Campagne spam per adescare la vittima e indurla a scaricare file dannosi col pretesto di fornire informazioni sulla pandemia

Torna Agent Tesla, ruba le password spacciandosi per l’OMS

Il Global Threat Index di Check Point Research relativo ad aprile 2020 mostra un forte incremento di campagne spam correlate all’emergenza COVID-19 create con lo scopo di distribuire una nuova variante del trojan di accesso remoto Agent Tesla (3° posto della classifica), con un impatto sul 3% delle aziende di tutto il mondo.

La nuova variante di Agent Tesla si è evoluta per rubare le password Wi-Fi e altre informazioni sensibili dai computer obiettivo dell’attacco, come ad esempio le credenziali e-mail di Outlook.

Nel corso del mese di aprile, Agent Tesla è stato diffuso sotto forma di allegato con diverse campagne spam legate al COVID-19, che mirano ad adescare la vittima per farle scaricare file dannosi col pretesto di fornire informazioni interessanti sulla pandemia. Una di queste campagne sembrava provenire direttamente dall’Organizzazione Mondiale della Sanità con l’oggetto: “LETTERA INFORMATIVA URGENTE: PRIMO TEST VACCINO COVID-19 UMANO / AGGIORNAMENTO DEI RISULTATI”. Era ovviamente un falso ma questo sottolinea come gli hacker sfruttino tutti gli avvenimenti globali e le preoccupazioni delle persone per aumentare il tasso di successo dei loro attacchi.

Dridex, il banking trojan che prende di mira la piattaforma Windows, sì è riconfermato essere il malware più pericoloso in Italia, mantenendosi al 12% di impatto sulle aziende anche nel mese di marzo. Un successo preoccupante soprattutto se confrontato con il dato mondiale, in cui lo stesso malware ha avuto un impatto “solo”del 4% delle aziende di tutto il mondo. Per la prima volta nella top10 a marzo, Dridex ha avuto un effetto ancora più grande ad aprile, salendo al 1° posto – dal 3° che ricopriva il mese scorso. Mentre XMRig, il malware più diffuso di marzo, è sceso al secondo posto.

“Le campagne malspam di Agent Tesla che abbiamo visto in aprile sottolineano quanto i criminali informatici possano essere agili quando si tratta di sfruttare gli eventi di cronaca e di ingannare le vittime ignare per fare clic su un link infetto, ha dichiarato Maya Horowitz, Director, Threat Intelligence & Research, Products at Check Point. Con Agent Tesla e Dridex sul podio del nostro Threat Index, notiamo come i criminali si stiano concentrando sul furto dei dati e delle credenziali personali e aziendali, in modo da poterli monetizzare. Quindi è essenziale che le organizzazioni adottino un approccio proattivo e dinamico alla formazione degli utenti, tenendo il loro personale informato sugli strumenti e le tecniche più recenti, soprattutto perché ora più personale lavora da casa.”

Il team di ricerca avverte anche che la vulnerabilità MVPower DVR Remote Code Execution è rimasta quella più sfruttata, e il suo impatto è aumentato fino a colpire il 46% delle organizzazioni a livello globale. Segue a breve distanza OpenSSL TLS DTLS Heartbeat Information Disclosure con un impatto globale del 41%, seguito a sua volta da Command Injection Over HTTP Payload con il 40%.

I tre malware più diffusi di aprile

Questo mese Dridex sale al 1° posto, con un impatto sul 4% delle aziende a livello globale, seguito da XMRig e Agent Tesla, con un impatto rispettivamente sul 4% e sul 3% delle organizzazioni in tutto il mondo.

  1. ↑ Dridex – banking trojan che prende di mira la piattaforma Windows, distribuito da campagne spam e kit di exploit, che si affidano a WebInjects per intercettare e reindirizzare le credenziali bancarie a un server controllato dagli aggressori. Dridex contatta un server remoto, invia informazioni sul sistema infetto e può anche scaricare ed eseguire moduli aggiuntivi per il controllo da remoto.
  2. ↓ XMRig – mining software open-source CPU utilizzato per il mining della valuta criptata Monero, e visto per la prima volta a maggio 2017.
  3. ↑ Agent Tesla – RAT avanzato che funziona come keylogger e ruba informazioni, in grado di monitorare e raccogliere l’input della tastiera della vittima, la tastiera del sistema, di scattare screenshot e di esfiltrare le credenziali a una serie di software installati sulla macchina della vittima (tra cui Google Chrome, Mozilla Firefox e il client di posta elettronica Microsoft Outlook).

Vulnerabilità più sfruttate del mese di aprile

Questo mese MVPower DVR Remote Code Execution è stata la vulnerabilità più diffusa, con un impatto sul 46% delle organizzazioni a livello globale, seguita da OpenSSL TLS DTLS Heartbeat Information Disclosure con un impatto globale sul 41%. Al terzo posto la vulnerabilità Command Injection Over HTTP Payload ha avuto un impatto sul 40% delle organizzazioni in tutto il mondo, riscontrata soprattutto negli attacchi che sfruttano una vulnerabilità zero day nei router e nei dispositivi di commutazione DrayTek (CVE-2020-8515).

  1. ↔ MVPower DVR Remote Code Execution – vulnerabilità di esecuzione del codice da remoto nei dispositivi MVPower DVR. Un malintenzionato può sfruttare questa falla da remoto per eseguire codice arbitrario nel router interessato tramite una richiesta creata appositamente.
  2. ↑ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – in OpenSSL esiste una vulnerabilità che diffonde informazioni a causa di un errore durante la gestione dei pacchetti TLS/DTLS heartbeat. Un aggressore può sfruttare questa vulnerabilità per rivelare il contenuto della memoria di un client o server collegato.
  3. ↑ Command Injection Over HTTP Payload – questo problema può essere sfruttato a distanza inviando alla vittima una richiesta appositamente elaborata. Uno sfruttamento riuscito consentirebbe di eseguire un codice arbitrario sulla macchina bersaglio.

I tre malware mobile più diffusi di aprile

Questo mese, xHelper mantiene il primo posto come malware mobile più diffuso, seguito da Lotoor e AndroidBauts.

  1. xHelper – un’applicazione Android dannosa, individuata a marzo 2019, utilizzata per scaricare altre app dannose e visualizzare pubblicità. È in grado di nascondersi dall’utente e dai programmi antivirus mobile, e si reinstalla se l’utente la disinstalla.
  2. Lotoor – tecnica di hackeraggio in grado di sfruttare le vulnerabilità dei sistemi Android con lo scopo di ottenere i permessi di root sui dispositivi mobile infettati.
  3. AndroidBauts – adware rivolto agli utenti Android che esfiltra le informazioni IMEI, IMSI, posizione GPS e altre informazioni sul dispositivo e consente l’installazione di applicazioni e scorciatoie di terze parti sui dispositivi mobile.

La ThreatCloud Map e il Global Threat Impact Index di Check Point si avvalgono dell’intelligence ThreatCloudTM dell’azienda, la più grande rete che collabora contro i cybercriminali e fornisce dati sulle minacce e sull’andamento degli attacchi, attraverso una rete globale di sensori delle minacce. Il database di ThreatCloud ispeziona oltre 2,5 miliardi di siti web e 500 milioni di file, e ogni giorno identifica più di 250 milioni di attività malware.

La lista completa delle 10 famiglie di malware più attive nel mese di aprile è disponibile sul blog di Check Point.