Malware più diffusi di gennaio: Emotet e Blindingcan preoccupano ancora

Check Point Research, la divisione Threat Intelligence di Check Point Software Technologies, fornitore di soluzioni per la sicurezza informatica a livello globale, ha pubblicato il suo ultimo Global Threat Index di gennaio 2022. I ricercatori riferiscono che Emotet ha rimpiazzato Trickbot al primo posto dopo un lungo dominio, colpendo quasi il 6% delle organizzazioni in tutto il mondo. Log4j è ancora la vulnerabilità più preoccupante, colpendo il 47,4% delle organizzazioni a livello globale. Mentre il settore più bersagliato dai malware più diffusi di gennaio continua ad essere quello dell’Istruzione/Ricerca.

Dopo solo due mesi e mezzo dal suo ritorno, Emotet ha riconquistato il primo posto della speciale classifica dei malware più diffusi di gennaio. La botnet viene normalmente distribuita tramite e-mail di phishing che contengono allegati o link dannosi. Grazie a Trickbot, che agisce come catalizzatore, il malware si è diffuso ancora di più a gennaio. Nel frattempo, Dridex è sparito dalla Top 10, sostituito da Lokibot, un infostealer che viene utilizzato per sottrarre le credenziali di posta elettronica, le password dei CryptoCoin wallet e i server FTP.

Anche in Italia, Emotet continua ad agire imperterrito con la stessa percentuale di impatto (6%) rispetto a tutto il mondo. Però BLINDINGCAN, si classifica al primo posto tra i malware più diffusi di gennaio che continuano a preoccupare le organizzazioni italiane – con un impatto del 9%, in aumento rispetto al mese precedente (8,5%). BLINDINGCAN è un trojan ad accesso remoto (RAT) che utilizza diverse tecniche per spacchettare ed eseguire una variante di Hidden Cobra RAT. È un pericolo per le sue funzioni integrate che gli consentono di eseguire operazioni da remoto per prendere il controllo del sistema della vittima.

“Non sorprende che Emotet sia tornata col botto. Si tratta di un malware furtivo, che lo rende difficile da rilevare, mentre il fatto che utilizzi più metodi per infettare le reti non fa che aumentare ulteriormente la sua ascesa. Difficilmente sarà un problema di breve durata. Nel mese scorso abbiamo anche visto Dridex sparire dalla nostra Top 10 e il ritorno di Lokibot, il quale approfitta delle vittime quando sono più impegnate, essendo distribuito attraverso e-mail di phishing ben mascherate. Queste minacce, insieme a quella in corso legata alla vulnerabilità Log4j, sottolineano l’importanza di avere la migliore security per le reti, il cloud, il mobile e gli user endpoint”, ha detto Maya Horowitz, VP Research di Check Point Software.

I tre malware più diffusi di gennaio

Questo mese, Emotet occupa il primo posto dei malware più diffusi di gennaio, con un impatto sul 6% delle organizzazioni a livello globale, seguito da Trickbot con un impatto del 4% e Formbook con il 3%.

1. Emotet: trojan avanzato, auto-propagante e modulare. Una volta usato come banking trojan, ora viene utilizzato come distributore di altri malware o campagne dannose. Utilizza più metodi per mantenere la propria forza e tecniche di evasione per evitare la detection. Inoltre, può diffondersi attraverso e-mail spam contenenti allegati o link dannosi.
2. Trickbot: botnet modulare e banking trojan che viene costantemente aggiornato con nuove capacità, caratteristiche e vettori di distribuzione. Questo gli permette di essere un malware flessibile e personalizzabile che può essere distribuito come parte di campagne multiuso.
3. Formbook: infostealer che raccoglie credenziali da vari browser web, raccoglie screenshot, monitora e registra le sequenze di tasti e può scaricare ed eseguire file secondo i suoi ordini C&C.

I settori più attaccati a livello globale dai malware più diffusi di gennaio: 

1. Istruzione/Ricerca
2. Governo/Militare
3. ISP/MSP 

Le tre vulnerabilità più sfruttate dai malware più diffusi di gennaio:

“Apache Log4j Remote Code Execution” è la vulnerabilità più sfruttata, con un impatto del 47,4% sulle organizzazioni a livello globale, seguita da “Web Server Exposed Git Repository Information Disclosure” con il 45%. “HTTP Headers Remote Code Execution” rimane al terzo posto con il 42%.

1. Apache Log4j Remote Code Execution (CVE-2021-44228): vulnerabilità di esecuzione di codice remoto esistente in Apache Log4j. Uno sfruttamento a buon fine potrebbe permettere ad un hacker di eseguire codice arbitrario sul sistema interessato.
2. Web Server Exposed Git Repository Information Disclosure: vulnerabilità di diffusione delle informazioni segnalata in Git Repository. Uno sfruttamento riuscito di questa vulnerabilità potrebbe consentire una divulgazione non intenzionale di informazioni sull’account.
3. HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756): consente al client e al server di passare informazioni aggiuntive con una richiesta HTTP. Un aggressore remoto può utilizzare un header HTTP vulnerabile per eseguire codice arbitrario sulla macchina della vittima.

I tre malware mobile più diffusi di gennaio

xHelper prende il primo posto tra i malware mobile più diffusi di gennaio, seguito da AlienBot e FluBot.

1. xHelper: applicazione Android dannosa, individuata a marzo 2019, utilizzata per scaricare altre app dannose e visualizzare pubblicità. È in grado di nascondersi dall’utente e dai programmi antivirus mobile, e si reinstalla se l’utente la disinstalla.
2. AlienBot: questa famiglia di malware è un Malware-as-a-Service (MaaS) per dispositivi Android che permette a un aggressore remoto di iniettare un codice dannoso in applicazioni finanziarie regolari. L’aggressore ottiene l’accesso ai conti delle vittime e il controllo del loro dispositivo.
3. FluBot: malware botnet Android distribuito tramite SMS phishing, il più delle volte spacciandosi per brand del mondo delivery. Una volta che l’utente clicca sul link all’interno del messaggio, FluBot viene installato e ottiene l’accesso a tutte le informazioni sensibili sul telefono.