In Italia è il malware FakeUpdates la minaccia più presente nel mese di novembre 2023

redazione

Check Point® Software Technologies Ltd. (NASDAQ: CHKP), tra i fornitori leader di soluzioni di cybersecurity a livello globale, ha pubblicato il Global Threat Index per il mese di novembre 2023. Il mese scorso, i ricercatori hanno scoperto una nuova campagna AsyncRAT in cui sono stati utilizzati file HTML dannosi per diffondere il malware occulto. Nel frattempo, il downloader JavaScript, FakeUpdates, è balzato direttamente al secondo posto della top ten dopo una pausa di due mesi. L’istruzione continua ad essere il settore più colpito a livello mondiale. A novembre in Italiala minaccia più importante diventa FakeUpdates (un downloader in JavaScript in grado di scrivere i payload su disco prima di lanciarli e che ha portato a ulteriori attacchi tramite molte altre minacce informatiche, tra cui GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult), con un impatto del 3,43%, lo 0,94% in più rispetto all’impatto globale del 2,49%La seconda minaccia più importante nel nostro Paese si conferma essere Blindingcan (trojan ad accesso remoto di origine nord coreana) che in Italia ha avuto un impatto del 3,25%, anche a novembre notevolmente più alto rispetto a quanto rilevato a livello mondiale (0,19%). Il malware Formbook (Infostealer che colpisce il sistema operativo Windows), risulta essere la terza minaccia nel nostro Paese con un impatto del 3,19%, inferiore all’impatto globale del 3,57%. Il malware Remcos (Remote Access Trojan apparso per la prima volta nel 2016) rimane al quarto posto con un impatto del 2,21%, in leggera diminuzione rispetto a ottobre (-0,5%) ma superiore all’impatto globale (1,48%). AsyncRAT è un Trojan ad accesso remoto (RAT) noto per la sua capacità di monitorare e controllare i sistemi informatici a distanza senza essere rilevato. Il malware, che si è piazzato al sesto posto della top 10 del mese scorso, utilizza vari formati di file come PowerShell e BAT per penetrare nei processi. Nella campagna del mese scorso, i destinatari hanno ricevuto un’e-mail contenente un link incorporato. Una volta cliccato, il link ha innescato il download di un file HTML dannoso, che ha dato il via a una sequenza di eventi che ha permesso al malware di camuffarsi da applicazione affidabile per evitare il rilevamento. Nel frattempo, il downloader FakeUpdates è rientrato nella classifica dei principali malware dopo una pausa di due mesi. Scritto in JavaScript, il framework di distribuzione del malware utilizza siti web compromessi per indurre gli utenti a eseguire falsi aggiornamenti del browser. Ha portato a ulteriori compromissioni attraverso molti altri malware, tra cui GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult. “Le minacce informatiche di novembre dimostrano come gli attori di queste minacce sfruttino metodi apparentemente innocui per infiltrarsi nelle reti. L’ascesa della campagna AsyncRAT e la ricomparsa di FakeUpdates evidenziano una tendenza che vede i criminali informatici utilizzare semplici ma ingannevoli azioni per aggirare le difese tradizionali. Questo sottolinea la necessità per le aziende di adottare un approccio alla sicurezza a più livelli che non si limiti a riconoscere le minacce note, ma che sia in grado di identificare, prevenire e rispondere ai nuovi vettori di attacco prima che infliggano danni“, ha dichiarato Maya Horowitz, VP Research di Check Point Software. CPR ha inoltre rivelato che “Command Injection Over HTTP” è la vulnerabilità più sfruttata, con un impatto sul 45% delle organizzazioni a livello globale, seguita da “Web Servers Malicious URL Directory Traversal” con il 42%. “Zyxel ZyWALL Command Injection (CVE-2023-28771)” si è piazzato al terzo posto con un impatto globale del 41%. Famiglie di malware più diffuse *Le frecce si riferiscono alla variazione di posizione rispetto al mese precedente.Formbook è stato il malware più diffuso il mese scorso con un impatto del 3% sulle organizzazioni mondiali, seguito da FakeUpdates con un impatto globale del 2% e da Remcos con un impatto globale dell’1%. 

