Check Point® Software Technologies Ltd. (NASDAQ: CHKP) (NASDAQ: CHKP), il principale fornitore di soluzioni di cybersecurity a livello globale, ha pubblicato il suo Global Threat Index per il mese di luglio 2023. I ricercatori rilevano che Remcos è passato al terzo posto dopo che il mese scorso gli attori delle minacce hanno creato siti web falsi per diffondere downloader malevoli che trasportano il RAT (Remote Access Trojan). Nel frattempo, il Trojan bancario mobile Anubis ha scalzato il nuovo arrivato SpinOk dal primo posto della classifica delle minacce informatiche mobili, mentre il settore più colpito è stato quello dell’istruzione/ricerca.Remcos è un RAT rilevato per la prima volta nel 2016 che viene regolarmente distribuito attraverso documenti o downloader Microsoft dannosi. Recentemente è stato osservato in una campagna che coinvolgeva il downloader malware Fruity. L’obiettivo era quello di attirare le vittime a scaricare il Fruity, al fine di installare diversi RAT come Remcos, noto per la sua capacità di ottenere l’accesso remoto al sistema della vittima, rubare informazioni sensibili e credenziali e condurre attività dannose sul computer dell’utente.”Questo periodo dell’anno è perfetto per i criminali informatici. Mentre molti approfittano delle vacanze, le aziende si trovano a dover gestire livelli di personale ridotti o alterati, che potrebbero avere un impatto sulla loro capacità di monitorare le minacce e ridurre i rischi”, ha dichiarato Maya Horowitz, VP Research di Check Point Software. “L’introduzione di processi di sicurezza consolidati e automatizzati può aiutare le aziende a mantenere alte le difese durante i periodi di vacanza più impegnativi, oltre ad essere una buona formazione per gli utenti”.Anche nel mese di luglio 2023, in Italiala minaccia più grande è stata rappresentata dal malware Qbot, con un impatto del 6% (-1,9% rispetto a giugno 2023) rispetto al 5,39% a livello globale, seguito da Blindingcan (trojan ad accesso remoto di origine nord coreana) che in Italia ha registrato un impatto del 4,89%, notevolmente più alto rispetto a quanto si è rilevato a livello mondiale (0,21%). Il malware Remcos (Remote Access Trojan apparso per la prima volta nel 2016) fa registrare nel nostro Paese un impatto del 4,33%, quasi il doppio dell’impatto globale (2,21%). Si registra una leggera crescita della minaccia di Formbook pari a +0,11% rispetto a giugno con un impatto nel nostro Paese del 3,22%.CPR ha anche rivelato che la vulnerabilità più sfruttata è stata la “Web Servers Malicious URL Directory Traversal” per il 49% delle organizzazioni a livello globale, seguita da “Apache Log4j Remote Code Execution” con il 45% e “HTTP Headers Remote Code Execution” con un impatto globale del 42%. Famiglie di malware più diffuse*Le frecce indicano la variazione in classifica rispetto al mese precedente.Qbot è stato il malware più diffuso questo mese con un impatto del 5% sulle organizzazioni di tutto il mondo, seguito da Formbook con un impatto globale del 4% e da Remcos con un impatto globale del 2%.1. ↔Qbot – Qbot, alias Qakbot, è un malware multiuso apparso per la prima volta nel 2008. È stato progettato per rubare le credenziali dell’utente, registrare i tasti premuti sulla tastiera, rubare i cookie dai browser, spiare le attività online banking e distribuire ulteriore malware. Spesso diffuso tramite e-mail di spam, Qbot impiega diverse tecniche anti-VM, anti-debug e anti-sandbox per ostacolare le analisi ed eludere i rilevamenti. A partire dal 2022, è divenuto uno dei Trojan più diffusi.2. ↔Formbook – Formbook è un Infostealer che colpisce il sistema operativo Windows ed è stato rilevato per la prima volta nel 2016. È commercializzato come Malware as a Service (MaaS) nei forum di hacking underground per le sue forti tecniche di evasione e il