Il Report McAfee Labs sulle minacce: settembre 2018 – che prende in esame crescita e tendenze di nuovi malware, ransomware e altre minacce informatiche – ha rilevato un’impennata della crescita dei malware per il cryptomining, iniziata nel quarto trimestre del 2017 e proseguita fino alla prima metà del 2018. Dai rilievi effettuati dai ricercatori emerge anche il continuo adattamento del tipo di exploit di vulnerabilità del malware utilizzato nelle epidemie di WannaCry e NotPetya del 2017.
Anche se meno comune del ransomware, il malware cryptomining è emerso rapidamente come elemento importante nel panorama delle minacce. Dopo essere cresciuti di circa 400.000 unità nel quarto trimestre 2017, i nuovi campioni di malware criptomining sono aumentati di un sorprendente 629%, assestandosi a oltre 2,9 milioni di campioni nel primo trimestre del 2018. Questa tendenza è proseguita nel secondo trimestre, con una crescita dell’86% dei campioni totali, pari a oltre 2,5 milioni di nuovi campioni. McAfee Labs ha identificato quelli che sembrano essere malware più vecchi, come i ransomware appena riattrezzati con capacità di estrazione mineraria.
In alcuni casi, il mining delle criptovalute prende di mira gruppi specifici invece che indirizzarsi a grandi numeri di potenziali vittime. Un ceppo di malware cryptomining ha preso di mira i giocatori su un forum russo ponendosi come una “mod” in grado di migliorare alcuni giochi popolari. I giocatori sono stati indotti a scaricare il software dannoso, che ha continuato a utilizzare le risorse del loro computer a scopo di lucro.
Anche se il minning di criptovalute si rivolge principalmente ai PC, sono stati presi di mira anche altri tipi di dispositivi. Ad esempio, gli smartphone Android in Cina e Corea sono stati oggetto del malware ADB.Miner per produrre criptovalute Monero.
“Qualche anno fa, non avremmo mai pensato di annoverare router internet, dispositivi di videoregistrazione e altri dispositivi Internet of Things tra le piattaforme per mining di criptovalute, perché la velocità della loro CPU era troppo bassa per supportare tale produttività”, ha commentato Christiaan Beek, Lead Scientist e Senior Principal Engineer di McAfee Advanced Threat Research. “Oggi, l’enorme numero di tali dispositivi online e la loro propensione per le password deboli ne fanno una piattaforma molto interessante per questa attività. Se fossi un criminale informatico che possiede una botnet di 100.000 dispositivi IoT, non mi costerebbe quasi nulla dal punto di vista finanziario produrre abbastanza valuta criptata per creare un nuovo e redditizio flusso di entrate.”
Malware che sfrutta le vulnerabilità
Un anno dopo gli attacchi WannaCry e NotPetya, nuovi campioni di malware specificamente progettati per sfruttare le vulnerabilità dei software sono aumentati del 151% nel secondo trimestre del 2012. McAfee ha visto gli exploit di queste due minacce di alto profilo riallocate all’interno di nuovi ceppi di malware, e gli exploit di vulnerabilità scoperti di recente sono stati adattati in modo simile per produrre minacce completamente nuove.
“WannaCry e NotPetya hanno fornito ai criminali informatici esempi convincenti di come il malware possa sfruttare le vulnerabilità per attaccare i sistemi e propagarsi rapidamente attraverso le reti”, ha aggiunto Beek. “È ancora sorprendente vedere numerose vulnerabilità risalenti al 2014 utilizzate con successo per lanciare attacchi, anche quando le patch sono disponibili da mesi o anni per bloccare gli exploit. Questa è una prova scoraggiante del fatto che gli utenti e le aziende devono ancora migliorare il lavoro di correzione delle vulnerabilità quando le patch sono disponibili.”
Vulnerabilità di Cortana su Windows 10
McAfee Labs e il team di Advanced Threat Research hanno scoperto una vulnerabilità nell’assistente vocale Cortana in Microsoft Windows 10. Il difetto, per il quale Microsoft ha rilasciato una patch a giugno, avrebbe potuto permettere agli aggressori di eseguire il codice dallo schermo bloccato di una macchina Windows 10 cui erano state applicate le patch (RS3 e RS4 prima della patch di giugno). McAfee ha individuato tre vettori di ricerca che sono stati combinati da Microsoft e che insieme rappresentano la vulnerabilità CVE-2018-8140. McAfee ha reso nota la vulnerabilità a Microsoft in aprile, facendo seguito al proprio impegno di divulgazione responsabile.
