Il second-stage downloader è salito di 11 posti piazzandosi al nono posto, con un impatto globale cresciuto del 20%

Cybersicurezza e pericoli della rete: il sentiment degli italiani

Il Global Threat Index di dicembre di Check Point Software Technologies ha rivelato che SmokeLoader, un second-stage downloader noto ai ricercatori dal 2011, è salito di 11 posti piazzandosi al nono posto della Top 10. Dopo un’impennata in Ucraina e Giappone, il suo impatto globale è cresciuto del 20%, arrivando anche in Italia con una percentuale maggiore (1.91 vs 2.09). SmokeLoader viene utilizzato principalmente per caricare altri malware, come Trickbot Banker, AZORult Infostealer e Panda Banker.

Il cryptomining malware continua a guidare la classifica, con Coinhive che mantiene la prima posizione per il 13° mese di fila e con un impatto del 12% sulle organizzazioni mondiali; mentre in Italia continua a dominare con un impatto dell’8% sulle organizzazioni locali. XMRig è stato il secondo malware più diffuso con una portata globale dell’8%, seguito da vicino dal miner JSEcoin al terzo posto, con un impatto globale del 7%. Le organizzazioni continuano a essere bersaglio dei cryptominer, nonostante un calo complessivo del valore di tutte le criptovalute nel 2018.

Il report ha anche mostrato trojan bancari in aumento, come Ramnit, un trojan bancario che ruba le credenziali di login e altri dati sensibili, tornato nella Top 10 di questo mese e piazzatosi all’ottavo posto.

Maya Horowitz, Threat Intelligence and Research Group Manager di Check Point, ha commentato: “Il report di dicembre ha visto SmokeLoader apparire per la prima volta nella Top 10. La sua improvvisa impennata rafforza la crescente tendenza verso il malware malevolo e multiuso, con i primi 10 divisi equamente tra criptominer e malware che utilizzano diversi metodi per distribuire numerose minacce. La diversità dei malware presenti nel report, significa che è fondamentale che le imprese utilizzino una strategia di sicurezza informatica multi-livello, che protegga sia da malware già noti, sia da nuove minacce.”

I tre malware più diffusi a dicembre 2018 sono stati:

  1. Coinhive (stabile) – uno script di mining che utilizza la CPU degli utenti che visitano determinati siti web per minare la criptovaluta Monero. Il JavaScript installato utilizza una grande quantità di risorse computazionali delle macchine degli utenti finali per estrarre monete e potrebbe causare l’arresto anomalo del sistema.
  2. XMRig (in salita) – mining software open-source CPU utilizzato per il mining della valuta criptata Monero, e visto per la prima volta da maggio 2017.
  3. Jsecoin (in salita) – miner JavaScript che può essere integrato nei siti web. Con JSEcoin, è possibile eseguire il miner direttamente nel browser, in cambio di un’esperienza senza pubblicità, valuta del gioco e altri incentivi.

Triada, malware modulare per Android, ha mantenuto il suo primo posto tra i malware mobile. Guerilla si è piazzato al secondo posto, sostituendosi a Hiddad. Mentre, Lotoor ha rimpiazzato, al terzo posto, Lokibot, trojan bancario che colpisce i sistemi Android e che ruba informazioni.

I tre malware per dispositivi mobili più diffusi a dicembre 2018:

  1. Triada – malware modulare per Android che sferra l’attacco tramite una backdoor che concede privilegi amministrativi a malware scaricati. Triada può anche fare lo spoofing di URL caricati nel browser.
  2. Guerrila – ad-clicker per Android che ha la capacità di comunicare con un server remoto di comando e controllo (C&C), scaricare plug-in aggiuntivi malevoli ed eseguire ad-clicking aggressivi senza l’autorizzazione o la consapevolezza da parte dell’utente.
  3. Lotoor – tecnica di hackeraggio in grado di sfruttare le vulnerabilità dei sistemi Android con lo scopo di ottenere i permessi di root sui dispositivi mobile infettati.

I ricercatori di Check Point hanno anche analizzato le vulnerabilità informatiche più sfruttate. Al primo posto si è classificato CVE-2017-7269, il cui impatto globale è aumentato leggermente, al 49%, rispetto al 47% di novembre. Al secondo posto si è classificato OpenSSL TLS DTLS Heartbeat Information Disclosure, con un impatto globale del 42%, seguito da PHPMyAdmin Misconfiguration Code Injection con un impatto del 41%.

Le tre vulnerabilità più diffuse nel mese di dicembre sono state:

  1. Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269, stabile) – inviando una richiesta a una rete Microsoft Windows Server 2003 R2 tramite Microsoft Internet Information Services 6.0, un hacker potrebbe eseguire un codice arbitrario o causare una negazione delle condizioni del servizio sul server di destinazione. Ciò è dovuto principalmente a una vulnerabilità di overflow del buffer causata da una errata convalida di un header lungo nella richiesta HTTP.
  2. OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346, stabile) – in OpenSSL esiste una vulnerabilità che diffonde informazioni a causa di un errore durante la gestione dei pacchetti TLS/DTLS heartbeat. Un aggressore può sfruttare questa vulnerabilità per rivelare il contenuto della memoria di un client o server collegato.
  3. Web servers PHPMyAdmin Misconfiguration Code Injection (in salita) – la vulnerabilità di iniezione di codice è dovuta a un errore di configurazione di PHPMyAdmin. Un aggressore remoto può sfruttare questa vulnerabilità inviando una richiesta HTTP appositamente creata per il target da colpire.

La ThreatCloud Map e il Global Threat Impact Index di Check Point si avvalgono dell’intelligence ThreatCloudTM dell’azienda, la più grande rete che collabora contro i cybercriminali e fornisce dati sulle minacce e sull’andamento degli attacchi, attraverso una rete globale di sensori delle minacce. Il database di ThreatCloud contiene più di 250 milioni di indirizzi, che vengono analizzati per scoprire bot, più di 11 milioni di firme di malware e più di 5 milioni e cinquecentomila siti web infetti, e ogni giorno individua milioni di varianti di malware.