A febbraio BLINDINGCAN torna alla ribalta in Italia, mentre nel mondo ha dominato il trojan Remcos

Check Point® Software Technologies Ltd. (NASDAQ: CHKP), il principale fornitore di soluzioni di cybersecurity a livello globale, ha pubblicato il suo Global Threat Index per il mese di febbraio. A livello globale il trojan Remcos è tornato nella top ten per la prima volta da dicembre, dopo essere stato utilizzato dai criminali informatici per colpire enti governativi ucraini attraverso attacchi di phishing. Nel frattempo, il trojan Emotet e l’infostealer Formbook hanno scalato la classifica conquistando rispettivamente il secondo e il terzo posto.

Nonostante una diminuzione del 44% nel numero medio di attacchi settimanali per organizzazione tra ottobre 2022 e febbraio 2023, l’Ucraina rimane sempre un obiettivo popolare tra i criminali informatici. Più recentemente, gli aggressori si sono spacciati per Ukrtelecom JSC in una campagna di massa via e-mail, utilizzando un allegato RAR dannoso per diffondere il trojan Remcos – tornato nella classifica dei principali malware per la prima volta dall’ottobre 2022. Una volta installato, lo strumento apre una backdoor sul sistema compromesso, consentendo l’accesso completo all’utente remoto per attività quali l’esfiltrazione dati e l’esecuzione di comandi. Si ritiene che gli attacchi in corso siano collegati a operazioni di cyber-spionaggio, a causa dei modelli di comportamento e delle capacità offensive degli incidenti.

In Italia invece, BLINDINGCAN, trojan ad accesso remoto (RAT), ha dominato la classifica con una percentuale equivalente all’8%, in controtendenza con lo 0,4% di impatto sulle organizzazioni mondiali. BLINDINGCAN è pericoloso per le sue funzioni integrate che permetterebbero all’attaccante diverse capacità d’azione sul sistema della vittima.

“Sebbene il numero di attacchi a scopo politico sia diminuito, l’Ucraina rimane un campo di battaglia anche per i criminali informatici. Dall’inizio della guerra russo-ucraina, l’hacktivismo è sempre stato una priorità per gli attaccanti e la maggior parte di essi ha preferito metodi di attacco distruttivi come i DDoS. Tuttavia, l’ultima campagna ha utilizzato un metodo di attacco più tradizionale, utilizzando truffe via phishing per ottenere informazioni sugli utenti e rubare i dati.” ha dichiarato Maya Horowitz, VP Research di Check Point Software. “È fondamentale sottolineare che tutte le organizzazioni e gli enti governativi seguano pratiche di sicurezza quando ricevono e aprono le e-mail. Non scaricate gli allegati senza prima averne analizzato le proprietà, evitate di cliccare sui link all’interno del corpo dell’e-mail e verificate che l’indirizzo del mittente non presenti anomalie, come caratteri aggiuntivi o errori ortografici”.

Le tre vulnerabilità più sfruttate del mese di febbraio:

* Le frecce si riferiscono al cambio di classifica rispetto al mese precedente

Qbot è stato il malware più diffuso il mese scorso con un impatto di oltre il 7% sulle organizzazioni mondiali, seguito da Formbook con il 5% e da Emotet con il 4%.

1. ↔ Qbot – noto anche come Qakbot, è un banking trojan apparso per la prima volta nel 2008, progettato per rubare le credenziali bancarie e le sequenze di tasti dell’utente. Spesso distribuito via e-mail spam, Qbot impiega diverse tecniche anti-VM, anti-debug e anti-sandbox per ostacolare l’analisi ed eludere la detection.
2. ↑ FormBook – è un infostealer che colpisce il Sistema Operativo Windows, identificato per la prima volta nel 2016. È sul mercato, nei forum di hacker underground, come Malware-as-a-Service (MaaS) per le sue efficaci tecniche di evasione e il suo prezzo relativamente basso. FormBook è in grado di prelevare le credenziali da diversi browser web, raccogliere screenshot, monitorare e registrare sequenze di tasti, e può scaricare ed eseguire file in base agli ordini del suo C&C.
3. ↑ Emotet – è un trojan avanzato, auto-propagante e modulare. Veniva sfruttato in precedenza come banking trojan, ora viene utilizzato come distributore di altri malware o per campagne malevoli. Utilizza più metodi per mantenere la persistenza e tecniche di evasione per evitare la detection. Inoltre, può diffondersi attraverso e-mail spam contenenti allegati o link dannosi.