  1.  Formbook è un Infostealer che colpisce il sistema operativo Windows ed è stato rilevato per la prima volta nel 2016. È commercializzato come Malware as a Service (MaaS) nei forum di hacking underground per le sue forti tecniche di evasione e il prezzo relativamente basso. FormBook raccoglie le credenziali da vari browser web, raccoglie screenshot, monitora e registra le sequenze di tasti e può scaricare ed eseguire file in base agli ordini del suo C&C.
  2.  FakeUpdates (AKA SocGholish) è un downloader scritto in JavaScript. Scrive i payload su disco prima di lanciarli. FakeUpdates ha portato a ulteriori compromissioni tramite molti altri malware, tra cui GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.
  3. ↔ Remcos è un RAT apparso per la prima volta nel 2016. Remcos si distribuisce attraverso documenti Microsoft Office dannosi, allegati a e-mail di spam, ed è progettato per aggirare la protezione UAC di Microsoft Windows ed eseguire il malware con privilegi di alto livello.

I settori più attaccati a livello globale A novembre l’istruzione/ricerca è rimasta al primo posto come settore più attaccato a livello globale, seguita da comunicazioni e governo/militare. 1.           Istruzione/Ricerca 2.           Comunicazioni 3.           Governo/Militare Le vulnerabilità maggiormente utilizzate Nel mese di novembre, “Command Injection Over HTTP” è stata la vulnerabilità più sfruttata, con un impatto sul 45% delle organizzazioni a livello globale, seguita da “Web Servers Malicious URL Directory Traversal” con il 42% delle organizzazioni a livello mondiale. “Zyxel ZyWALL Command Injection (CVE-2023-28771)” si è piazzato al terzo posto con un impatto globale del 41%.

  1.  Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086) – È stata segnalata una vulnerabilità di Command Injection su HTTP. Un aggressore remoto può sfruttare questo problema inviando una richiesta appositamente creata alla vittima. Uno sfruttamento riuscito consentirebbe a un criminale informatico di eseguire codice arbitrario sul computer di destinazione.
  2.  Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Esiste una vulnerabilità di directory traversal su diversi web server. La vulnerabilità è dovuta a un errore di convalida dell’input in un server web che non sanifica correttamente l’URL per i modelli di attraversamento delle directory. Uno sfruttamento riuscito consente agli attaccanti remoti non autenticati di divulgare o accedere a file arbitrari sul server vulnerabile.
  3. ↓ Zyxel ZyWALL Command Injection (CVE-2023-28771) – Esiste una vulnerabilità di command injection in Zyxel ZyWALL. Lo sfruttamento riuscito di questa vulnerabilità consentirebbe agli attaccanti remoti di eseguire comandi arbitrari del sistema operativo nel sistema interessato.

Principali malware per dispositivi mobili Anche nel mese di novembre Anubis è rimasto al primo posto come malware mobile più diffuso, seguito da AhMyth. Al terzo posto torna SpinOk che scalza Hiddad dal podio. 

  1. Anubis è un malware Trojan bancario progettato per i telefoni cellulari Android. Da quando è stato rilevato inizialmente, ha acquisito ulteriori funzioni, tra cui la funzionalità di Trojan ad accesso remoto (RAT), keylogger, capacità di registrazione audio e varie funzionalità ransomware. È stato rilevato in centinaia di applicazioni diverse disponibili su Google Store.
  2. AhMyth è un Trojan ad accesso remoto (RAT) scoperto nel 2017. Viene distribuito attraverso applicazioni Android che possono essere trovate sugli app store e su vari siti web. Quando un utente installa una di queste app infette, il malware può raccogliere informazioni sensibili dal dispositivo ed eseguire azioni come il keylogging, lo scatto di screenshot, l’invio di SMS e l’attivazione della fotocamera, che di solito viene utilizzata per rubare informazioni sensibili.
  3. SpinOk è un modulo software per Android che opera come spyware. Raccoglie informazioni sui file memorizzati sui dispositivi ed è in grado di trasferirle a soggetti malintenzionati. Il modulo dannoso è stato trovato presente in più di 100 applicazioni Android ed è stato scaricato più di 421.000.000 di volte a maggio 2023.

 Il Global Threat Impact Index di Check Point e la sua ThreatCloud Map sono basati sui dati di intelligence ThreatCloud di Check Point. ThreatCloud fornisce intelligence in tempo reale prodotta da centinaia di milioni di sensori presenti all’interno di reti, endpoint e dispositivi mobili di tutto il mondo. Questa intelligence viene arricchita da engine basati su AI e da ricerche esclusive realizzate da Check Point Research, la divisione di Check Point Software Technologies specializzata nell’intelligence e nella ricerca.