Mentre Emotet e Qbot tornano a essere pericolosi, i payload del banking trojan IcedID minacciano il 23% delle organizzazioni italiane.

trojan

Check Point Software Technologies, fornitore di soluzioni di sicurezza informatica a livello globale, ha pubblicato il suo ultimo Global Threat Index di novembre 2022, durante il quale si è verificato il ritorno di Emotet, un trojan che ha ridotto le sue attività durante il periodo estivo. Chi è salito al terzo posto, per la prima volta da luglio 2021, è Qbot con un impatto globale del 4%, mentre è stato registrato anche un notevole aumento degli attacchi Raspberry Robin, un worm sofisticato che solitamente utilizza unità USB dannose per infettare i dispositivi.

Lo scorso luglio, Check Point Research (CPR) ha segnalato una diminuzione significativa dell’impatto e dell’attività globale di Emotet, sospettando già che la sua assenza fosse solo temporanea. Come previsto, il trojan auto-propagante è di nuovo attivo e ha raggiunto il secondo posto come malware più diffuso a novembre, con un impatto del 4% a livello globale. Sebbene Emotet sia nato come banking trojan, il suo design modulare gli ha permesso di evolversi in un distributore di altri tipi di malware e solitamente viene diffuso attraverso campagne phishing.

La crescita di Emotet potrebbe essere in parte dovuta a una serie di nuove campagne malspam, progettate per distribuire i payload del banking trojan IcedID. Quest’ultimo malware utilizza tecniche evasive come l’iniezione di processi e la steganografia e ruba dati finanziari tramite attacchi di reindirizzamento e di web injection. IcedID è stato il vero dominatore in Italia, considerando che l’impatto locale è stato del 23% e piazzandosi al primo posto. Podio che viene completato da AgentTesla (14%) e BLINDINGCAN (7%).

Per la prima volta da luglio 2021, Qbot, un trojan che sottrae credenziali bancarie e sequenze di tasti, ha raggiunto il terzo posto nella classifica globale, con un impatto del 4%. Gli aggressori che si celano dietro questo malware perseguono obiettivi finanziari, rubando dati, credenziali e informazioni dai browser utilizzati. Una volta che Qbot riesce a infettare un sistema, gli hacker installano una backdoor per garantire l’accesso, creando così attacchi di double extortion. A novembre, inoltre, Qbot ha sfruttato una vulnerabilità Zero-Day di Windows per fornire agli aggressori pieno accesso alle reti infette.

Questo mese ha visto anche un aumento di Raspberry Robin, un worm che utilizza unità USB dannose che contengono file di collegamento a Windows, apparentemente legittimi, ma che in realtà infettano i computer delle vittime. Microsoft ha scoperto che si è evoluto da worm ampiamente distribuito a piattaforma infettante per la distribuzione di malware, collegato ad altre famiglie di malware e a metodi di infezione alternativi, rispetto alla diffusione originale tramite unità USB.

“Questi malware all’avanguardia possono nascondersi e limitare le loro attività nei periodi più tranquilli, mentre a ridosso delle feste, alcuni malware hanno dimostrato che sono pronti e stanno per tornare all’attacco. È importante quindi che tutti rimangano vigili, soprattutto in questi momenti, quando aprono delle-mail, cliccano sui link, visitano siti web o condividono informazioni personali su internet”, ha dichiarato Maya Horowitz, VP Research di Check Point Software.

Le tre vulnerabilità più sfruttate del mese di novembre

AgentTesla rimane il malware più diffuso con un impatto del 6% sulle organizzazioni in tutto il mondo, seguito dalle new entry Emotet e Qbot con un impatto del 4%.

  1. AgentTesla RAT avanzato che funziona come un keylogger che ruba informazioni ed è in grado di monitorare e raccogliere l’input della tastiera della vittima, acquisendo screenshot, ed esfiltrando le credenziali a una varietà di software installati sulla macchina della vittima (tra cui Google Chrome, Mozilla Firefox e Microsoft Outlook).
  2. Emotet – trojan avanzato, auto-propagante e modulare. Una volta usato come banking trojan, ora viene utilizzato come distributore di altri malware o campagne dannose. Utilizza più metodi per mantenere la propria forza e tecniche di evasione per evitare la detection. Inoltre, può diffondersi attraverso e-mail spam contenenti allegati o link dannosi.
  3. Qbot – banking trojan apparso per la prima volta nel 2008, progettato per rubare le credenziali bancarie e le sequenze di tasti dell’utente. Spesso distribuito via e-mail spam e impiega diverse tecniche anti-VM, anti-debug e anti-sandbox per eludere la detection.

I settori più attaccati a livello globale a novembre:

A novembre, il settore istruzione/ricerca è rimasto al primo posto come settore più attaccato a livello globale, seguito da quello governativo/militare e da quello sanitario.

  1. Education/Research
  2. Government/Military
  3. Healthcare

In Italia:

  1. Education/Research
  2. Software vendor
  3. Finance/Banking

Le tre vulnerabilità più sfruttate del mese di novembre

Questo mese, “Web Servers Malicious URL Directory Traversal” è la vulnerabilità più sfruttata, con un impatto sul 46% delle organizzazioni a livello globale, seguita da “Web Server Exposed Git Repository Information Disclosure” con il 45%. “HTTP Headers Remote Code Execution” è ancora la terza vulnerabilità un impatto globale del 42%.

  1. Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) vulnerabilità dovuta a un errore di convalida dell’input in un server web che non sanifica correttamente l’URL per pattern directory traversal. Uno sfruttamento riuscito permette agli aggressori non autenticati di rivelare o accedere a file arbitrari sul server vulnerabile.
  2. Web Server Exposed Git Repository Information Disclosure – vulnerabilità di diffusione delle informazioni segnalata in Git Repository. Uno sfruttamento riuscito di questa vulnerabilità potrebbe consentire una divulgazione non intenzionale di informazioni sull’account.
  3. HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) le http reader consentono al client e al server di trasmettere informazioni aggiuntive con una richiesta HTTP. Un aggressore può utilizzarne una vulnerabile per eseguire da remoto codice arbitrario sul computer della vittima.

I malware mobile più diffusi di novembre

Anubis ha mantenuto il primo posto come malware mobile più diffuso, seguito da Hydra e AlienBot.

  1. Anubis banking trojan progettato per Android. Da quando è stato rilevato, ha acquisito ulteriori funzioni, tra cui essere un trojan ad accesso remoto (RAT), keylogger, avere la capacità di registrazione audio e varie funzionalità ransomware. È stato rilevato in centinaia di app disponibili su Google Store.
  2. Hydra – banking trojan progettato per rubare le credenziali finanziarie chiedendo alle vittime di abilitare permessi pericolosi.
  3. AlienBot – questa famiglia di malware è un Malware-as-a-Service (MaaS) per dispositivi Android che permette a un aggressore remoto di iniettare un codice dannoso in applicazioni finanziarie regolari. L’aggressore ottiene l’accesso ai conti delle vittime e il controllo del loro dispositivo.