot – un malware Android distribuito tramite Smishing (SMS di phishing), il più delle volte spacciandosi per delivery brand. Una volta che l’utente clicca sul link all’interno del messaggio, viene reindirizzato al download di una falsa app contenente FluBot. Una volta installato, il malware può raccogliere credenziali e supportare l’operazione di Smishing stessa, compreso il caricamento di contatti, l’invio di SMS ad altri numeri di telefono.
  3. xHelper – un’applicazione Android dannosa, individuata a marzo 2019, utilizzata per scaricare altre app dannose e visualizzare pubblicità. È in grado di nascondersi dall’utente e dai programmi antivirus mobile, e si reinstalla se l’utente la disinstalla.

l Global Threat Impact Index di Check Point e la sua mappa ThreatCloud sono alimentati dall’intelligence ThreatCloud di Check Point. ThreatCloud fornisce in tempo reale informazioni sulle minacce derivate da centinaia di milioni di sensori in tutto il mondo, su reti, endpoint e cellulari. L’intelligence è arricchita da motori basati sull’AI e da dati di ricerca esclusivi di Check Point Research, il braccio di intelligence e ricerca di Check Point Software Technologies.