Nel mese scorso, Snake Keylogger è balzato all’ottavo posto dopo una lunga assenza dall’indice.

Snake Keylogger

Check Point Research (CPR), la divisione di Threat Intelligence di Check Point® Software Technologies Ltd. (NASDAQ: CHKP), il principale fornitore di soluzioni di cybersecurity a livello globale, ha pubblicato il suo ultimo Global Threat Index per il mese di maggio, riferendo che Emotet è ancora malware il più diffuso per via del suo utilizzo in molteplici campagne su larga scala. Nel mese scorso, Snake Keylogger è balzato all’ottavo posto dopo una lunga assenza dall’indice. La funzionalità principale di Snake consiste nel registrare i tasti premuti dagli utenti, condividendo i dati raccolti agli aggressori.

Snake Keylogger viene solitamente diffuso tramite e-mail che includono allegati .docx o .xlsx con macro dannose, tuttavia a maggio i ricercatori hanno segnalato che SnakeKey Logger è stato diffuso tramite file PDF. Ciò potrebbe essere dovuto in parte al fatto che Microsoft blocchi di default le macro Internet in Office, il che significa che i criminali informatici sono dovuti diventare più creativi, cercando nuovi tipi di file come i PDF. Questo raro modo di diffondere il malware si sta rivelando piuttosto efficace, poiché alcune persone percepiscono i PDF come file più sicuri rispetto ad altre tipologie.

“Come è emerso chiaramente dalle recenti campagne di Snake Keylogger, tutto ciò che facciamo online può essere nel mirino di un cyberattacco, e l’apertura di un semplice documento PDF non fa eccezione”, ha dichiarato Maya Horowitz, VP Research di Check Point Software. “I virus e i codici eseguibili malevoli possono nascondersi nei contenuti multimediali e nei link, mentre l’attacco malware, in questo caso Snake Keylogger, è pronto a colpire una volta che l’utente apre il PDF. Pertanto, proprio come si mette in dubbio la legittimità di un allegato di posta elettronica .docx o .xlsx, è necessario usare la stessa cautela anche con i PDF. Nel panorama odierno, non è mai stato così importante per le organizzazioni disporre di una solida soluzione di e-mail security che isoli e ispezioni gli allegati, impedendo in primo luogo l’ingresso di file dannosi nella rete.”

Emotet, invece, sta colpendo l’8% delle organizzazioni in tutto il mondo, con un leggero aumento rispetto al mese precedente. È un malware agile e redditizio grazie alla sua capacità di non essere individuato. La sua persistenza lo rende inoltre difficile da rimuovere una volta che il dispositivo è stato infettato, rendendolo uno strumento perfetto nell’arsenale di un criminale informatico. Originariamente, un banking trojan viene spesso distribuito tramite e-mail phishing ed è in grado di distribuire altri malware, aumentando la sua capacità di causare danni su larga scala.

I tre malware più diffusi di maggio sono stati:

*Le frecce si riferiscono alla variazione di posizione rispetto al mese precedente

Questo mese Emotet è ancora il malware più diffuso, con un impatto del 8% sulle organizzazioni in tutto il mondo, seguito da Formbook da AgentTesla con un impatto del 2%.

  1. ↔ Emotet – un trojan avanzato, auto-propagante e modulare. Una volta usato come banking trojan, ora viene utilizzato come distributore di altri malware o campagne dannose. Utilizza più metodi per mantenere la propria forza e tecniche di evasione per evitare la detection. Inoltre, può diffondersi attraverso e-mail spam contenenti allegati o link dannosi.
  2. Formbook – RAT avanzato che funziona come keylogger e ruba informazioni, in grado di monitorare e raccogliere l’input della tastiera della vittima, la tastiera del sistema, di scattare screenshot e di esfiltrare le credenziali a una serie di software installati sulla macchina della vittima (tra cui Google Chrome, Mozilla Firefox e il client di posta elettronica Microsoft Outlook).
  3. Agent Tesla un RAT avanzato che funziona come un keylogger che ruba informazioni ed è in grado di monitorare e raccogliere l’input della tastiera della vittima e la tastiera del sistema, prendendo screenshot, ed esfiltrando le credenziali a una varietà di software installati sulla macchina della vittima (tra cui Google Chrome, Mozilla Firefox e Microsoft Outlook).

I settori più attaccati a livello globale per il mese di maggio:

  1. Istruzione/Ricerca
  2. Governo/Militare
  3. ISP/MSP

In Italia:

  1. Istruzione/Ricerca
  2. Software vendor
  3. Governo/Militare 

Le tre vulnerabilità più sfruttate del mese di maggio:

*Le frecce si riferiscono al cambio di classifica rispetto al mese precedente

Questo mese, “Web Servers Malicious URL Directory Traversal” è la vulnerabilità più sfruttata, con un impatto del 46% sulle organizzazioni a livello globale, seguita da vicino da “Apache Log4j Remote Code Execution” con un impatto globale del 46%. “Web Server Exposed Git Repository Information Disclosure” è ora al terzo posto con il 45%.

  1. ↑ Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) – vulnerabilità dovuta a un errore di convalida dell’input in un server web che non sanifica correttamente l’URL per pattern directory traversal. Uno sfruttamento riuscito permette agli aggressori non autenticati di rivelare o accedere a file arbitrari sul server vulnerabile.
  2. Apache Log4j Remote Code Execution (CVE-2021-44228) una vulnerabilità di esecuzione di codice remoto esistente in Apache Log4j. Uno sfruttamento a buon fine potrebbe permettere ad un hacker di eseguire codice arbitrario sul sistema interessato
  3. ↑ Web Server Exposed Git Repository Information Disclosure una vulnerabilità di diffusione delle informazioni segnalata in Git Repository. Uno sfruttamento riuscito di questa vulnerabilità potrebbe consentire una divulgazione non intenzionale di informazioni sull’account.

I malware mobile più diffusi di maggio:

Questo mese AlienBot è il malware mobile più diffuso, seguito da FluBot e xHelper.

  1. AlienBot questa famiglia di malware è un Malware-as-a-Service (MaaS) per dispositivi Android che permette a un aggressore remoto di iniettare un codice dannoso in applicazioni finanziarie regolari. L’aggressore ottiene l’accesso ai conti delle vittime e il controllo del loro dispositivo.
  2. FluBot un malware Android distribuito tramite Smishing (SMS di phishing), il più delle volte spacciandosi per delivery brand. Una volta che l’utente clicca sul link all’interno del messaggio, viene reindirizzato al download di una falsa app contenente FluBot. Una volta installato, il malware può raccogliere credenziali e supportare l’operazione di Smishing stessa, compreso il caricamento di contatti, l’invio di SMS ad altri numeri di telefono.
  3. xHelper – un’applicazione Android dannosa, individuata a marzo 2019, utilizzata per scaricare altre app dannose e visualizzare pubblicità. È in grado di nascondersi dall’utente e dai programmi antivirus mobile, e si reinstalla se l’utente la disinstalla.

l Global Threat Impact Index di Check Point e la sua mappa ThreatCloud sono alimentati dall’intelligence ThreatCloud di Check Point. ThreatCloud fornisce in tempo reale informazioni sulle minacce derivate da centinaia di milioni di sensori in tutto il mondo, su reti, endpoint e cellulari. L’intelligence è arricchita da motori basati sull’AI e da dati di ricerca esclusivi di Check Point Research, il braccio di intelligence e ricerca di Check Point Software Technologies.

La lista completa delle 10 famiglie di malware più attive nel mese di maggio è disponibile sul blog.

 

Articoli correlatiAltro dello stesso autore