Check Point Research, la divisione Threat Intelligence di Check Point® Software Technologies Ltd. ha pubblicato il suo recente Global Threat Index per il mese di maggio 2020. I ricercatori hanno evidenziato i malware più diffusi scovato diverse campagne spam dannose che distribuiscono il trojan banking Ursnif, che lo hanno portato al 5° posto della lista dei “Top Malware”, scalandone 19 e raddoppiando il suo impatto sulle organizzazioni di tutto il mondo. In Italia, Ursnif ha dominato il panorama delle minacce nel mese di maggio, piazzandosi al primo posto con un impatto di oltre il 14% sulle organizzazioni – mentre nel mondo l’impatto è stato meno del 2%.
Il trojan banking Ursnif prende di mira i PC Windows ed è in grado di rubare informazioni finanziarie vitali, credenziali di posta elettronica e altri dati sensibili. Il malware viene consegnato attraverso campagne spam con allegati Word o Excel. La nuova ondata di attacchi del trojan Ursnif – che l’ha visto entrare per la prima volta nella top10 – coincide la scomparsa di una delle sue popolari varianti, Dreambot. Dreambot è stato individuato per la prima volta nel 2014 e si basa sul codice sorgente filtrato da Ursnif. Come riportato dal marzo 2020, il server backend di Dreambot ha smesso di funzionare, e nessun altro caso è stato più visto.
Nel frattempo, il noto trojan banking Dridex, entrato per la prima volta nella top10 dei malware nel mese di marzo, ha continuato ad avere un impatto significativo per tutto il mese di maggio, rimanendo al 1° posto per il secondo mese consecutivo. Mentre le famiglie di malware mobile più diffuse sono cambiate completamente, con un malware per Android che genera ricavi fraudolenti dai clic sugli annunci mobile – a dimostrazione di come i criminali stiano cercando di monetizzare gli attacchi contro i dispositivi mobile.
“Con Dridex, Agent Tesla e Ursnif, tutti nella top5 di maggio, è chiaro che i cyber criminali si stanno concentrando sull’uso di malware che permette loro di monetizzare i dati e le credenziali delle loro vittime”, ha dichiarato Maya Horowitz, Director, Threat Intelligence & Research, Products di Check Point. “Mentre gli attacchi legati a COVID-19 sono diminuiti, abbiamo visto un aumento del 16% degli attacchi informatici complessivi a maggio rispetto a marzo e aprile. Quindi, le organizzazioni devono rimanere vigili utilizzando determinati strumenti e tecniche, soprattutto con il passaggio in massa al lavoro a distanza, di cui gli aggressori stanno approfittando.”
I tre malware più diffusi di maggio sono stati:
Dridex rimane al 1° posto, con un impatto sul 4% delle organizzazioni a livello globale, seguito da Agent Tesla e da XMRig, entrambi con un impatto sul 3% delle organizzazioni in tutto il mondo.
-
↔ Dridex – trojan banking che prende di mira la piattaforma Windows, distribuito da campagne spam e kit di exploit, che si affidano a WebInjects per intercettare e reindirizzare le credenziali bancarie a un server controllato dagli aggressori. Dridex contatta un server remoto, invia informazioni sul sistema infetto e può anche scaricare ed eseguire moduli aggiuntivi per il controllo da remoto.
-
↑ Agent Tesla – RAT avanzato che funziona come keylogger e ruba informazioni, in grado di monitorare e raccogliere l’input della tastiera della vittima, la tastiera del sistema, di scattare screenshot e di esfiltrare le credenziali a una serie di software installati sulla macchina della vittima (tra cui Google Chrome, Mozilla Firefox e il client di posta elettronica Microsoft Outlook).
-
↓ XMRig – mining software open-source CPU utilizzato per il mining della valuta criptata Monero, e visto per la prima volta a maggio 2017.
Vulnerabilità più sfruttate del mese di maggio:
*La freccia si riferisce al cambio di posizione rispetto alla classifica del mese precedente
Questo mese MVPower DVR Remote Code Execution è ancora al 1° posto, con un impatto sul 45% delle organizzazioni a livello globale. La seconda vulnerabilità più sfruttata è OpenSSL TLS DTLS Heartbeat Information Disclosure, seguita da Web Server Exposed Git Repository Information Disclosure, con un impatto rispettivamente del 40% e del 39% delle organizzazioni.
- ↔ MVPower DVR Remote Code Execution – vulnerabilità di esecuzione del codice da remoto nei dispositivi MVPower DVR. Un malintenzionato può sfruttare questa falla da remoto per eseguire codice arbitrario nel router interessato tramite una richiesta creata appositamente.
- ↑ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – in OpenSSL esiste una vulnerabilità che diffonde informazioni a causa di un errore durante la gestione dei pacchetti TLS/DTLS heartbeat. Un aggressore può sfruttare questa vulnerabilità per rivelare il contenuto della memoria di un client o server collegato.
- ↑ Web Server Exposed Git Repository Information Disclosure – in Git Repository è stata segnalata una vulnerabilità riguardante la divulgazione di informazioni. Lo sfruttamento di questa vulnerabilità potrebbe consentire una diffusione involontaria delle informazioni di un account.
I tre malware mobile più diffusi di maggio:
Questo mese le prime tre famiglie di malware sono completamente cambiate, con PreAmo al 1° posto come malware mobile più diffuso, seguito da Necro e Hiddad.
- PreAmo – malware Android che riproduce l’utente cliccando sui banner recuperati da tre agenzie pubblicitarie: Presage, Admob e Mopub.
- Necro – trojan dropper Android che può scaricare altri malware, mostrando annunci intrusivi e rubando denaro addebitando degli abbonamenti.
- Hiddad – malware Android che riconfeziona app legali e poi le consegna a uno store di terze parti. La sua funzione principale è visualizzare annunci, ma è anche in grado di accedere ai dati chiave di sicurezza, integrati nel sistema operativo, consentendo all’aggressore di ottenere dati sensibili dell’utente.
