Secondo il Global Threat Index di Check Point Software Technologies, il mese di giugno ha visto, rispetto agli ultimi 4 mesi, un aumento del 50% dell’impatto globale dei trojan bancari. La Top 10 ha inoltre visto l’entrata di due famiglie di malware di tipo trojan.
A giugno, Dorkbot, un trojan bancario che ruba informazioni sensibili e lancia attacchi DoS (denial-of-service), ha colpito il 7% delle aziende di tutto il mondo, salendo nella classifica dei Top Malware dalla posizione numero 8 alla posizione numero 3. Inoltre, è emerso Emotet, un trojan bancario che ruba le credenziali dei conti bancari delle vittime e utilizza la macchina infetta per diffondersi. Questa variante, che si è diffusa rapidamente negli ultimi due mesi, è salita nel Threat Index dalla posizione 50 alla posizione 11. Anche il trojan bancario Ramnit, che ruba credenziali bancarie e password FTP, è entrato nella Top 10 dei malware più diffusi.
Lo stesso trend si è verificato in Italia dove la Top 10 dei malware ha registrato per il sesto mese consecutivo al primo posto la presenza del malware cryptominer Coinhive che ha avuto un impatto su oltre il 17% delle imprese locali, seguito da Cryptoloot e Conficker. La Top 10 ha poi visto anche nel nostro Paese l’entrata dei trojan bancari: Dorkbot si è posizionato al settimo posto e Ramnit al decimo.
“Spesso trascuriamo il fatto che la maggior parte delle azioni di criminalità informatica sono dettate da motivi economici. Gli hacker sfruttano tutti gli strumenti a loro disposizione per trovare il modo più vantaggioso per ottenere un rapido profitto”, ha commentato Maya Horowitz, Threat Intelligence Group Manager di Check Point. “Abbiamo registrato un’ondata simile di attacchi che utilizzano i trojan bancari durante l’estate del 2017. Probabilmente, in questo periodo, i criminali informatici prendono di mira i turisti, meno attenti in vacanza alle misure di sicurezza, che potenzialmente accedono all’home banking attraverso dispositivi di accesso condiviso e connessioni meno sicure. Questo trend, che si ripete anno dopo anno, sottolinea come gli hacker siano tenaci e sofisticati nei loro tentativi di sottrarre denaro.”
Horowitz ha poi aggiunto: “Per impedire il diffondersi dei trojan bancari e di altri tipi di attacchi, è fondamentale che le aziende adottino una strategia di sicurezza informatica multilivello, che protegga sia da famiglie di malware già note, sia dalle nuove minacce.”
I tre malware più diffusi a giugno 2018 sono stati:
- Coinhive, stabile rispetto al mese precedente. Uno script di mining che utilizza la CPU degli utenti che visitano determinati siti web per minare la criptovaluta Monero. Il JavaScript installato utilizza una grande quantità di risorse computazionali delle macchine degli utenti finali per estrarre monete e potrebbe causare l’arresto anomalo del sistema.
- Cryptoloot, stabile rispetto al mese precedente. Malware che utilizza la potenza della CPU o della GPU della vittima e le risorse esistenti per il mining di criptovalute aggiungendo transazioni alla blockchain e rilasciando nuova valuta. Competitor di Coinhive, Cryptoloot cerca di accaparrarsi più vittime chiedendo ai siti una percentuale minore in termini di profitti.
- Dorkbot, in crescita rispetto al mese precedente. IRC-worm progettato per consentire l’esecuzione di codice da remoto da parte del proprio operatore, nonché il download di ulteriori malware sul sistema infetto. Si tratta di un trojan bancario, con lo scopo principale di rubare informazioni sensibili e lanciare attacchi denial-of-service.
Triada, il trojan modulare Android, che usa i privilegi root per sostituire i file di sistema, è stato il malware per mobile più diffuso e utilizzato per attaccare i dispositivi delle organizzazioni, seguito da Lokibot e The Truth Spy.
I tre malware per dispositivi mobili più diffusi a giugno 2018:
- Triada, malware modulare per Android che sferra l’attacco tramite una backdoor che concede privilegi amministrativi a malware scaricati e gli permette di essere integrato all’interno di processi di sistema. Triada viene utilizzato anche per compiere attacchi di tipo spoofing.
- Lokibot, trojan bancario che colpisce i sistemi Android e che ruba informazioni, può anche trasformarsi in un ransomware che blocca il telefono rimuovendo i privilegi dell’amministratore.
- The Truth Spy, spyware mobile sia Apple sia Android che tiene tracciate tutte le attività che si svolgono sugli smartphone, inclusi Whatsapp, le chat di Facebook e la cronologia delle ricerche internet.
I ricercatori di Check Point hanno analizzato anche le vulnerabilità più sfruttate dai criminali informatici. CVE-2017-7269 si è piazzata al primo posto con un impatto globale del 40%, mentre al secondo posto troviamo la vulnerabilità CVE-2017-10271 che ha interessato il 35% delle organizzazioni. Al terzo posto si posiziona, invece, SQL injection con un impatto del 15%.
Le tre vulnerabilità più diffuse nel mese di giugno 2018 sono state:
- Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269), stabile. Inviando una richiesta a una rete Microsoft Windows Server 2003 R2 tramite Microsoft Internet Information Services 6.0, un hacker potrebbe eseguire un codice arbitrario o causare una negazione delle condizioni del servizio sul server di destinazione. Ciò è dovuto principalmente a una vulnerabilità di overflow del buffer causata da una errata convalida di un header lungo nella richiesta HTTP. La patch è disponibile da marzo 2017.
- Oracle WebLogic WLS Security Component Remote Code Execution (CVE-2017-10271), stabile. All’interno di Oracle WebLogic WLS esiste una vulnerabilità legata all’esecuzione di un codice in modalità remota. Ciò è dovuto al modo in cui Oracle WebLogic gestisce i decodificatori xml. Un attacco ben riuscito potrebbe portare a un’esecuzione di codice in modalità remota. La patch è disponibile da ottobre 2017.
- SQL Injection – consiste nell’inserimento di query SQL, in input, dal client all’applicazione, sfruttando al contempo una vulnerabilità di sicurezza nel software di un’applicazione.
L’elenco dimostra perfettamente come i criminali informatici utilizzino entrambe le tecniche moderne (due vulnerabilità pubblicate nel 2017) e i classici vettori di attacco come l’SQL injection.