Scoperta Text4Shell una nuova vulnerabilità, mentre AgentTesla scalza Formbook dal primo posto della classifica Top Malware

Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornitore leader di soluzioni di sicurezza informatica a livello globale, ha pubblicato il suo ultimo Global Threat Index per il mese di ottobre, durante il quale il keylogger AgentTesla ha conquistato il primo posto tra i malware più diffusi, con un impatto sul 7% delle organizzazioni in tutto il mondo. È stato registrato un aumento anche per l’infostealer Lokibot, che ha raggiunto il terzo posto per la prima volta dopo cinque mesi. È stata inoltre rivelata una nuova vulnerabilità, Text4Shell, che colpisce la libreria Apache Commons Text.

Lokibot è un infostealer progettato per sottrarre credenziali da una varietà di applicazioni, tra cui browser web, client di posta elettronica e IT admin tool. Essendo un trojan, il suo obiettivo è quello di infiltrarsi, senza essere individuato, in un sistema mascherandosi da programma legittimo. Può essere distribuito tramite e-mail di phishing, siti web dannosi, SMS e altre piattaforme di messaggistica.

Il mese di ottobre ha visto anche la divulgazione di una nuova grave vulnerabilità: Text4Shell (CVE-2022-42889), basata su una funzionalità di Apache Commons Text, che consente attacchi attraverso la rete, senza la necessità di privilegi specifici o di interazione con l’utente. Text4Shell ricorda la vulnerabilità Log4Shell, che a distanza di un anno, è ancora una delle principali minacce. Sebbene questo mese, Text4Shell non sia entrata nell’elenco delle principali vulnerabilità sfruttate, ha già avuto un impatto su oltre l’8% delle organizzazioni in tutto il mondo e Check Point continuerà a monitorarne l’impatto.  

In Italia, AgentTesla e SnakeKeylogger continuano a essere pericolosi, anche se si piazzano rispettivamente al secondo e terzo posto. Il vero dominatore è BLINDINGCAN, con un impatto sul 7% delle organizzazioni italiane, nonostante la percentuale globale sia di 0,42%. BLINDINGCAN è pericoloso per le sue funzioni integrate che gli consentono di eseguire operazioni da remoto per prendere il controllo del sistema della vittima. È un trojan ad accesso remoto (RAT) che utilizza diverse tecniche per spacchettare ed eseguire una variante di Hidden Cobra RAT. 

“A ottobre abbiamo assistito a molti cambiamenti nelle classifiche, con nuove famiglie di malware tra le più diffuse. È interessante che Lokibot sia risalito così rapidamente al terzo posto, il che dimostra una tendenza crescente verso il phishing. Mentre ci avviamo verso un periodo di grandi acquisti, è importante rimanere vigili e tenere d’occhio le e-mail sospette che potrebbero contenere codice malevolo. Fate attenzione a indizi come: un mittente sconosciuto, la richiesta di informazioni personali e ai link. Nel dubbio, accedete direttamente ai siti web e cercate le informazioni di contatto appropriate da fonti verificate, e assicuratevi di avere installato una protezione contro i malware”, ha dichiarato Maya Horowitz, VP Research di Check Point Software.

Le tre vulnerabilità più sfruttate del mese di ottobre:

* Le frecce si riferiscono al cambio di classifica rispetto al mese precedente

AgentTesla è stato il malware più diffuso con un impatto sul 7% delle organizzazioni in tutto il mondo, seguito da SnakeKeylogger con un impatto del 5% e da Lokibot con il 4%.

1. ↑ AgentTesla – un RAT avanzato che funziona come un keylogger che ruba informazioni ed è in grado di monitorare e raccogliere l’input della tastiera della vittima e la tastiera del sistema, acquisendo screenshot, ed esfiltrando le credenziali a una varietà di software installati sulla macchina della vittima (tra cui Google Chrome, Mozilla Firefox e Microsoft Outlook).
2. ↑ SnakeKeylogger – un keylogger .NET modulare e ruba-credenziali individuato per la prima volta nel novembre 2020. La sua funzione principale è quella di registrare i tasti premuti dall’utente e condividere i dati raccolti. Rappresenta una grave minaccia per la sicurezza online degli utenti, poiché può rubare tutti i tipi di informazioni sensibili ed è particolarmente elusivo.
3. ↑Lokibot – un infostealer distribuito principalmente tramite e-mail di phishing e utilizzato per rubare vari dati come le credenziali di posta elettronica, nonché le password dei cripto wallet e dei server FTP.

I settori più attaccati a livello globale a ottobre:

A ottobre, il settore istruzione/ricerca è rimasto al primo posto come settore più attaccato a livello globale, seguito da quello governativo/militare e da quello sanitario.

1. Education/Research
2. Government/Military
3. Healthcare 

In Italia:

1. Education/Research
2. Finance/Banking
3. Software vendor

Le tre vulnerabilità più sfruttate del mese di ottobre:

“Web Server Exposed Git Repository Information Disclosure”” rimane la vulnerabilità più sfruttata, con un impatto sul 43% delle organizzazioni a livello globale. Segue “Apache Log4j Remote Code Execution”, che rimane al secondo posto con il 41% e “HTTP Headers Remote Code Execution” al terzo posto con il 39%.

1. ↑ Apache Log4j Remote Code Execution (CVE-2021-44228) – una vulnerabilità di esecuzione di codice remoto esistente in Apache Log4j. Uno sfruttamento a buon fine potrebbe permettere ad un hacker di eseguire codice arbitrario sul sistema interessato.
2. ↓ Web Server Exposed Git Repository Information Disclosure – una vulnerabilità di diffusione delle informazioni segnalata in Git Repository. Uno sfruttamento riuscito di questa vulnerabilità potrebbe consentire una divulgazione non intenzionale di informazioni sull’account.
3. ↑ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – le http reader consentono al client e al server di trasmettere informazioni aggiuntive con una richiesta HTTP. Un aggressore può utilizzarne una vulnerabile per eseguire da remoto codice arbitrario sul computer della vittima.

I malware mobile più diffusi di ottobre

Anubis ha mantenuto il primo posto come malware mobile più diffuso, seguito da Hydra e Joker.

1. Anubis – un banking trojan progettato per Android. Da quando è stato rilevato, ha acquisito ulteriori funzioni, tra cui essere un trojan ad accesso remoto (RAT), keylogger, avere la capacità di registrazione audio e varie funzionalità ransomware. È stato rilevato in centinaia di app disponibili su Google Store.
2. Hydra – banking trojan progettato per rubare le credenziali finanziarie chiedendo alle vittime di abilitare permessi pericolosi.
3. Joker – un Android spyware presente su Google Play, progettato per rubare messaggi SMS, contatti e informazioni sul dispositivo. Inoltre, il malware può anche far iscrivere la vittima a servizi premium a pagamento senza che questa ne sia consapevole.

Il Global Threat Impact Index di Check Point e la sua ThreatCloud Map sono alimentati dalla ThreatCloud intelligence di Check Point. ThreatCloud fornisce in tempo reale informazioni sulle minacce derivate da centinaia di milioni di sensori in tutto il mondo, su reti, endpoint e cellulari. È arricchita da motori AI-based e da dati esclusivi di Check Point Research, il braccio di intelligence e ricerca di Check Point Software Technologies.

La lista completa delle 10 famiglie di malware più attive nel mese di ottobre è disponibile sul blog.