Check Point Research (CPR), la divisione di Threat Intelligence di Check Point Software Technologies, fornitore di soluzioni di cybersecurity a livello globale, ha pubblicato il suo ultimo Global Threat Index per il mese di giugno, segnalando che è apparso un nuovo banking malware per Android, denominato MaliBot, dopo il takedown di FluBot alla fine di maggio.
Anche se appena scoperto, il banking malware MaliBot ha già raggiunto il terzo posto nella classifica dei malware mobile più diffusi. Si maschera da app per il mining di criptovalute con nomi diversi e prende di mira il mobile banking per rubare informazioni finanziarie degli utenti. Simile a FluBot, MaliBot utilizza lo smishing (phishing via SMS) per invitare le vittime a cliccare un link malevolo per scaricare una falsa app contenente il malware.
Anche questo mese, il noto malware Emotet è ancora il più diffuso in assoluto. Snake Keylogger ha aumentato la sua attività e si è posizionato al terzo posto, scalando cinque posti rispetto al mese scorso. La funzionalità principale di Snake Keylogger consiste nel registrare i tasti premuti dagli utenti e trasmettere i dati raccolti agli hacker. Nel mese di maggio, CPR aveva notato che Snake Keylogger veniva consegnato tramite file PDF, invece, recentemente, è stato diffuso tramite e-mail contenenti allegati Word rinominati come richieste di preventivi. A giugno i ricercatori hanno anche riferito di una nuova variante di Emotet, con capacità di rubare carte di credito e che coinvolgeva gli utenti del browser Chrome.
“Sebbene sia sempre positivo vedere le forze dell’ordine riuscire a fermare i gruppi di hacker o dei malware come FluBot, purtroppo non ci è voluto molto perché un nuovo malware mobile prendesse il suo posto”, ha dichiarato Maya Horowitz, VP Research di Check Point Software. “I criminali informatici sono ben consapevoli del ruolo centrale che i dispositivi mobile svolgono nella vita di molte persone e sono sempre in grado di adattare e migliorare le loro tattiche. Lo scenario si sta evolvendo rapidamente e le minacce informatiche mobile rappresentano un pericolo significativo per la sicurezza personale e aziendale. Non è mai stato così importante disporre di una solida soluzione di prevenzione delle minacce mobile”.
I tre malware più diffusi di giugno
Questo mese Emotet è ancora il malware più diffuso, con un impatto del 14% sulle organizzazioni in tutto il mondo, seguito da Formbook e da Snake Keylogger con un impatto del 4%.
- Emotet – un trojan avanzato, auto-propagante e modulare. Una volta usato come banking trojan, ora viene utilizzato come distributore di altri malware o campagne dannose. Utilizza più metodi per mantenere la propria forza e tecniche di evasione per evitare la detection. Inoltre, può diffondersi attraverso e-mail spam contenenti allegati o link dannosi.
- Formbook – un RAT avanzato che funziona come keylogger e infostealer, in grado di monitorare e raccogliere l’input della tastiera della vittima, la tastiera del sistema, di scattare screenshot e di esfiltrare le credenziali a una serie di software installati sulla macchina della vittima (tra cui Google Chrome, Mozilla Firefox e il client di posta elettronica Microsoft Outlook).
- Snake Keylogger – un keylogger modulare .NET che ruba credenziali. La sua funzionalità principale è quella di registrare cosa digitano gli utenti e trasmettere i dati raccolti. Rappresenta una grave minaccia per la privacy e la sicurezza online degli utenti, poiché può rubare praticamente tutti i tipi di informazioni sensibili ed è particolarmente evasivo e persistente.
I settori più attaccati a livello globale per il mese di giugno:
- Istruzione/Ricerca
- Governo/Militare
- Sanità
In Italia:
- Istruzione/Ricerca
- Software vendor
- Governo/Militare
Le tre vulnerabilità più sfruttate del mese di giugno
Questo mese, “Apache Log4j Remote Code Execution” è la vulnerabilità più sfruttata, con un impatto del 43% sulle organizzazioni a livello globale, seguita da vicino da “Web Server Exposed Git Repository Information Disclosure” con un impatto globale del 42%. “Web Servers Malicious URL Directory Traversal” è ora al terzo posto con il 42%.
- Apache Log4j Remote Code Execution (CVE-2021-44228) – una vulnerabilità di esecuzione di codice remoto esistente in Apache Log4j. Uno sfruttamento a buon fine potrebbe permettere ad un hacker di eseguire codice arbitrario sul sistema interessato.
- Web Server Exposed Git Repository Information Disclosure – una vulnerabilità di diffusione delle informazioni segnalata in Git Repository. Uno sfruttamento riuscito di questa vulnerabilità potrebbe consentire una divulgazione non intenzionale di informazioni sull’account.
- Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) – vulnerabilità dovuta a un errore di convalida dell’input in un server web che non sanifica correttamente l’URL per pattern directory traversal. Uno sfruttamento riuscito permette agli aggressori non autenticati di rivelare o accedere a file arbitrari sul server vulnerabile.
I malware mobile più diffusi di giugno:
Questo mese AlienBot è il malware mobile più diffuso, seguito da Anubis e dal banking malware MaliBot.
- AlienBot – questa famiglia di malware è un Malware-as-a-Service (MaaS) per dispositivi Android che permette a un aggressore remoto di iniettare un codice dannoso in applicazioni finanziarie regolari. L’aggressore ottiene l’accesso ai conti delle vittime e il controllo del loro dispositivo.
- Anubis – un banking trojan progettato per Android. Da quando è stato rilevato, ha acquisito ulteriori funzioni, tra cui essere un trojan ad accesso remoto (RAT), keylogger, avere la capacità di registrazione audio e varie funzionalità ransomware. È stato rilevato in centinaia di app disponibili su Google Store.
- Malibot – un banking malware per Android individuato soprattutto in Spagna e in Italia. Il banking si camuffa da app di cryptomining con nomi diversi e mira al furto di informazioni finanziarie, portafogli di criptovalute e altri dati personali.