Check Point® Software Technologies Ltd. (NASDAQ: CHKP), tra i fornitori leader di soluzioni di cybersecurity a livello globale, ha pubblicato il Global Threat Index per il mese di dicembre 2023. I ricercatori hanno identificato la resurrezione di Qbot, quattro mesi dopo che le forze dell’ordine statunitensi e internazionali ne hanno smantellato l’infrastruttura nell’operazione Duck Hunt ad agosto 2023. Nel frattempo, il downloader in JavaScript FakeUpdates è balzato al primo posto e il settore dell’istruzione è rimasto quello più colpito a livello mondiale. In Italia,a dicembre si confermano le minacce che già a novembre avevano insidiato il nostro Paese. La minaccia più importante rimane, infatti, FakeUpdates (un downloader JavaScript in grado di scrivere i payload su disco prima di lanciarli, che ha portato a ulteriori attacchi tramite numerose altre minacce informatiche, tra cui GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult), con un impatto del 5,03%, +1,6% rispetto a novembre e oltre il 2,7% in più rispetto all’impatto globale.La seconda minaccia più importante nel nostro Paese si conferma essere Blindingcan (trojan ad accesso remoto di origine nord coreana) che in Italia ha avuto un impatto del 3,95%, anch’esso in crescita rispetto a novembre (+0,7%) e ancora notevolmente più alto rispetto a quanto rilevato a livello mondiale (0,20%). Il malware Formbook (Infostealer che colpisce il sistema operativo Windows), risulta essere la terza minaccia nel nostro Paese con un impatto del 2,8% (-0,39% rispetto a novembre), anch’esso superiore all’impatto globale, che è del 2,02%. Il mese scorso, il malware Qbot è stato utilizzato dai criminali informatici come parte di un attacco di phishing su scala limitata che ha preso di mira le organizzazioni del settore alberghiero. Nella campagna, i ricercatori hanno scoperto che gli hacker si sono spacciati per l’Internal Revenue Service, parte del Dipartimento del Tesoro degli Stati Uniti, e hanno inviato e-mail malevole contenenti allegati PDF con URL collegati a un programma di installazione Microsoft. Una volta attivato, il programma attivava una versione non visibile di Qbot che sfruttava una Dynamic Link Library (DLL) incorporata. Prima dell’eliminazione ad agosto, Qbot dominava la classifica delle minacce, posizionandosi tra i primi tre malware più diffusi per 10 mesi consecutivi. Sebbene non sia rientrato nell’elenco, i prossimi due mesi determineranno se riacquisterà la notorietà che ha avuto in passato. Nel frattempo, FakeUpdates ha continuato la sua ascesa dopo essere riemerso alla fine del 2023, raggiungendo il primo posto con un impatto globale del 2%. Anche Nanocore ha mantenuto una posizione nella top five per sei mesi consecutivi, conquistando il terzo posto a dicembre, e ci sono infine state nuove entrate con i malware Ramnit e Glupteba. “Vedere Qbot in libertà a meno di quattro mesi dallo smantellamento della sua infrastruttura di distribuzione ci ricorda che, anche se siamo in grado di interrompere le campagne di malware, gli attori dietro di esse si adattano con le nuove tecnologie”, ha dichiarato Maya Horowitz, VP Research di Check Point Software. “Per questo motivo le organizzazioni sono incoraggiate ad adottare un approccio preventivo alla sicurezza degli endpoint e a svolgere una due diligence sulle origini e l’intento di un’e-mail”. Check Point Research ha inoltre rivelato che “Apache Log4j Remote Code Execution (CVE-2021-44228) e “Web Servers Malicious URL Directory Traversal” sono state le vulnerabilità più sfruttate che hanno interessato il 46% delle organizzazioni in tutto il mondo. Segue subito dopo “Zyxel ZyWALL Command Injection (CVE-2023-28771)” con un impatto globale del 43% e la notorietà precedente. Famiglie di malware più diffuse*Le frecce si riferiscono alla variazione di posizione rispetto al mese precedente.FakeUpdates e Formbook sono stati i malware più diffusi il mese scorso con un impatto globale superiore al 2%, seguiti da Nanocore con un impatto globale dell’1%.
- ↑ FakeUpdates (AKA SocGholish) è un downloader scritto in JavaScript. Scrive i payload su disco prima di lanciarli. FakeUpdates ha portato a ulteriori compromissioni tramite molti altri malware, tra cui GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.
