Anche in aprile FakeUpdate è il malware più presente in Italia dove continua a crescere, mentre nel mondo si registra una flessione. Le campagne avanzate usano come arma il malware di base

fakeupdate e trojan

Check Point Software Technologies ha reso noto nel suo Global Threat Index relativo al mese di aprile 2025 che FakeUpdates rimane il malware più diffuso questo mese, con un impatto sul 6% delle organizzazioni a livello globale, seguito da Remcos e AgentTesla.

Le sofisticate campagne di malware

Questo mese, i ricercatori hanno scoperto una sofisticata campagna di malware a più stadi che distribuisce AgentTesla, Remcos e Xloader (un’evoluzione di FormBook). L’attacco inizia con e-mail di phishing camuffate da conferme d’ordine e induce le vittime ad aprire un archivio 7-Zip dannoso. Questo archivio contiene un file JScript Encoded (.JSE) che lancia uno script PowerShell codificato in Base64, che esegue un eseguibile di secondo livello basato su .NET o AutoIt. Il malware finale viene iniettato in processi Windows legittimi come RegAsm.exe o RegSvcs.exe, aumentando in modo significativo la furtività e l’elusione del rilevamento.

In Italia, anche il mese di aprile vede FakeUpdate come la minaccia più presente, con un impatto leggermente cresciuto rispetto a quanto rilevato a marzo (+1,7%). Al secondo posto si conferma Androxgh0st, con un impatto in aumento del 14% rispetto al mese scorso, e al terzo sale Remcos con una forte crescita se confrontato al dato di marzo, quando era settimo: +202,5%. Formbook scende dal podio e finisce al sesto posto con un impatto notevolmente ridimensionato: -55% rispetto al mese scorso.

  • Nello specifico, la minaccia più importante risulta essere ancora FakeUpdates, con un impatto del 10,79%, (+0,18 rispetto a marzo, ovvero +1,7%, e sempre superiore all’impatto rilevato a livello globale che scende a 6,37%).
  • La seconda minaccia nel nostro Paese risulta essere il malware Androxgh0st (botnet che colpisce le piattaforme Windows, Mac e Linux e ruba informazioni sensibili) con un impatto del 3,98% in aumento rispetto al valore di un mese fa (+0,49, ovvero +14%) e superiore al dato globale che è del 2,86%).
  • Al terzo posto nel mese di aprile torna a farsi notare Remcons (trojan per l’accesso remoto (RAT), che rimane uno dei principali ceppi di malware, spesso utilizzato nelle campagne di phishing. La sua capacità di aggirare i meccanismi di sicurezza, come il controllo dell’account utente (UAC), lo rende uno strumento versatile per i criminali informatici), con un impatto del 3,6%, in fortissima crescita (+202,5%) rispetto al dato di marzo, ma comunque inferiore rispetto al rilevamento globale, che è del 3,79%.

 

Una tendenza notevole nella criminalità informatica

Questi risultati riflettono una tendenza degna di nota nella criminalità informatica: la convergenza di malware di base con tecniche avanzate. Strumenti un tempo venduti apertamente a basso costo, come AgentTesla e Remcos, sono ora integrati in complesse catene di distribuzione che imitano le tattiche di attori sponsorizzati da uno Stato, confondendo i confini tra minacce a sfondo finanziario e politico.

Quest’ultima campagna esemplifica la crescente complessità delle minacce informatiche”, afferma Lotem Finkelstein, Director of Threat Intelligence di Check Point Software. “Gli attaccanti stanno stratificando script codificati, processi legittimi e catene di esecuzione oscure per non essere individuati. Quello che una volta era considerato un malware di basso livello è ora un’arma nelle operazioni avanzate. Le organizzazioni devono adottare un approccio orientato alla prevenzione che integri threat intelligence in tempo reale, IA e analisi comportamentale”.

 

Famiglie di malware più diffuse

*Le frecce si riferiscono alla variazione di posizione rispetto al mese precedente.

  1. ↔ FakeUpdates (AKA SocGholish) continua a dominare, fornendo payload secondari attraverso download drive-by su siti web compromessi o malevoli. Questo malware è spesso collegato al gruppo di hacking russo Evil Corp e rimane una minaccia significativa per le organizzazioni di tutto il mondo. (Impatto: 6%).
  2. Remcos, un trojan per l’accesso remoto (RAT), rimane uno dei principali ceppi di malware, spesso utilizzato nelle campagne di phishing. La sua capacità di aggirare i meccanismi di sicurezza, come il controllo dell’account utente (UAC), lo rende uno strumento versatile per i criminali informatici. (Impatto: 3%).
  3. ↔ AgentTesla è un RAT (Trojan ad accesso remoto) avanzato che funziona come keylogger e ruba password. Attivo dal 2014, AgentTesla è in grado di monitorare e raccogliere gli input della tastiera e gli appunti di sistema della vittima, registrare screenshot ed esfiltrare le credenziali inserito in una serie di software installati sul computer della vittima (tra cui Google Chrome, Mozilla Firefox e il client di posta elettronica Microsoft Outlook). AgentTesla è apertamente venduto come un RAT legittimo, con clienti che pagano 15 – 69 dollari per le licenze utente. (impatto: 3%).