Applicazioni mobile dannose su Google Play
Il team di McAfee Mobile Research ha rilevato una nuova campagna di sottoscrizioni a servizi premium a pagamento tramite false fatturazioni, in almeno 15 applicazioni su Google Play. La nuova campagna ha dimostrato che i criminali informatici continuano a trovare nuovi modi per rubare denaro alle vittime utilizzando applicazioni su store ufficiali come Google Play. Gli attori di questa campagna, l’AsiaHitGroup Gang, sono attivi almeno dalla fine del 2016, con la distribuzione delle applicazioni fake-installer Sonvpay.A, che aveva colpito almeno 20.000 vittime provenienti principalmente dalla Thailandia e dalla Malesia tramite il download di copie di app popolari. Un anno dopo, nel novembre 2017, la campagna Sonypay.B è stata scoperta su Google Play. Sonvpay.B ha utilizzato la geolocalizzazione degli indirizzi IP per confermare il paese della vittima e ha aggiunto vittime russe per aumentare il proprio potenziale di rubare denaro a utenti inconsapevoli (ulteriori informazioni).
Minacce alla sicurezza blockchain
McAfee Advanced Threat Research ha identificato le principali minacce alla sicurezza per gli utenti e gli sviluppatori di tecnologie blockchain. L’analisi dei ricercatori ha rilevato che il phishing, il malware e le vulnerabilità sono i principali vettori di attacco.
Dati sull’andamento delle minacce nel secondo trimestre 2018
Nel secondo trimestre del 2018, McAfee Labs ha rilevato cinque nuove minacce al secondo, tra cui nuove minacce che lasciano presagire notevoli sviluppi tecnici che sono andati a migliorare le ultime tecnologie e le tattiche di successo per superare le difese e raggiungere gli obiettivi.
- Ransomware. Il numero totale di campioni di ransomware continua a crescere, con un aumento del 57% negli ultimi quattro trimestri. Anche se la comparsa di nuove famiglie di ransomware è rallentata negli ultimi trimestri, McAfee ha osservato anche famiglie di ransomware consolidate generare nuove varianti. Ad esempio, McAfee ha rilevato una dozzina di nuove varianti della famiglia di ransomware Scarab apparire nel solo secondo trimestre. Questi nuovi arrivati rappresentano oltre il 50% del numero totale delle varianti Scarab conosciute identificate dalla comparsa della famiglia nella metà del 2017.
- Malware JavaScript. Un aumento del 204% di nuovi campioni suggerisce che gli hacker siano passati a una nuova generazione di malware JavaScript. Dopo un calo significativo negli ultimi tre trimestri, il codice JavaScript dannoso ha rappresentato più di 7 milioni di nuovi campioni, una cifra record rispetto ai circa 2 milioni del primo trimestre.
- Malware mobile. I nuovi campioni di malware per dispositivi mobili sono aumentati del 27% nel secondo trimestre e si tratta del secondo trimestre consecutivo di crescita. I clienti McAfee in Sud America hanno registrato il più alto tasso di infezione, pari al 14%. Il malware mobile totale è cresciuto del 42% negli ultimi quattro trimestri.
- Malware LNK. Mentre PowerShell è stato attivo tra gli sviluppatori di malware fileless negli ultimi trimestri, i nuovi campioni hanno rallentato la crescita del 15%. Il nuovo malware LNK continua a crescere, dato che i criminali informatici utilizzano sempre più spesso scorciatoie .lnk per fornire in modo illegittimo script PowerShell dannosi e altro malware. I campioni totali della categoria sono aumentati del 489% negli ultimi quattro trimestri.
- Bot net di spam. La rete bot di spam Gamut ha superato tutte le altre nel secondo trimestre. In particolare, ha diffuso grandi volumi di truffe phishing della “Canada Revenue Agency”. Notevoli campagne recenti sono state collegate a false offerte di lavoro che sono comunemente usate come tattica di reclutamento “money mule”.
