Top malware febbraio 2025: è ancora FakeUpdate

redazione

Check Point Software Technologies Ltd. (NASDAQ : CHKP), pioniere e leader globale nelle soluzioni di sicurezza informatica, ha pubblicato il suo Global Threat Index per il mese di febbraio 2025, evidenziando l’ascesa di AsyncRAT, un Trojan ad accesso remoto (RAT) che continua a evolversi come una seria minaccia nel panorama informatico.

ricercatori di sicurezza hanno osservato che AsyncRAT viene utilizzato in campagne sempre più sofisticate, sfruttando piattaforme come TryCloudflare e Dropbox per distribuire malware. Ciò riflette la crescente tendenza a sfruttare piattaforme legittime per aggirare le difese di sicurezza e garantire la persistenza nelle reti mirate. Gli attacchi iniziano tipicamente con e-mail di phishing contenenti URL di Dropbox, che portano a un processo di infezione in più fasi che coinvolge file LNK, JavaScript e BAT.

In Italia, anche a febbraio 2025 FakeUpdate continua ad essere la minaccia più presente, anche se con un impatto leggermente inferiore a quanto rilevato a gennaio. Diversi sono invece le minacce posizionatesi al secondo e al terzo posto, ovvero rispettivamente: AsyncRat e FormbookRemcos scende al quinto posto e Androxgh0st al quarto.

Nello specifico, la minaccia più importante risulta essere ancora FakeUpdates (downloader JavaScript in grado di scrivere i payload su disco prima di lanciarli, che ha portato a ulteriori attacchi tramite numerose altre minacce informatiche, tra cui GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult), con un impatto del 5,74%, (-0,69% rispetto a gennaio ma sempre superiore all’impatto rilevato a livello globale che è del 3,11%).La seconda minaccia nel nostro Paese risulta essere il malware AsyncRat (un Trojan ad accesso remoto (RAT) che colpisce i sistemi Windows ed è stato identificato per la prima volta nel 2019) con un impatto del 5,13% (+1,9% rispetto al dato globale). Al terzo posto nel mese di febbraio torna a farsi notare Formbook (Infostealer che colpisce il sistema operativo Windows ed è stato rilevato per la prima volta nel 2016), con un impatto del 4,15% +2,76% rispetto al rilevamento globale).

I criminali informatici sfruttano piattaforme legittime per distribuire malware ed evitare il rilevamento”. afferma Maya Horowitz, VP of Research di Check Point Software. “Le organizzazioni devono rimanere vigili e implementare misure di sicurezza proattive per mitigare i rischi di queste minacce in evoluzione”.

Famiglie di malware più diffuse

*Le frecce si riferiscono alla variazione di posizione rispetto al mese precedente.

FakeUpdates è stato il malware più diffuso a febbraio, seguito da Androxgh0st e Remcos, tutti con un impatto sul 3% delle organizzazioni in tutto il mondo.

  1. ↔ FakeUpdates (AKA SocGholish) continua a dominare, fornendo payload secondari attraverso download drive-by su siti web compromessi o malevoli. Questo malware è spesso collegato al gruppo di hacking russo Evil Corp e rimane una minaccia significativa per le organizzazioni di tutto il mondo.
  2. ↑ Androxgh0st, malware basato su Python che colpisce le applicazioni Laravel, è salito di livello. Esegue la scansione dei file .env esposti, spesso contenenti informazioni sensibili come le credenziali di accesso, che vengono poi esfiltrate. Una volta ottenuto l’accesso, è possibile distribuire ulteriore malware e sfruttare le risorse del cloud.
  3. ↔ Remcos, un trojan per l’accesso remoto (RAT), rimane uno dei principali ceppi di malware, spesso utilizzato nelle campagne di phishing. La sua capacità di aggirare i meccanismi di sicurezza, come il controllo dell’account utente (UAC), lo rende uno strumento versatile per i criminali informatici.
  4. ↑ AsyncRAT è un Trojan ad accesso remoto (RAT) che colpisce i sistemi Windows ed è stato identificato per la prima volta nel 2019. Esfiltra le informazioni di sistema verso un server di comando e controllo e può eseguire vari comandi, come scaricare plugin, terminare processi, catturare screenshot e aggiornarsi. Tipicamente distribuito attraverso campagne di phishing, AsyncRAT viene utilizzato per il furto di dati e la compromissione del sistema.
  5. ↑ AgentTesla è un RAT (Trojan ad accesso remoto) avanzato che funziona come keylogger e ruba password. Attivo dal 2014, AgentTesla è in grado di monitorare e raccogliere gli input della tastiera e gli appunti di sistema della vittima, registrare screenshot ed esfiltrare le credenziali inserito in una serie di software installati sul computer della vittima (tra cui Google Chrome, Mozilla Firefox e il client di posta elettronica Microsoft Outlook). AgentTesla è apertamente venduto come un RAT legittimo, con clienti che pagano 15 – 69 dollari per le licenze utente.         

Principali malware per dispositivi mobili

  1. ↔ Anubis, trojan bancario progettato per smartphone Android, continua a essere al primo posto tra le minacce informatiche per dispositivi mobili. Rimane un importante trojan bancario, in grado di aggirare l’autenticazione a più fattori (MFA), di eseguire keylogging e di svolgere funzioni di ransomware.
  2.  Necro è un Trojan Dropper per Android in grado di scaricare altri malware, mostrare annunci invadenti e rubare denaro attraverso l’addebito di abbonamenti a pagamento.
  3. ↓ AhMyth è un Remote Access Trojan (RAT) scoperto nel 2017 distribuito attraverso applicazioni Android presenti negli app store e su vari siti Web. Quando un utente installa una di queste app infette, il malware può raccogliere informazioni sensibili dal dispositivo ed eseguire azioni come il keylogging, registrare screenshot, inviare messaggi SMS e attivare la fotocamera, solitamente allo scopo di sottrarre informazioni riservate.

I settori più attaccati a livello globale

Per il settimo mese consecutivo, il settore dell’istruzione si è classificato come il più attaccato a livello globale. Al secondo posto sale il settore delle Telecomunicazioni e al terzo scende quello governativo.

  1. Istruzione
  2. Telecomunicazioni
  3. Governo

I gruppi di ransomware maggiormente rilevati

I dati dei “siti della vergogna” del ransomware rilevano che Clop è il gruppo ransomware più diffuso, responsabile del 35% degli attacchi pubblicati, seguito da RansomHub con l’11% e Akira con il 6%.

  1. Clop è un ceppo di ransomware, attivo dal 2019, che prende di mira tutti i settori a livello globale. Utilizza una “doppia estorsione”, minacciando di far trapelare i dati rubati a meno che non venga pagato un riscatto.
  2. RansomHub è un’operazione di Ransomware-as-a-Service (RaaS) che è emersa come versione ribrandizzata del ransomware Knight, precedentemente noto. Emerso all’inizio del 2024 nei forum clandestini di criminalità informatica, RansomHub ha rapidamente guadagnato notorietà per le sue campagne aggressive rivolte a vari sistemi, tra cui Windows, macOS, Linux e in particolare agli ambienti VMware ESXi. Questo malware è noto per l’impiego di sofisticati metodi di crittografia.
  3. Akira, gruppo di ransomware più recente, si concentra sui sistemi Windows e Linux. Il gruppo è stato collegato a campagne di phishing e a exploit negli endpoint VPN, il che lo rende una seria minaccia per le organizzazioni.

Il Global Threat Index del febbraio 2025 e ulteriori approfondimenti sono disponibili nel blog di Check Point.

ARTICOLI CORRELATIMORE FROM AUTHOR