L’Italia è ancora minacciata dal trojan Blindingcan, mentre Formbook raggiunge il primo posto del Global Threat Index di agosto di Check Point Software.

Global Threat Index

Check Point Research (CPR), la divisione Threat Intelligence di Check Point Software Technologies, fornitore di soluzioni di cybersecurity a livello globale, ha pubblicato il suo ultimo Global Threat Index di agosto 2021.

I ricercatori riferiscono che Formbook è ora il malware più diffuso, superando Trickbot, che è sceso al secondo posto dopo un regno durato tre mesi. Il banking trojan Qbot, noto per prendersi delle vere e proprie pause durante l’estate, è uscito dalla top10 dopo una lunga permanenza, mentre Remcos, un trojan di accesso remoto (RAT), è entrato in classifica per la prima volta nel 2021, classificandosi al sesto posto.

Dal Global Threat Index di agosto si evince che l’Italia invece è minacciata, come a luglio, da Blindingcan che ha registrato un impatto sulle organizzazioni di oltre il 7%, posizionandosi al primo posto in classifica – Formbook e Trickbot, ancora rispettivamente al secondo e al terzo posto. Blindingcan è un trojan ad accesso remoto (RAT), che a livello globale è quasi assente, con un impatto di appena lo 0,35%, ma è pericoloso per le sue funzioni integrate che permetterebbero all’aggressore diverse capacità d’azione sul sistema della vittima.

Visto per la prima volta nel 2016, Formbook è un infostealer che raccoglie credenziali da vari browser, raccoglie screenshot, monitora e registra le sequenze dei tasti della tastiera, e può scaricare ed eseguire file secondo i suoi ordini di comando e controllo (C&C). Recentemente, Formbook è stato distribuito tramite campagne a tema COVID-19 ed e-mail phishing, e nel luglio 2021, CPR ha riferito che un nuovo ceppo malware derivato da Formbook, chiamato XLoader, è ora rivolto agli utenti macOS.

Il codice di Formbook è scritto in C con inserti di assemblaggio e contiene una serie di trucchi per renderlo più evasivo e difficile da analizzare per i ricercatori”, ha detto Maya Horowitz, VP Research di Check Point Software commentando i risultati dell’ultimo Global Threat Index. “Dato che di solito viene distribuito tramite e-mail e allegati phishing, il modo migliore per prevenire un’infezione data da Formbook è quello di essere consapevoli di tutte le e-mail ricevute che possono apparire strane o che provengono da mittenti sconosciuti. Come diciamo sempre, se non sembra corretto, probabilmente non lo è”.

I tre malware più diffusi di agosto secondo il Global Threat Index di CPR.
Formbook è stato il malware più diffuso colpendo il 4,5% delle organizzazioni a livello globale, seguito da Trickbot e Agent Tesla, con rispettivamente il 4% e il 3%.

  1. Formbook: un infostealer che raccoglie credenziali da vari browser web, raccoglie screenshot, monitora e registra le sequenze di tasti e può scaricare ed eseguire file secondo i suoi ordini C&C.
  2. Trickbot: botnet modulare e banking trojan dominante che viene costantemente aggiornato con nuove capacità, caratteristiche e vettori di distribuzione. Questo gli permette di essere un malware flessibile e personalizzabile che può essere distribuito come parte di campagne multiuso.
  3. Agent Tesla: un RAT avanzato che funziona come un keylogger e ruba informazioni, che è in grado di monitorare e raccogliere l’input della tastiera della vittima e la tastiera del sistema, prendendo screenshot ed esfiltrare le credenziali da una varietà di software installati sulla macchina della vittima (compresi Google Chrome, Mozilla Firefox e il client di posta elettronica Microsoft Outlook).

Le tre vulnerabilità più sfruttate del mese di agosto.
Secondo il Global Threat Index, nel mese di agosto, “Web Server Exposed Git Repository Information Disclosure” è la vulnerabilità più comunemente sfruttata, con un impatto sul 45% delle organizzazioni a livello globale, seguita da “HTTP Headers Remote Code Execution” con il 43%. “Dasan GPON Router Authentication Bypass” occupa il terzo posto con un impatto globale del 40%.

  1. Web Server Exposed Git Repository Information Disclosure: vulnerabilità di diffusione delle informazioni segnalata in Git Repository. Uno sfruttamento riuscito di questa vulnerabilità potrebbe consentire una divulgazione non intenzionale di informazioni sull’account.
  2. HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756): consente al client e al server di passare informazioni aggiuntive con una richiesta HTTP. Un aggressore remoto può utilizzare un header HTTP vulnerabile per eseguire codice arbitrario sulla macchina della vittima.
  3. Dasan GPON Router Authentication Bypass (CVE-2018-10561): vulnerabilità di bypass dell’autenticazione presente nei router GPON Dasan. Uno sfruttamento riuscito di questa vulnerabilità permetterebbe agli aggressori remoti di ottenere informazioni sensibili e ottenere un accesso non autorizzato nel sistema interessato.

I tre malware mobile più diffusi di agosto.
Ad agosto il Global Threat Index di CPR mette xHelper al primo posto tra i malware mobili più diffusi, seguito da AlienBot e FluBot.

  1. Xhelper: applicazione Android dannosa, individuata a marzo 2019, utilizzata per scaricare altre app dannose e visualizzare pubblicità. È in grado di nascondersi dall’utente e dai programmi antivirus mobile, e si reinstalla se l’utente la disinstalla.
  2. AlienBot: famiglia di malware A, è un Malware-as-a-Service (MaaS) per dispositivi Android che permette a un aggressore remoto di iniettare un codice dannoso in applicazioni finanziarie regolari. L’aggressore ottiene l’accesso ai conti delle vittime e il controllo del loro dispositivo.
  3. FluBot: malware botnet Android distribuito tramite SMS phishing, il più delle volte spacciandosi per brand del mondo delivery. Una volta che l’utente clicca sul link all’interno del messaggio, FluBot viene installato e ottiene l’accesso a tutte le informazioni sensibili sul telefono.

Il Global Threat Impact Index di Check Point e la sua mappa ThreatCloud sono alimentati dall’intelligence ThreatCloud di Check Point. ThreatCloud fornisce in tempo reale informazioni sulle minacce derivate da centinaia di milioni di sensori in tutto il mondo, su reti, endpoint e cellulari. L’intelligence è arricchita da motori basati sull’AI e da dati di ricerca esclusivi di Check Point Research, il braccio di intelligence e ricerca di Check Point Software Technologies.

Articoli correlatiAltro dello stesso autore