- ↓ Formbook è un Infostealer che colpisce il sistema operativo Windows ed è stato rilevato per la prima volta nel 2016. È commercializzato come Malware as a Service (MaaS) nei forum di hacking underground per le sue forti tecniche di evasione e il prezzo relativamente basso. FormBook raccoglie le credenziali da vari browser web, raccoglie screenshot, monitora e registra le sequenze di tasti e può scaricare ed eseguire file in base agli ordini del suo C&C.
- ↑ Nanocore è un Trojan ad accesso remoto che prende di mira gli utenti del sistema operativo Windows ed è stato osservato per la prima volta nel 2013. Tutte le versioni del RAT contengono plugin e funzionalità di base come l’acquisizione di schermate, il mining di criptovalute, il controllo remoto del desktop e il furto di sessioni webcam.
Le vulnerabilità maggiormente utilizzate Il mese scorso, “Apache Log4j Remote Code Execution (CVE-2021-44228)” e “Web Servers Malicious URL Directory Traversal” sono state le vulnerabilità più sfruttate, con un impatto sul 46% delle organizzazioni a livello globale, seguite da “Zyxel ZyWALL Command Injection (CVE-2023-28771)” con un impatto globale del 43%.
- ↑ Apache Log4j Remote Code Execution (CVE-2021-44228) – Esiste una vulnerabilità nell’esecuzione di codice remoto in Apache Log4j. Lo sfruttamento riuscito di questa vulnerabilità potrebbe consentire a un criminale informatico di eseguire un codice arbitrario sul sistema interessato.
- ↔ Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) – Esiste una vulnerabilità di directory traversal su diversi web server. La vulnerabilità è dovuta a un errore di convalida dell’input in un server web che non sanifica correttamente l’URI per i modelli di attraversamento delle directory. Uno sfruttamento riuscito consente agli attaccanti remoti non autenticati di divulgare o accedere a file arbitrari sul server vulnerabile.
- ↔ Zyxel ZyWALL Command Injection (CVE-2023-28771) – Esiste una vulnerabilità di command injection in Zyxel ZyWALL. Lo sfruttamento riuscito di questa vulnerabilità consentirebbe agli attaccanti remoti di eseguire comandi arbitrari del sistema operativo nel sistema interessato.
Principali malware per dispositivi mobiliIl mese scorso Anubis è stata la minaccia più diffusa per mobile, seguito da AhMyth e Hiddad.
- Anubis è un malware Trojan bancario progettato per i telefoni cellulari Android. Da quando è stato rilevato inizialmente, ha acquisito ulteriori funzioni, tra cui la funzionalità di Trojan ad accesso remoto (RAT), keylogger, capacità di registrazione audio e varie funzionalità ransomware. È stato rilevato in centinaia di applicazioni diverse disponibili su Google Store.
- AhMyth è un Trojan ad accesso remoto (RAT) scoperto nel 2017. Viene distribuito attraverso applicazioni Android che possono essere trovate sugli app store e su vari siti web. Quando un utente installa una di queste app infette, il malware può raccogliere informazioni sensibili dal dispositivo ed eseguire azioni come il keylogging, lo scatto di screenshot, l’invio di SMS e l’attivazione della fotocamera, che di solito viene utilizzata per rubare informazioni sensibili.
- Hiddad è un malware Android che riconfeziona le applicazioni legittime e le rilascia su uno store di terze parti. La sua funzione principale è quella di visualizzare annunci pubblicitari, ma può anche accedere a dettagli chiave di sicurezza integrati nel sistema operativo.
I settori più attaccati a livello globaleAnche a dicembre il settore dell’istruzione/ricerca è stato il più attaccato a livello globale, seguito da quello delle comunicazioni e da quello governativo/militare. 1. Istruzione/Ricerca2. Comunicazioni3. Governo/Militare *** Il Global Threat Impact Index di Check Point e la sua ThreatCloud Map sono basati sui dati di intelligence ThreatCloud di Check Point. ThreatCloud fornisce intelligence in tempo reale prodotta da centinaia di milioni di sensori presenti all’interno di reti, endpoint e dispositivi mobili di tutto il mondo. Questa intelligence viene arricchita da engine basati su AI e da ricerche esclusive realizzate da Check Point Research, la divisione di Check Point Software Technologies specializzata nell’intelligence e nella ricerca.
