Dalla classifica mensile dei malware più diffusi a dicembre pubblicata da Check Point Research troviamo anche il ritorno della botnet Glupteba.

malware più diffusi a dicembre

Check Point Software Technologies, fornitore globale di soluzioni di sicurezza informatica, ha pubblicato il Global Threat Index di dicembre 2022. Il mese scorso, Glupteba, un’ambiziosa botnet trojan basata su blockchain, è rientrata nella top ten per la prima volta da luglio 2022, occupando l’ottavo posto. Qbot, un sofisticato trojan che ruba le credenziali bancarie e le sequenze di tasti, ha superato Emotet diventando il primo dei malware più diffusi a dicembre, con un impatto sul 7% delle organizzazioni in tutto il mondo. Qbot si è riconfermato anche in Italia, con il 9% di impatto sulle organizzazioni è il malware più diffuso a livello nazionale, seguito da BLINDINGCAN ed Emotet.

Sebbene a dicembre 2021, Google sia riuscito a interrompere le attività della botnet Glupteba, quest’ultima sembra essere tornata in azione. In quanto variante modulare del malware, Glupteba può sfruttare un computer infetto ed essere pericolosa in molteplici modi, anche se viene spesso utilizzata come downloader e dropper per altri malware. Ciò significa che essere colpiti da Glupteba potrebbe portare a un’infezione ransomware, a un data breach o ad altre tipologie di incidenti di sicurezza.

Glupteba è, inoltre, progettata per rubare le credenziali degli utenti e i cookie dei dispositivi infetti. Questi dati di autenticazione possono essere utilizzati per ottenere l’accesso agli account online degli utenti o ad altri sistemi, consentendo all’attaccante di rubare dati sensibili o di intraprendere altre azioni malevoli. Infine, il malware viene generalmente utilizzato per implementare funzioni di cryptomining sul suo bersaglio, sottraendo le risorse del computer e utilizzandole per estrarre blocchi.

Al terzo posto della classifica dei malware più diffusi a dicembre, per la prima volta nel 2022, troviamo anche Hiddad, minaccia informatica per dispositivi mobili. Hiddad è un malware che distribuisce pubblicità e che prende di mira i dispositivi Android. Riconfeziona le app legittime e poi le rende disponibili in uno store di terze parti. La sua funzione principale è quella di mostrare annunci pubblicitari, ma può anche ottenere l’accesso a dettagli importanti di sicurezza integrati nel sistema operativo.

“Il tema principale della nostra ultima ricerca è il modo in cui il malware spesso si maschera da software legittimo per consentire agli attaccanti di accedere ai dispositivi tramite backdoor senza destare sospetti. Per questo motivo, è fondamentale prestare attenzione quando si scaricano software e applicazioni o si cliccano link, indipendentemente da quanto sembrino autentici”, ha dichiarato Maya Horowitz, VP Research di Check Point Software.

Le tre vulnerabilità più sfruttate del mese di dicembre:

Qbot è il primo dei malware più diffusi a dicembre, con un impatto del 7% sulle organizzazioni mondiali, seguito da Emotet con un impatto globale del 4% e XMRig con il 3%.

  1. Qbot – noto anche come Qakbot, è un banking trojan apparso per la prima volta nel 2008, progettato per rubare le credenziali bancarie e le sequenze di tasti dell’utente. Spesso distribuito via e-mail spam, Qbot impiega diverse tecniche anti-VM, anti-debug e anti-sandbox per ostacolare l’analisi ed eludere la detection.
  2. Emotet – è un trojan avanzato, auto-propagante e modulare. Veniva sfruttato in precedenza come banking trojan, ora viene utilizzato come distributore di altri malware o per campagne malevoli. Utilizza più metodi per mantenere la persistenza e tecniche di evasione per evitare la detection. Inoltre, può diffondersi attraverso e-mail spam contenenti allegati o link dannosi.
  3. XMRig è un software di mining CPU open-source utilizzato per estrarre criptovaluta Monero. I cyber criminali spesso abusano di questo software open-source integrandolo nei loro malware per effettuare azioni illecite di mining sui dispositivi delle vittime.

I settori più attaccati dai malware più diffusi a dicembre a livello globale:

A dicembre, il settore istruzione/ricerca si è confermato al primo posto tra i settori più attaccati a livello globale, seguito da quello governativo/militare e da quello sanitario.

  1. Education/Research
  2. Government/Military
  3. Healthcare

In Italia:

  1. Education/Research
  2. Finance/Banking
  3. Government/Military

Le tre vulnerabilità più sfruttate del mese di dicembre:

A dicembre, “Web Server Exposed Git Repository Information Disclosure” è stata la vulnerabilità più sfruttata, con un impatto del 46% sulle organizzazioni a livello globale, seguita da “Web Servers Malicious URL Directory Traversal” con il 44% di impatto in tutto il mondo. “Command Injection Over HTTP” è stata la terza vulnerabilità più sfruttata con un impatto globale del 43%.

  1. Web Server Exposed Git Repository Information Disclosure – è una vulnerabilità di diffusione delle informazioni segnalata in Git Repository. Uno sfruttamento riuscito di questa vulnerabilità potrebbe consentire una divulgazione non intenzionale di informazioni sull’account.
  2. Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) esiste una vulnerabilità di directory traversal su diversi server web. La vulnerabilità è dovuta a un errore di convalida dell’input in un server web che non sanifica correttamente l’URL per pattern directory traversal. Uno sfruttamento riuscito permette agli attaccanti non autenticati di rivelare o accedere a file arbitrari sul server vulnerabile.
  3. Command Injection Over HTTP (CVE-2021-43936,CVE-2022-24086) – è stata segnalata una vulnerabilità di Command Injection su HTTP. Un hacker da remoto può sfruttare questo problema inviando una richiesta appositamente creata alla vittima. Uno sfruttamento riuscito consentirebbe a un attaccante di eseguire codice arbitrario sulla macchina target.

I malware mobile più diffusi a dicembre:

Anubis ha mantenuto il primo posto come malware mobile più diffuso, seguito da Hiddad e AlienBot.

  1. Anubis è un banking trojan progettato per Android. Da quando è stato rilevato, ha acquisito ulteriori funzioni, tra cui essere un trojan ad accesso remoto (RAT), keylogger, avere la capacità di registrazione audio, keylogger e varie funzionalità ransomware. È stato rilevato in centinaia di app disponibili su Google Store.
  2. Hiddad – è un malware Android che riconfeziona app legittime per inserirle in uno store di terze parti. La sua funzione principale è mostrare annunci pubblicitari, ma è anche in grado di scovare un accesso a informazioni di sicurezza fondamentali presenti nel sistema operativo, consentendo agli hacker di rubare dati sensibili.

AlienBot – è un banking trojan per Android, venduto clandestinamente come Malware-as-a-Service (MaaS). Supporta il keylogging, gli overlay dinamici per il furto di credenziali e la raccolta di SMS per bypassare l’autenticazione a due fattori. Ulteriori funzionalità di controllo remoto vengono fornite utilizzando un modulo TeamViewer.

Articoli correlatiAltro dello stesso autore