Check Point: Report Malware agosto 2023 – Anche in Italia Qbot è ancora il più diffuso

Check Point® Software Technologies Ltd. (NASDAQ: CHKP), il principale fornitore di soluzioni di cybersecurity a livello globale, ha pubblicato il suo Global Threat Index per il mese di agosto 2023. I ricercatori hanno segnalato una nuova variante del malware ChromeLoader, che prende di mira gli utenti del browser Chrome con annunci falsi e con estensioni dannose. Nello stesso periodo, il settore delle comunicazioni è risultato essere il secondo più colpito a livello globale, scalzando, per la prima volta quest’anno, la sanità dalla lista. ChromeLoader è un hijacker pervasivo e persistente del browser Google Chrome, scoperto per la prima volta nel 2022. Classificato al decimo posto nella classifica delle famiglie di malware più diffuse ad agosto, è progettato per installare segretamente estensioni dannose attraverso pubblicità fasulle sui browser. Nel caso della campagna “Shampoo”, le vittime vengono indotte a eseguire file VBScript che installano estensioni Chrome dannose. Una volta installate, possono raccogliere dati personali e disturbare la navigazione con annunci indesiderati. In agosto, l’FBI ha annunciato un’importante vittoria nella sua operazione globale contro Qbot (alias Qakbot). Nell’operazione “Duck Hunt” l’FBI ha, infatti, preso il controllo della botnet, ha rimosso il malware dai dispositivi infetti e ha identificato un numero considerevole di dispositivi colpiti. Qbot si è evoluto in un servizio di distribuzione di malware utilizzato per varie attività criminali informatiche, compresi gli attacchi ransomware. In genere si diffonde attraverso campagne di phishing e collabora con altri software malevoli. Sebbene sia rimasto il malware più diffuso ad agosto, Check Point ha osservato una diminuzione significativa del suo impatto dopo l’operazione. Il mese scorso, inoltre, il settore delle comunicazioni, a livello globale, ha conquistato il secondo posto tra i comparti più colpiti, superando per la prima volta nel 2023 quello della sanità. Quest’anno sono stati numerosi gli esempi di organizzazioni del settore che hanno subito attacchi informatici. A marzo, il gruppo di cyber-spionaggio APT41, sponsorizzato dallo Stato cinese, ha preso di mira il settore delle telecomunicazioni in Medio Oriente. Gli attori della minaccia si sono infiltrati nei server Microsoft Exchange rivolti a Internet per eseguire comandi, condurre ricognizioni, rubare credenziali ed eseguire attività di movimento laterale e di esfiltrazione dei dati. “L’eliminazione di QBot è stata una svolta significativa nella lotta contro la criminalità informatica. Tuttavia, non possiamo compiacerci perché quando uno cade, un altro poi sorgerà per prenderne il posto“, ha dichiarato Maya Horowitz, VP Research di Check Point Software. “Dobbiamo tutti rimanere vigili, collaborare e continuare a praticare una buona prevenzione di sicurezza su tutti i vettori di attacco“. Anche ad agosto 2023 in Italiala minaccia più grande è rappresentata dal malware Qbotcon un impatto del 5,7% (si conferma il trend di riduzione con -0,4% rispetto a luglio 2023) rispetto al 5,34% a livello globale, seguito da Blindingcan (trojan ad accesso remoto di origine nord coreana) che in Italia ha avuto un impatto del 3,73%, in calo di -1,16% ma ancora notevolmente più alto rispetto a quanto rilevato a livello mondiale (0,21%). Il malware FromBrook (Infostealer che colpisce il sistema operativo Windows) scalza Remcos dal terzo posto e fa registrare nel nostro Paese un impatto del 3,04% abbassando anche in questo caso il suo impatto (-0,18%). Si registra una importante riduzione della minaccia di Remcos, che dal 4,33% è scesa a 1,58%.CPR ha anche rilevato che “HTTP Headers Remote Code Execution” è stata la vulnerabilità più sfruttata, con un impatto sul 40% delle organizzazioni a livello globale, seguita da “Command Injection Over HTTP” che ha avuto un impatto sul 38% delle organizzazioni a livello mondiale. “MVPower CCTV DVR Remote Code Execution” si è piazzata al terzo posto con un impatto globale del 35%. Famiglie di malware più diffuse *Le frecce si riferiscono alla variazione di posizione rispetto al mese precedente. Qbot è stato il malware più diffuso il mese scorso con un impatto del 5% sulle organizzazioni mondiali, seguito da Formbook con un impatto globale del 4% e da Fakeupdates con un impatto globale del 3%.

