Check Point Research ha scoperto una vasta campagna malspam che utilizzava il trojan Qbot, piazzatosi al primo posto anche in Italia. Nel frattempo, il malware IoT, Mirai, è rientrato nell’elenco dei malware più pericolosi dopo un anno di assenza
Check Point Software Technologies ha pubblicato il proprio Global Threat Index per il mese di aprile 2023. Il mese scorso, i ricercatori hanno scoperto una massiccia campagna di malspam Qbot, distribuita attraverso file PDF malevoli allegati a e-mail visualizzate in diverse lingue. Qbot si è riconfermato anche in Italia con il 10% di impatto sulle organizzazioni, è il malware più diffuso a livello nazionale, seguito da Formbook e AgentTesla. Nel frattempo, il malware Internet-of-Things (IoT) Mirai è entrato nella lista mondiale per la prima volta dopo un anno, avendo sfruttato una nuova vulnerabilità nei router TP-Link, mentre il settore Healthcare è salito al secondo posto tra i settori più colpiti.
La campagna Qbot rilevata il mese scorso prevede un nuovo metodo di diffusione in cui viene inviata un’e-mail ai bersagli con un allegato contenente file PDF protetti. Una volta scaricati, il malware Qbot viene installato sul dispositivo. I ricercatori hanno riscontrato casi di invio in più lingue diverse, il che significa che le organizzazioni possono essere prese di mira in tutto il mondo.
Aprile ha visto anche il ritorno di Mirai, uno dei malware IoT più diffusi. I ricercatori hanno scoperto che sfruttava una nuova vulnerabilità zero-day CVE-2023-1380 per attaccare i router TP-Link e aggiungerli alla sua botnet, che è stata utilizzata per facilitare alcuni degli attacchi DDoS distribuiti più dirompenti mai registrati. Quest’ultima campagna rispecchia un ampio report pubblicato da Check Point Research (CPR) sulla prevalenza degli attacchi IoT.
Si è registrato anche un cambiamento nei settori colpiti, con la sanità che ha superato la pubblica amministrazione come secondo settore più sfruttato nel mese di aprile. Gli attacchi alle istituzioni sanitarie sono ben documentati e alcuni Paesi affrontano continui attacchi. Ad esempio, il gruppo di criminali informatici Medusa ha recentemente sferrato attacchi a strutture oncologiche in Australia. Il settore rimane un obiettivo redditizio per gli attaccanti, in quanto offre loro un potenziale accesso ai dati riservati dei pazienti e ai dati di pagamento. Ciò potrebbe avere implicazioni per le aziende farmaceutiche, in quanto potrebbe portare a fughe di notizie relative a studi clinici o a nuovi farmaci e dispositivi medici.
“I criminali informatici lavorano costantemente a nuovi metodi per aggirare le restrizioni, e queste campagne sono un’ulteriore prova di come il malware si adatti per sopravvivere. Con Qbot di nuovo all’attacco, ricordiamo ancora una volta l’importanza di disporre di una cybersecurity completa e di una dovuta attenzione quando si tratta di fidarsi della provenienza e delle intenzioni di un’e-mail”, ha dichiarato Maya Horowitz, VP Research di Check Point Software.
Le tre vulnerabilità più sfruttate del mese di aprile
* Le frecce si riferiscono al cambio di classifica rispetto al mese precedente
AgentTesla è stato il malware più diffuso il mese scorso, con un impatto di oltre il 10% sulle organizzazioni mondiali, seguito da Qbot e Formbook con un impatto globale del 4%.
- ↑ AgentTesla – è un RAT avanzato che funziona come un keylogger che ruba informazioni ed è in grado di monitorare e raccogliere l’input della tastiera della vittima e la tastiera del sistema, acquisendo screenshot, ed esfiltrando le credenziali a una varietà di software installati sulla macchina della vittima (tra cui Google Chrome, Mozilla Firefox e Microsoft Outlook).
