A marzo una nuova campagna Emotet ha aggirato Microsoft per distribuire via e-mail dei file OneNote malevoli

Check Point® Software Technologies Ltd. (NASDAQ: CHKP), il principale fornitore di soluzioni di cybersecurity a livello globale, ha pubblicato il proprio Global Threat Index per il mese di marzo. Il mese scorso, i ricercatori hanno scoperto una nuova campagna malware guidata dal trojan Emotet, salito al secondo posto tra le minacce informatiche più diffuse.

Come riportato all’inizio dell’anno, gli attaccanti hanno esplorato modalità alternative per diffondere Emotet e distribuire file malevoli da quando Microsoft ha annunciato di voler bloccare le macro nei file di Office. Nell’ultima campagna, gli attaccanti hanno adottato una nuova strategia di invio di e-mail spam contenenti un file OneNote malevolo. Una volta aperto, un messaggio induce la vittima a cliccare sul documento, scaricando così Emotet. Una volta installato, il malware può raccogliere i dati di posta elettronica dell’utente, come le credenziali di accesso e le informazioni di contatto. Gli attaccanti utilizzano quindi le informazioni raccolte per espandere la portata della campagna e facilitare gli attacchi futuri.

In Italia Emotet si classifica al quarto posto anche se con una percentuale di impatto (5%) maggiore rispetto a quella globale (4%). Qbot e BLINDINGCAN sono invece i due malware più diffusi, totalizzando oltre il 20% di impatto sulle organizzazioni locali (rispettivamente 14% e 8%).

Qbot rimane il malware più pericoloso in Italia. Spesso distribuito via e-mail spam, impiega diverse tecniche anti-VM, anti-debug e anti-sandbox per ostacolare l’analisi ed eludere la detection. Qbot è un banking trojan progettato per rubare le credenziali bancarie e le sequenze di tasti dell’utente – non sorprende, quindi, il fatto che il comparto Finance/Banking sia risultato il terzo settore sottoposto al maggior numero di attacchi nel Belpaese.

“Anche se le big tech fanno del loro meglio per bloccare sin dall’inizio i criminali informatici, è quasi impossibile impedire a ogni singolo attacco di aggirare le misure di sicurezza. Sappiamo che Emotet è un trojan sofisticato e non sorprende che sia riuscito a superare le difese di Microsoft più aggiornate. La cosa più importante che le persone possono fare è assicurarsi di avere un’adeguata e-mail security, evitare di scaricare file sconosciuti e adottare un sano scetticismo sulle origini di un’e-mail e sul suo contenuto”, ha dichiarato Maya Horowitz, VP Research di Check Point Software.

Le tre vulnerabilità più sfruttate del mese di marzo: 

* Le frecce si riferiscono al cambio di classifica rispetto al mese precedente 

Qbot è stato il malware più diffuso il mese scorso, con un impatto di oltre il 10% sulle organizzazioni mondiali, seguito da Emotet e Formbook con un impatto globale del 4%.

1. ↔ Qbot – noto anche come Qakbot, è un banking trojan apparso per la prima volta nel 2008, progettato per rubare le credenziali bancarie e le sequenze di tasti dell’utente. Spesso distribuito via e-mail spam, Qbot impiega diverse tecniche anti-VM, anti-debug e anti-sandbox per ostacolare l’analisi ed eludere la detection.
2. ↑ Emotet – è un trojan avanzato, auto-propagante e modulare. Veniva sfruttato in precedenza come banking trojan, ora viene utilizzato come distributore di altri malware o per campagne malevoli. Utilizza diversi metodi per mantenere la persistenza e tecniche di evasione per evitare la detection. Inoltre, può diffondersi attraverso e-mail spam contenenti allegati o link dannosi.
3. ↓ FormBook – è un infostealer che colpisce il Sistema Operativo Windows, identificato per la prima volta nel 2016. È sul mercato, nei forum di hacker underground, come Malware-as-a-Service (MaaS) per le sue efficaci tecniche di evasione e il suo prezzo relativamente basso. FormBook è in grado di prelevare le credenziali da diversi browser web, raccogliere screenshot, monitorare e registrare sequenze di tasti, e può scaricare ed eseguire file in base agli ordini del suo C&C.

I settori più attaccati a livello globale per il mese di marzo:

Il settore Istruzione/Ricerca si è confermato al primo posto tra i settori più attaccati a livello globale, seguito da quello Governativo/Militare e da quello Sanitario. 

1. Education/Research 
2. Government/Military 
3. Healthcare  

In Italia: 

1. Education/Research
2. Government/Military
3. Finance/Banking

Le tre vulnerabilità più sfruttate del mese di marzo: 

Il mese scorso, “Apache Log4j Remote Code Execution” è stata la vulnerabilità più sfruttata, con un impatto sul 44% delle organizzazioni a livello globale, seguita da “HTTP Headers Remote Code Execution” con il 43% e “MVPower DVR Remote Code Execution” con un impatto globale del 40%.

1. ↑ Apache Log4j Remote Code Execution (CVE-2021-44228) – una vulnerabilità di esecuzione di codice remoto esistente in Apache Log4j. Uno sfruttamento a buon fine potrebbe permettere ad un hacker di eseguire codice arbitrario sul sistema interessato.
2. ↑ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – le http reader consentono al client e al server di trasmettere informazioni aggiuntive con una richiesta HTTP. Un attaccante può utilizzare la vulnerabile per eseguire da remoto codice arbitrario sul computer della vittima.
3. ↑MVPower DVR Remote Code Execution – nei dispositivi DVR MVPower è presente una vulnerabilità nell’esecuzione di codice da remoto. Un attaccante può sfruttare questa debolezza per eseguire un codice arbitrario nel router interessato tramite una richiesta manipolata.

I malware mobile più diffusi di marzo: 

Il mese scorso, Ahmyth è passato al primo posto come malware mobile più diffuso, seguito da Anubis e Hiddad.

1. AhMyth – è un trojan ad accesso remoto (RAT) scoperto nel 2017. Viene distribuito attraverso applicazioni Android che possono essere trovate su app store e vari siti web. Quando un utente installa una di queste app infette, il malware può raccogliere informazioni sensibili dal dispositivo ed eseguire azioni come keylogging, screenshot, invio di SMS e attivazione della fotocamera, che di solito viene utilizzata per rubare informazioni sensibili.

2. Anubis – è un banking trojan progettato per Android. Da quando è stato rilevato, ha acquisito ulteriori funzioni, tra cui essere un trojan ad accesso remoto (RAT), keylogger, avere la capacità di registrazione audio e varie funzionalità ransomware. È stato rilevato in centinaia di app disponibili su Google Store.
3. Hiddad – è un malware Android che riconfeziona app legittime per inserirle in uno store di terze parti. La sua funzione principale è mostrare annunci pubblicitari, ma è anche in grado di scovare un accesso a informazioni di sicurezza fondamentali presenti nel sistema operativo, consentendo agli hacker di rubare dati sensibili.

Il Global Threat Impact Index di Check Point e la ThreatCloud Map sono alimentati dalla ThreatCloud intelligence di Check Point. ThreatCloud fornisce in tempo reale informazioni sulle minacce derivate da centinaia di milioni di sensori in tutto il mondo, su reti, endpoint e cellulari. È arricchita da motori AI-based e da dati esclusivi di Check Point Research, il braccio di intelligence e ricerca di Check Point Software Technologies.