  1. ↔ Qbot – Qbot AKA Qakbot è un malware multiuso apparso per la prima volta nel 2008. È stato progettato per rubare le credenziali dell’utente, registrare i tasti premuti, rubare i cookie dai browser, spiare le attività bancarie e distribuire ulteriore malware. Spesso distribuito tramite e-mail di spam, Qbot impiega diverse tecniche anti-VM, anti-debug e anti-sandbox per ostacolare l’analisi ed eludere il rilevamento. A partire dal 2022, è emerso come uno dei Trojan più diffusi.
  2. ↔ Formbook – Formbook è un Infostealer che colpisce il sistema operativo Windows ed è stato rilevato per la prima volta nel 2016. È commercializzato come Malware as a Service (MaaS) nei forum di hacking underground per le sue forti tecniche di evasione e il prezzo relativamente basso. FormBook raccoglie le credenziali da vari browser web, raccoglie screenshot, monitora e registra le sequenze di tasti e può scaricare ed eseguire file in base agli ordini del suo C&C.
  3. ↑ Fakeupdates – Fakeupdates (AKA SocGholish) è un downloader scritto in JavaScript. Scrive i payload su disco prima di lanciarli. Fakeupdates ha portato alla compromissione di molti altri malware, tra cui GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.

I settori più attaccati a livello globale Lo scorso mese il settore Istruzione/Ricerca è rimasto al primo posto nella classifica dei settori più attaccati a livello globale, seguito da Comunicazioni e Governo/Militare

  1. Istruzione/Ricerca
  2. Comunicazioni

3.  Governo/Militare Le vulnerabilità maggiormente utilizzate Nel mese di agosto, “HTTP Headers Remote Code Execution” è stata la vulnerabilità più sfruttata, con un impatto sul 40% delle organizzazioni a livello globale, seguita da “Command Injection Over HTTP” che ha avuto un impatto sul 38% delle organizzazioni a livello mondiale. “MVPower CCTV DVR Remote Code Execution” è stata la terza vulnerabilità più sfruttata, con un impatto globale del 35%.

  1. ↑ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – Gli header HTTP consentono al client e al server di trasmettere informazioni aggiuntive all’interno di una richiesta HTTP. Un attaccante remoto può utilizzare un header HTTP vulnerabile per eseguire codice arbitrario sul computer della vittima.
  2. ↑ Iniezione di comandi su HTTP (CVE-2021-43936, CVE-2022-24086) – È stata segnalata una vulnerabilità dei comandi su HTTP. Un attaccante remoto può sfruttare questo problema inviando una richiesta appositamente creata alla vittima. Uno sfruttamento riuscito consentirebbe a un attaccante di eseguire codice arbitrario sul computer di destinazione.
  3. ↑ MVPower CCTV DVR Remote Code Execution (CVE-2016-20016) – Esiste una vulnerabilità nell’esecuzione di codice remoto in MVPower CCTV DVR. Lo sfruttamento riuscito di questa vulnerabilità potrebbe consentire a un attaccante remoto di eseguire codice arbitrario sul sistema interessato.

Principali malware per dispositivi mobili Nulla di invariato per i malware per dispositivi mobili: il mese scorso, infatti, Anubis si è confermato al primo posto come malware mobile più diffuso, seguito da AhMyth e SpinOk

  1. Anubis – Anubis è un trojan bancario progettato per smartphone Android. Da quando è stato rilevato inizialmente, ha acquisito ulteriori funzioni, tra cui la funzionalità di Trojan ad accesso remoto (RAT), e di keylogger, ovvero la capacità di registrazione audio e varie funzionalità ransomware. È stato rilevato in centinaia di differenti applicazioni disponibili su Google Store.
  2. SpinOk – SpinOk è un modulo software per Android che opera come spyware. Raccoglie informazioni sui file residenti nei dispositivi infetti per poi trasferirli a malintenzionati. Il modulo malevolo è stato rilevato in più di 100 applicazioni Android e scaricato più di 421.000.000 di volte fino a maggio 2023.
  3. AhMyth – AhMyth è un Remote Access Trojan (RAT) scoperto nel 2017. Viene distribuito attraverso applicazioni Android presenti negli app store e su vari siti Web. Quando un utente installa una di queste app infette, il malware può raccogliere informazioni sensibili dal dispositivo ed eseguire azioni come il keylogging, registrare screenshot, inviare messaggi SMS e attivare la fotocamera, solitamente allo scopo di sottrarre informazioni riservate.

 Il Global Threat Impact Index di Check Point e la sua ThreatCloud Map sono basati sui dati di intelligence ThreatCloud di Check Point. ThreatCloud fornisce intelligence in tempo reale prodotta da centinaia di milioni di sensori presenti all’interno di reti, endpoint e dispositivi mobili di tutto il mondo. Questa intelligence viene arricchita da engine basati su AI e da ricerche esclusive realizzate da Check Point Research, la divisione di Check Point Software Technologies specializzata nell’intelligence e nella ricerca. L’elenco completo delle prime dieci famiglie di malware di luglio è disponibile sul blog di Check Point. 

ARTICOLI CORRELATIMORE FROM AUTHOR