Check Point Research, la divisione Threat Intelligence di Check Point® Software Technologies Ltd. (NASDAQ: CHKP), il principale fornitore di soluzioni di cybersecurity a livello globale, ha pubblicato il suo recente Global Threat Index per il mese di agosto 2020. I ricercatori hanno scoperto che Qbot, un trojan noto anche come Qakbot e Pinkslipbot, è entrato per la prima volta nella top10, classificandosi al decimo posto tra i malware più diffusi ad agosto. In Italia, Qbot preoccupa maggiormente perché è entrato direttamente al quarto posto, tra i malware più diffusi.
Visto per la prima volta nel 2008, Qbot si è evoluto continuamente e ora utilizza sofisticate tecniche ransomware e di furto di credenziali. Qbot può anche abilitare transazioni bancarie non autorizzate, consentendo all’impostore di connettersi al computer della vittima. Ma ora anche una nuova pericolosa caratteristica: un modulo specializzato di raccolta delle e-mail che estrae i thread dal client Outlook della vittima e li carica su un server remoto esterno. Questo permette a Qbot di dirottare le conversazioni e-mail legittime degli utenti infetti e poi di effettuare lo spam utilizzando le e-mail dirottate per aumentare le possibilità di ingannare gli altri utenti, e infettarli.
I ricercatori di Check Point hanno trovato diverse campagne che utilizzano il nuovo Qbot, tra marzo e agosto 2020, tra cui uno distribuito dal trojan Emotet. Questa campagna ha avuto un impatto sul 5% delle organizzazioni a livello globale a luglio 2020.
“Gli hacker sono sempre alla ricerca di modi per aggiornare forme di malware già esistenti e hanno chiaramente investito molto nello sviluppo di Qbot per consentire il furto di dati su larga scala verso organizzazioni e individui. Abbiamo visto attive delle campagne malspam che distribuiscono Qbot direttamente, così come l’uso di infrastrutture per l’infezione di terze parti, come quella di Emotet. Le aziende dovrebbero cercare di implementare soluzioni anti-malware in grado di impedire che tali contenuti raggiungano gli utenti finali e consigliare ai dipendenti di essere prudenti nell’aprire le e-mail, anche quando sembrano provenire da una fonte affidabile.” ha dichiarato Maya Horowitz, Director, Threat Intelligence & Research, Products di Check Point.
Infine, il team di ricerca avverte anche che “Web Server Exposed Git Repository Information Disclosure” è la vulnerabilità più sfruttata, con un impatto sul 47% delle organizzazioni a livello globale, seguita da “MVPower DVR Remote Code Execution”, con il 43%. “Dasan GPON Router Authentication Bypass (CVE-2018-10561)” è invece al terzo posto, con un impatto globale del 37%.
I tre malware più diffusi di agosto sono stati:
*La freccia si riferisce al cambio di posizione rispetto alla classifica del mese precedente
Nel mese scorso, Emotet è rimasto il malware più popolare, con un impatto globale del 14% delle organizzazioni, seguito da vicino da AgentTesla e da Formbook con il 3%.
- ↔ Emotet – trojan avanzato, autopropagante e modulare, utilizzato come distributore per altre minacce. Utilizza molteplici metodi per mantenere la stabilità e le tecniche di evasione per evitare il rilevamento. Si diffonde anche attraverso campagne phishing con mail contenenti allegati o link dannosi.
- ↑ AgentTesla – RAT avanzato che funziona come keylogger e ruba informazioni, in grado di monitorare e raccogliere l’input della tastiera della vittima, la tastiera del sistema, di scattare screenshot e di esfiltrare le credenziali a una serie di software installati sulla macchina della vittima (tra cui Google Chrome, Mozilla Firefox e il client di posta elettronica Microsoft Outlook).
- ↑ Formbook – info stealer che raccoglie le credenziali da vari browser web e screenshot, monitora e registra i tasti premuti e può scaricare ed eseguire i file in base ai suoi ordini C&C.
Vulnerabilità più sfruttate del mese di agosto:
*La freccia si riferisce al cambio di posizione rispetto alla classifica del mese precedente
Ad agosto “Web Server Exposed Git Repository Information Disclosure” è stata la più sfruttata, con un impatto sul 47%, seguita da “MVPower DVR Remote Code Execution” con il 43%. “Dasan GPON Router Authentication Bypass (CVE-2018-10561)” è al terzo posto, con un impatto globale del 37%.
- ↑ Web Server Exposed Git Repository Information Disclosure – in Git Repository è stata segnalata una vulnerabilità riguardante la divulgazione di informazioni. Lo sfruttamento di questa vulnerabilità potrebbe consentire una diffusione involontaria delle informazioni di un account.
- ↓ MVPower DVR Remote Code Execution – vulnerabilità di esecuzione del codice da remoto nei dispositivi MVPower DVR. Un malintenzionato può sfruttare questa falla da remoto per eseguire codice arbitrario nel router interessato tramite una richiesta creata appositamente.
- ↑ Dasan GPON Router Authentication Bypass (CVE-2018-10561) – vulnerabilità di bypass dell’autenticazione che esiste nei router Dasan GPON. Uno sfruttamento efficace permetterebbe agli aggressori remoti di ottenere informazioni sensibili e di accedere senza autorizzazione al sistema interessato.
I tre malware mobile più diffusi di agosto:
xHelper è stato il malware più diffuso, seguito da Necro e Hiddad.
- xHelper – un’applicazione Android dannosa, individuata a marzo 2019, utilizzata per scaricare altre app dannose e visualizzare pubblicità. È in grado di nascondersi dall’utente e dai programmi antivirus mobile, e si reinstalla se l’utente la disinstalla.
- Necro – trojan dropper Android che può scaricare altri malware, mostrando annunci intrusivi e rubando denaro addebitando degli abbonamenti.
- Hiddad – malware Android che riconfeziona app legali e poi le consegna a uno store di terze parti. La sua funzione principale è visualizzare annunci, ma è anche in grado di accedere ai dati chiave di sicurezza, integrati nel sistema operativo, consentendo all’aggressore di ottenere dati sensibili dell’utente.
La ThreatCloud Map e il Global Threat Impact Index di Check Point si avvalgono dell’intelligence ThreatCloudTM dell’azienda, la più grande rete che collabora contro i cybercriminali e fornisce dati sulle minacce e sull’andamento degli attacchi, attraverso una rete globale di sensori delle minacce. Il database di ThreatCloud ispeziona oltre 2,5 miliardi di siti web e 500 milioni di file, e ogni giorno identifica più di 250 milioni di attività malware.
La lista completa delle 10 famiglie di malware più attive nel mese di agosto è disponibile sul blog di Check Point.