I settori più attaccati a livello globale per il mese di febbraio: 

Il settore istruzione/ricerca si è confermato al primo posto tra i settori più attaccati a livello globale, seguito da quello governativo/militare e da quello sanitario.

1. Education/Research
2. Government/Military
3. Healthcare

In Italia:

1. Education/Research
2. Finance/Banking
3. Government/Military

Le tre vulnerabilità più sfruttate del mese di febbraio:

A febbraio, “Web Servers Malicious URL Directory Traversal” è stata la vulnerabilità più sfruttata, con impatto del 47% sulle organizzazioni a livello mondiale, seguita da “Web Server Exposed Git Repository Information Disclosure” con il 46%. “Apache Log4j Remote Code Execution” si è classificata al terzo posto con un impatto globale del 45%.

1. ↑Web Servers Malicious URL Directory Traversal – esiste una vulnerabilità di directory traversal su diversi server web. La vulnerabilità è dovuta a un errore di convalida dell’input in un server web che non sanifica correttamente l’URL per pattern directory traversal. Uno sfruttamento riuscito permette agli attaccanti non autenticati di rivelare o accedere a file arbitrari sul server vulnerabile.
2. ↓ Web Server Exposed Git Repository Information Disclosure – è una vulnerabilità di diffusione delle informazioni segnalata in Git Repository. Uno sfruttamento riuscito di questa vulnerabilità potrebbe consentire una divulgazione non intenzionale di informazioni sull’account.
3. ↑ Apache Log4j Remote Code Execution (CVE-2021-44228) – una vulnerabilità di esecuzione di codice remoto esistente in Apache Log4j. Uno sfruttamento a buon fine potrebbe permettere ad un hacker di eseguire codice arbitrario sul sistema interessato.

I malware mobile più diffusi di febbraio:

Il mese scorso, Anubis si è confermato il malware mobile più diffuso, seguito da Hiddad e AhMyth.

1. Anubis – è un banking trojan progettato per Android. Da quando è stato rilevato, ha acquisito ulteriori funzioni, tra cui essere un trojan ad accesso remoto (RAT), keylogger, avere la capacità di registrazione audio e varie funzionalità ransomware. È stato rilevato in centinaia di app disponibili su Google Store.
2. Hiddad – è un malware Android che riconfeziona app legittime per inserirle in uno store di terze parti. La sua funzione principale è mostrare annunci pubblicitari, ma è anche in grado di scovare un accesso a informazioni di sicurezza fondamentali presenti nel sistema operativo, consentendo agli hacker di rubare dati sensibili.
3. AhMyth – è un trojan ad accesso remoto (RAT) scoperto nel 2017. Viene distribuito attraverso applicazioni Android che possono essere trovate sulle app store e su vari siti web. Quando un utente installa una di queste app infette, il malware può raccogliere informazioni sensibili dal dispositivo ed eseguire azioni come keylogging, screenshot, invio di SMS e attivazione della fotocamera, che di solito viene utilizzata per rubare informazioni sensibili.

Il Global Threat Impact Index di Check Point e la sua ThreatCloud Map sono alimentati dalla ThreatCloud intelligence di Check Point. ThreatCloud fornisce in tempo reale informazioni sulle minacce derivate da centinaia di milioni di sensori in tutto il mondo, su reti, endpoint e cellulari. È arricchita da motori AI-based e da dati esclusivi di Check Point Research, il braccio di intelligence e ricerca di Check Point Software Technologies.