prezzo relativamente contenuto. FormBook sottrae le credenziali da vari browser web, raccoglie screenshot, monitora e registra le sequenze di tasti premuti sulla tastiera e può scaricare ed eseguire file in base agli ordini dal proprio C&C.3. ↑Remcos – Remcos è un RAT apparso per la prima volta nel 2016. Si diffonde attraverso documenti Microsoft Office dannosi, allegati a e-mail di SPAM, ed è progettato per aggirare la protezione UAC di Microsoft Windows ed eseguire il malware con privilegi di alto livello.I settori più attaccati a livello globaleAnche nel luglio 2023, il settore istruzione/ricerca mantiene il primatocome settore più attaccato a livello globale, seguito da quello governativo/militare e dal sanitario.1. Istruzione/Ricerca2. Governo/Militare3. Sanità Le vulnerabilità maggiormente sfruttateLa vulnerabilità più sfruttata nel corso del mese di luglio 2023 è stata “Web Servers Malicious URL Directory Traversal” per il 49% delle organizzazioni a livello globale, seguita da “Apache Log4j Remote Code Execution” con il 45% e “HTTP Headers Remote Code Execution” con un impatto globale del 42%.1. ↔Web Servers Malicious URL Directory Traversal – La vulnerabilità è dovuta a un errore di convalida dell’input in un server Web che non sanifica correttamente l’URL nei pattern di attraversamento delle directory. Un attacco andato a buon fine consente agli aggressori remoti non autorizzati di accedere a file arbitrari sul server vulnerabile.2. ↔Apache Log4j Remote Code Execution (CVE-2021-44228) – Lo sfruttamento riuscito di questa vulnerabilità potrebbe consentire a un aggressore remoto di eseguire un codice arbitrario sul sistema interessato.3. ↔HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – Gli header HTTP permettono lo scambio di informazioni supplementari tra client e server all’interno di una richiesta HTTP. Un aggressore remoto può utilizzare un header HTTP vulnerabile per eseguire codice arbitrario sul computer della vittima.Principali malware per dispositivi mobiliIl mese scorso Anubis ha conquistato il primo posto nella classifica delle minacce informatiche mobili più diffuse, seguito da SpinOk e AhMyth.1. Anubis – Anubis è un trojan bancario progettato per smartphone Android. Da quando è stato rilevato inizialmente, ha acquisito ulteriori funzioni, tra cui la funzionalità di Trojan ad accesso remoto (RAT), e di keylogger, ovvero la capacità di registrazione audio e varie funzionalità ransomware. È stato rilevato in centinaia di differenti applicazioni disponibili su Google Store.2. SpinOk – SpinOk è un modulo software per Android che opera come spyware. Raccoglie informazioni sui file residenti nei dispositivi infetti per poi trasferirli a malintenzionati. Il modulo dannoso è stato rilevato in più di 100 applicazioni Android e scaricato più di 421.000.000 di volte fino a maggio 2023.3. AhMyth – AhMyth è un Remote Access Trojan (RAT) scoperto nel 2017. Viene distribuito attraverso applicazioni Android presenti negli app store e su vari siti Web. Quando un utente installa una di queste app infette, il malware può raccogliere informazioni sensibili dal dispositivo ed eseguire azioni come il keylogging, registrare screenshot, inviare messaggi SMS e attivare la fotocamera, solitamente allo scopo di sottrarre informazioni riservate. Il Global Threat Impact Index di Check Point e la sua ThreatCloud Map sono basati sui dati di intelligence ThreatCloud di Check Point. ThreatCloud fornisce intelligence in tempo reale prodotta da centinaia di milioni di sensori presenti all’interno di reti, endpoint e dispositivi mobili di tutto il mondo. Questa intelligence viene arricchita da engine basati su AI e da ricerche esclusive realizzate da Check Point Research, la divisione di Check Point Software Technologies specializzata nell’intelligence e nella ricerca.