- ↓ Qbot – è noto anche come Qakbot, è un banking trojan apparso per la prima volta nel 2008, progettato per rubare le credenziali bancarie e le sequenze di tasti dell’utente. Spesso distribuito via e-mail spam, Qbot impiega diverse tecniche anti-VM, anti-debug e anti-sandbox per ostacolare l’analisi ed eludere la detection.
- ↔ Formbook – è un infostealer che colpisce il Sistema Operativo Windows, identificato per la prima volta nel 2016. È sul mercato, nei forum di hacker underground, come Malware-as-a-Service (MaaS) per le sue efficaci tecniche di evasione e il suo prezzo relativamente basso. FormBook è in grado di prelevare le credenziali da diversi browser web, raccogliere screenshot, monitorare e registrare sequenze di tasti, e può scaricare ed eseguire file in base agli ordini del suo C&C.
I settori più attaccati a livello globale per il mese di aprile
Il settore Istruzione/Ricerca si è confermato al primo posto tra i settori più attaccati a livello globale, seguito da quello Sanitario e da quello Governativo/Militare.
- Education/Research
- Healthcare
- Government/Military
In Italia
- Education/Research
- Finance/Banking
- ISP/MSP
Le tre vulnerabilità più sfruttate del mese di aprile
Il mese scorso, “Web Servers Malicious URL Directory Traversal” è stata la vulnerabilità più sfruttata, con un impatto sul 48% delle organizzazioni a livello globale, seguita da “Apache Log4j Remote Code Execution” con il 44% e “HTTP Headers Remote Code Execution” con un impatto globale del 43%.
- ↑ Web Servers Malicious URL Directory Traversal – esiste una vulnerabilità di directory traversal su diversi server web. La vulnerabilità è dovuta a un errore di convalida dell’input in un server web che non sanifica correttamente l’URL per pattern directory traversal. Uno sfruttamento riuscito permette agli attaccanti non autenticati di rivelare o accedere a file arbitrari sul server vulnerabile.
- ↓ Apache Log4j Remote Code Execution (CVE-2021-44228) – è una vulnerabilità di esecuzione di codice remoto esistente in Apache Log4j. Uno sfruttamento a buon fine potrebbe permettere ad un hacker di eseguire codice arbitrario sul sistema interessato.
- ↓ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – le http reader consentono al client e al server di trasmettere informazioni aggiuntive con una richiesta HTTP. Un attaccante può utilizzare la vulnerabile per eseguire da remoto codice arbitrario sul computer della vittima.
I malware mobile più diffusi di aprile
Il mese scorso, Ahmyth è passato al primo posto come malware mobile più diffuso, seguito da Anubis e Hiddad.
- AhMyth – è un trojan ad accesso remoto (RAT) scoperto nel 2017. Viene distribuito attraverso applicazioni Android che possono essere trovate su app store e vari siti web. Quando un utente installa una di queste app infette, il malware può raccogliere informazioni sensibili dal dispositivo ed eseguire azioni come keylogging, screenshot, invio di SMS e attivazione della fotocamera, che di solito viene utilizzata per rubare informazioni sensibili.
- Anubis – è un banking trojan progettato per Android. Da quando è stato rilevato, ha acquisito ulteriori funzioni, tra cui essere un trojan ad accesso remoto (RAT), keylogger, avere la capacità di registrazione audio e varie funzionalità ransomware. È stato rilevato in centinaia di app disponibili su Google Store.
- Hiddad – è un malware Android che riconfeziona app legittime per inserirle in uno store di terze parti. La sua funzione principale è mostrare annunci pubblicitari, ma è anche in grado di scovare un accesso a informazioni di sicurezza fondamentali presenti nel sistema operativo, consentendo agli hacker di rubare dati sensibili.
Il Global Threat Impact Index di Check Point e la ThreatCloud Map sono alimentati dalla ThreatCloud intelligence di Check Point. ThreatCloud fornisce in tempo reale informazioni sulle minacce derivate da centinaia di milioni di sensori in tutto il mondo, su reti, endpoint e cellulari. È arricchita da motori AI-based e da dati esclusivi di Check Point Research, il braccio di intelligence e ricerca di Check Point Software Technologies.