Check Point: spam a tema natalizio o con Greta Thunberg per diffondere malware con la botnet Emotet

redazione

Check Point Research, la divisione Threat Intelligence di Check Point® Software Technologies Ltd.(NASDAQ: CHKP), il principale fornitore di soluzioni di cybersecurity a livello globale, ha reso noto il Global Threat Index di dicembre 2019.

Il team di ricerca ha evidenziato che, per il terzo mese consecutivo, la botnet Emotet si è riconfermata la principale minaccia malware, diffusa tramite una serie di popolari campagne spam e-mail come “Support Greta Thunberg – Time Person of the Year 2019” e “Christmas Party!”.

 

Entrambe le campagne contenevano un documento Word dannoso che, se aperto, tentava di scaricare Emotet sul computer (principalmente utilizzata per distribuire ransomware o altre campagne dannose). In Italia, nel solo mese di dicembre, l’impatto di Emotet è stato quasi il triplo rispetto alla media del resto del mondo (coinvolgendo il 34,74% delle aziende, rispetto alla media globale del 12.60%).

 

Dicembre ha visto anche un aumento significativo dei tentativi di sfruttare la vulnerabilità “Command Injection Over HTTP”, prendendo di mira il 33% delle organizzazioni a livello globale. Questa vulnerabilità è passata dall’essere la quinta più sfruttata di novembre alla prima posizione del mese scorso. Se sfruttato con successo, il payload risultava essere una botnet DDoS: il file dannoso utilizzato nell’attacco conteneva anche una serie di collegamenti payload che sfruttavano le vulnerabilità in diversi dispositivi IoT.

 

“Negli ultimi tre mesi, le minacce che hanno colpito la maggior parte delle aziende sono state malware versatili e multiuso come Emotet e xHelper. Questi offrono ai criminali informatici molteplici opzioni per monetizzare gli attacchi, in quanto possono essere utilizzati per distribuire ransomware o diffondere ulteriori campagne spam”, ha affermato Maya Horowitz, Director, Threat Intelligence & Research, Products presso Check Point. “L’obiettivo per i criminali è quello di infiltrarsi nel maggior numero possibile di aziende e dispositivi, in modo che gli attacchi successivi possano essere più redditizi e dannosi. Pertanto, è fondamentale che le organizzazioni educhino i propri dipendenti sui rischi legati all’apertura di allegati e-mail, al download di risorse o al clic su link che non provengono da una fonte o da un contatto attendibile.”

 

I tre malware più diffusi a dicembre 2019 sono stati:

*La freccia si riferisce al cambio di posizione rispetto alla classifica del mese precedente

A dicembre, Emotet ha avuto un impatto sul 13% delle aziende a livello globale, in aumento rispetto al 9% di novembre. XMRig e Trickbot hanno entrambi avuto un impatto sul 7% delle aziende.

 

  1. Emotet– trojan avanzato, autopropagato e modulare, utilizzato come distributore per altre minacce. Utilizza molteplici metodi per mantenere la stabilità e le tecniche di evasione per evitare il rilevamento. Si diffonde anche attraverso campagne phishing con mail contenenti allegati o link dannosi.
  2.   ↔ XMRig– mining software open-source CPU utilizzato per il mining della valuta criptata Monero, e visto per la prima volta da maggio 2017.
  3.   Trickbot– trojan del mondo banking e viene rinnovato costantemente con nuove funzioni. Questi fattori rendono Trickbot un malware flessibile e personalizzabile che può essere diffuso tramite diversi tipi di campagne.

 

I tre malware per dispositivi mobile più diffusi in dicembre:

*La freccia si riferisce al cambio di posizione rispetto alla classifica del mese precedente

xHelper and Guerrilla si mantengono saldi nelle prime due posizioni della classifica dei malware per dispositivi mobile.

 

  1. XHelper– un’applicazione Android dannosa utilizzata per scaricare altre app dannose e visualizzare pubblicità. È in grado di nascondersi dall’utente e dai programmi antivirus mobile, e si reinstalla se l’utente la disinstalla.
  1. Guerrilla– Ad-clicker per Android che ha la capacità di comunicare con un server remoto di comando e controllo (C&C), scaricare plug-in aggiuntivi malevoli ed eseguire ad-clicking aggressivi senza l’autorizzazione o la consapevolezza da parte dell’utente.
  2. ↑ Hiddad – malware Android che riconfeziona app legali e poi le consegna a uno store di terze parti. La sua funzione principale è visualizzare annunci, ma è anche in grado di accedere ai dati chiave di sicurezza, integrati nel sistema operativo, consentendo all’aggressore di ottenere dati sensibili dell’utente.

Le tre vulnerabilità più diffuse nel mese di novembre:

*La freccia si riferisce al cambio di posizione rispetto alla classifica del mese precedente

La Command Injection Over HTTPè stata la vulnerabilità più sfruttata, generando un impatto sul 33% delle aziende su scala globale. Al secondo posto, la vulnerabilità MVPower DVR Remote Code Execution ha avuto un impatto sul 32% delle aziende, e la Web Server Exposed Git Repository Information Disclosure ha colpito il 29%.

 

  1. Command Injection Over HTTP – vulnerabilità di Command Injection over http che può essere sfruttata da un utente malintenzionato in remoto inviando una richiesta appositamente predisposta alla vittima. Se sfruttata correttamente, consentirebbe a un utente malintenzionato di eseguire codice arbitrario sulla macchina target.
  2. ↔ MVPower DVR Remote Code Execution– esiste una vulnerabilità di esecuzione del codice da remoto nei dispositivi MVPower DVR. Un malintenzionato può sfruttare questa falla da remoto per eseguire codice arbitrario nel router interessato tramite una richiesta creata appositamente.
  3. ↑ Web Server Exposed Git Repository Information Disclosure – in Git Repository è stata segnalata una vulnerabilità riguardante la divulgazione di informazioni. Lo sfruttamento di questa vulnerabilità potrebbe consentire una diffusione involontaria delle informazioni di un account.

 

La ThreatCloud Map e il Global Threat Impact Index di Check Point si avvalgono dell’intelligence ThreatCloudTMdell’azienda, la più grande rete che collabora contro i cybercriminali e fornisce dati sulle minacce e sull’andamento degli attacchi, attraverso una rete globale di sensori delle minacce. Il database di ThreatCloud contiene più di 250 milioni di indirizzi, che vengono analizzati per scoprire bot, più di 11 milioni di firme di malware e più di 5 milioni e cinquecentomila siti web infetti, e ogni giorno individua milioni di varianti di malware.