Gli esperti prevedono una grande crescita di questa minaccia che colpisce i server Linux

Trojan bancari prendono di mira Italia e Giappone

Secondo il Global Threat Index di Check Point Software Technologies, nel mese di gennaio 2019 è stata rilevata la presenza di un nuovo Trojan backdoor che interessa i server Linux, in grado di distribuire il crypto-miner XMRig. Il nuovo malware, chiamato SpeakUp, è in grado di recapitare un qualsiasi payload e di eseguirlo sui dispositivi compromessi. Per il momento in Italia l’impatto è minore, ma solamente di due punti percentuale (5.68 contro i 7.68 mondiali).

Attualmente, il nuovo Trojan elude tutti i software antivirus dei fornitori di sicurezza. È stato diffuso attraverso una serie di utilizzi basati sui comandi ricevuti dal suo centro di controllo, compresa “Command Injection over HTTP”, l’ottava vulnerabilità più popolare. I ricercatori di Check Point considerano Speakup una minaccia significativa, in quanto può essere utilizzato per scaricare e diffondere qualsiasi malware.

Nel mese di gennaio, le 3 varianti di malware più diffuse erano i cryptominer. Coinhive rimane il principale malware, avendo colpito il 12% delle organizzazioni in tutto il mondo. XMRig è stato ancora una volta il secondo malware più diffuso, con un impatto globale dell’8%, seguito dal miner Cryptoloot con un impatto del 6%. A gennaio persistono questi tre cryptominer, ma la metà di tutti i moduli malware nella top10 può essere utilizzata per scaricare altri malware sui dispositivi infetti. L’Italia, che negli ultimi 6 mesi si conferma essere oltre la 100esima posizione, riflette la situazione mondiale confermando la top3.

“Nel mese di gennaio ci sono stati pochi cambiamenti tra i malware più diffusi, ma stiamo cominciando a vedere nuovi modi di distribuzione dei malware stessi. Minacce come queste rappresentano un avvertimento perché fanno capire che quelle più grandi stanno arrivando”, ha commentato Maya Horowitz, Threat Intelligence Group Manager di Check Point. “Le backdoor come Speakup possono eludere il rilevamento e poi distribuire ulteriore malware potenzialmente più pericoloso ai dispositivi compromessi. Dal momento che Linux è ampiamente utilizzato nei server aziendali, ci aspettiamo una grande crescita di Speakup nel corso dell’anno, così come la gravità dei suoi attacchi.”

I tre malware più diffusi a gennaio 2019 sono stati:

  1. Coinhive (stabile) – uno script di mining che utilizza la CPU degli utenti che visitano determinati siti web per minare la criptovaluta Monero. Il JavaScript installato utilizza una grande quantità di risorse computazionali delle macchine degli utenti finali per estrarre monete e potrebbe causare l’arresto anomalo del sistema.
  2. XMRig (stabile) – mining software open-source CPU utilizzato per il mining della valuta criptata Monero, e visto per la prima volta da maggio 2017.
  3. Cryptoloot (in crescita) – malware che utilizza la potenza della CPU o della GPU della vittima e le risorse esistenti per il mining di criptovalute aggiungendo transazioni alla blockchain e rilasciando nuova valuta. Competitor di Coinhive, Cryptoloot cerca di accaparrarsi più vittime chiedendo ai siti una percentuale minore in termini di profitti.

Dal report mensile di Check Point, Hiddad ha rimpiazzato Triada al primo posto tra i top mobile malware. Lotoor lo segue al secondo posto mentre Triada ha perso una posizione, classificandosi terzo.

I tre malware per dispositivi mobili più diffusi a gennaio 2019:

  1. Hiddad – malware Android che riconfeziona app legali e poi le consegna a uno store di terze parti. La sua funzione principale è visualizzare annunci, ma è anche in grado di accedere ai dati chiave di sicurezza, integrati nel sistema operativo, consentendo all’aggressore di ottenere dati sensibili dell’utente.
  2. Lotoor – tecnica di hackeraggio in grado di sfruttare le vulnerabilità dei sistemi Android con lo scopo di ottenere i permessi di root sui dispositivi mobile infettati.
  3. Triada – malware modulare per Android che sferra l’attacco tramite una backdoor che concede privilegi amministrativi a malware scaricati. Triada può anche fare lo spoofing di URL caricati nel browser.

I ricercatori di Check Point hanno anche analizzato le vulnerabilità informatiche più sfruttate: CVE-2017-7269 è rimasto al primo posto con un impatto globale del 47%. Molto vicini, si sono classificati Web Server Exposed Git Repository Information Disclosure e OpenSSL TLS DTLS Heartbeat Information Disclosure rispettivamente secondo e terzo, con un impatto del 46% e del 45% sulle organizzazioni di tutto il mondo.

Le tre vulnerabilità più diffuse nel mese di gennaio sono state:

  1. Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269, stabile) – inviando una richiesta a una rete Microsoft Windows Server 2003 R2 tramite Microsoft Internet Information Services 6.0, un hacker potrebbe eseguire un codice arbitrario o causare una negazione delle condizioni del servizio sul server di destinazione. Ciò è dovuto principalmente a una vulnerabilità di overflow del buffer causata da una errata convalida di un header lungo nella richiesta HTTP.
  2. Web Server Exposed Git Repository Information Disclosure (in crescita) – In Git Repository è stata segnalata una vulnerabilità riguardante la divulgazione di informazioni. Lo sfruttamento di questa vulnerabilità potrebbe consentire una diffusione involontaria delle informazioni di un account.
  3. OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346, in calo) – in OpenSSL esiste una vulnerabilità che diffonde informazioni a causa di un errore durante la gestione dei pacchetti TLS/DTLS heartbeat. Un aggressore può sfruttare questa vulnerabilità per rivelare il contenuto della memoria di un client o server collegato.

La ThreatCloud Map e il Global Threat Impact Index di Check Point si avvalgono dell’intelligence ThreatCloudTM dell’azienda, la più grande rete che collabora contro i cybercriminali e fornisce dati sulle minacce e sull’andamento degli attacchi, attraverso una rete globale di sensori delle minacce. Il database di ThreatCloud contiene più di 250 milioni di indirizzi, che vengono analizzati per scoprire bot, più di 11 milioni di firme di malware e più di 5 milioni e cinquecentomila siti web infetti, e ogni giorno individua milioni di varianti di malware.