 

I gruppi di ransomware maggiormente rilevati

I dati dei “siti della vergogna” del ransomware rilevano che Akira è il gruppo di ransomware più diffuso questo mese, responsabile dell’11% degli attacchi pubblicati, seguito da SatanLock e Qilin con il 10% ciascuno.

  1. Akira è un ransomware segnalato per la prima volta all’inizio del 2023, che colpisce sia i sistemi Windows sia Linux. Utilizza la crittografia simmetrica con CryptGenRandom() e Chacha 2008 per la crittografia dei file ed è simile al ransomware Conti v2. Akira viene distribuito attraverso vari mezzi, tra cui allegati e-mail infetti ed exploit negli endpoint VPN. Al momento dell’infezione, cripta i dati e aggiunge un’estensione “. akira” ai nomi dei file, per poi presentare una nota di riscatto che richiede il pagamento per la decriptazione.
  2. SatanLock è una nuova operazione apparsa all’inizio di aprile. Ha pubblicato 67 vittime ma, come per molti altri nuovi attori, più del 65% di esse sono state segnalate in precedenza da altri.
  3. Qilin, noto anche come Agenda, è un’operazione criminale di ransomware-as-a-service crittografa ed esfiltra i dati dalle organizzazioni compromesse, chiedendo poi un riscatto. Questa variante di ransomware è stata rilevata per la prima volta nel luglio 2022 ed è sviluppata in Golang. Agenda è nota per prendere di mira le grandi imprese e le organizzazioni di alto valore, con particolare attenzione ai settori della sanità e dell’istruzione. Qilin si infiltra tipicamente nei dispositivi delle vittime tramite e-mail di phishing contenenti link dannosi per stabilire l’accesso alle loro reti ed esfiltrare informazioni sensibili. Una volta entrato, Qilin di solito si muove lateralmente attraverso l’infrastruttura della vittima, alla ricerca di dati critici da criptare.

 

Principali malware per dispositivi mobili

Anche nel mese di aprile Anubis si conferma al primo posto tra le minacce informatiche mobili più diffuse, seguito da AhMyth, che sale una posizione fino al secondo posto, e  Hydra che sale al terzo.

  1. ↔ Anubis è un trojan bancario versatile che ha avuto origine su dispositivi Android e si è evoluto fino a includere funzionalità avanzate come l’aggiramento dell’autenticazione a più fattori (MFA) mediante l’intercettazione di one-time password (OTP) basate su SMS, il keylogging, la registrazione audio e le funzioni ransomware. Viene spesso distribuito attraverso applicazioni malevole su Google Play Store ed è diventato una delle famiglie di malware mobili più diffuse. Inoltre, Anubis include funzioni di trojan ad accesso remoto (RAT), che consentono una sorveglianza e un controllo estesi sui sistemi infetti.
  2. ↑ AhMyth è un trojan ad accesso remoto (RAT) che colpisce i dispositivi Android, tipicamente camuffato da app legittime come screen recorder, giochi o strumenti di criptovaluta. Una volta installato, ottiene ampie autorizzazioni per persistere dopo il riavvio ed esfiltrare informazioni sensibili come credenziali bancarie, dettagli di portafogli di criptovalute, codici di autenticazione a più fattori (MFA) e password. AhMyth consente anche il keylogging, la cattura dello schermo, l’accesso alla fotocamera e al microfono e l’intercettazione degli SMS, rendendolo uno strumento versatile per il furto di dati e altre attività malevole.
  3. ↑ Hydra è un Trojan bancario progettato per rubare le credenziali bancarie chiedendo alle vittime di abilitare permessi e accessi pericolosi ogni volta che entrano in un’applicazione bancaria.

 

I settori più attaccati a livello globale

Il settore dell’istruzione è stato il più bersagliato nel corso del mese di aprile 2025, a causa della sua ampia base di utenti e della sicurezza informatica tipicamente più debole. Al secondo posto sale il settore governativo che supera quello delle telecomunicazioni, che scende al terzo.

  1. Istruzione
  2. Governo
  3. Telecomunicazioni

I dati di aprile mostrano un uso crescente di campagne di malware furtive suddivise in differenti fasi, e una continua attenzione da parte degli attaccanti per i settori con difese più basse. Con FakeUpdates che rimane la minaccia più diffusa e l’emergere di nuovi attori ransomware come SatanLock, le organizzazioni devono dare priorità a una sicurezza proattiva e stratificata per stare al passo con gli attacchi in continua evoluzione.

 

Articoli correlatiAltro dello stesso autore