Il Global Threat Impact Index di Check Point rivela una versione di malware innovativo crittografato, che sfrutta servizi cloud pubblici come Google Drive
Check Point Software Technologies, ha pubblicato il suo Global Threat Index per il mese di maggio. I ricercatori hanno segnalato una nuova versione di GuLoader, il downloader shellcode che si è classificato come quarto malware più diffuso il mese scorso. Grazie a payload completamente crittografati e a tecniche anti-analisi, l’ultima versione può essere archiviata in cloud di uso pubblico, tra cui Google Drive, senza essere individuata.
Il malware GuLoader, ampiamente utilizzato dai criminali informatici per aggirare il rilevamento antivirus, ha subito cambiamenti significativi. L’ultima versione adotta una tecnica sofisticata di sostituzione del codice in un processo legittimo, facilitando l’elusione degli strumenti di monitoring. I payload sono completamente crittografati e archiviati senza essere rilevati in rinomati servizi cloud pubblici, tra cui Google Drive. Questa miscela unica di crittografia, formato binario grezzo e separazione dal loader rende i payload invisibili ai programmi antivirus, rappresentando una seria minaccia per gli utenti e le aziende di tutto il mondo.
“I tool e i servizi pubblici sono sempre più sfruttati dai criminali informatici per distribuire e archiviare campagne di malware. L’affidabilità di un codice sorgente non garantisce più una sicurezza completa. Ciò evidenzia l’urgente necessità di una formazione per identificare le attività sospette. Consigliamo caldamente di non rivelare informazioni personali e di non scaricare allegati a meno che non siano state confermate l’autenticità e la natura benevola della richiesta.” ha dichiarato Maya Horowitz, VP Research di Check Point Software. “Inoltre, è fondamentale disporre di soluzioni di sicurezza avanzate come Check Point Horizon XDR/XPR, in grado di identificare efficacemente se un comportamento apparentemente benigno è in realtà malevolo, fornendo un livello di protezione aggiuntivo contro le minacce più sofisticate.”
Nel frattempo, in Italia (7% di impatto) così come in tutto il mondo (6%), Qbot continua a dominare la classifica, ed è il primo malware della classifica seguito da Formbook e BLINDINGCAN nel Belpaese. Nonostante gli sforzi per rallentare la distribuzione del malware bloccando le macro nei file di Office, gli operatori che gestiscono Qbot sono stati rapidi nell’adattare la loro distribuzione e somministrazione. Di recente è stato visto sfruttare una vulnerabilità della libreria di collegamento dinamico (DLL) nel programma WordPad di Windows 10 al fine di infettare i computer.
Le tre vulnerabilità più sfruttate del mese di maggio:
* Le frecce si riferiscono al cambio di classifica rispetto al mese precedente
Qbot è stato il malware più diffuso il mese scorso, con un impatto del 6% sulle organizzazioni mondiali, seguito da Formbook con un impatto globale del 5% e AgentTesla con il 3%.
- ↑ Qbot – è noto anche come Qakbot, è un banking trojan apparso per la prima volta nel 2008, progettato per rubare le credenziali bancarie e le sequenze di tasti dell’utente. Spesso distribuito via e-mail spam, Qbot impiega diverse tecniche
- ↑ Formbook – è un infostealer che colpisce il Sistema Operativo Windows, identificato per la prima volta nel 2016. È sul mercato, nei forum di hacker underground, come Malware-as-a-Service (MaaS) per le sue efficaci tecniche di evasione e il suo prezzo relativamente basso. FormBook è in grado di prelevare le credenziali da diversi browser web, raccogliere screenshot, monitorare e registrare sequenze di tasti, e può scaricare ed eseguire file in base agli ordini del suo C&C.
- ↓ AgentTesla – è un RAT avanzato che funziona come un keylogger che ruba informazioni ed è in grado di monitorare e raccogliere l’input della tastiera della vittima e la tastiera del sistema, acquisendo screenshot, ed esfiltrando le credenziali a una varietà di software installati sulla macchina della vittima (tra cui Google Chrome, Mozilla Firefox e Microsoft Outlook).
I settori più attaccati a livello globale per il mese di maggio:
Il settore Istruzione/Ricerca si è confermato al primo posto tra i settori più attaccati a livello globale, seguito da quello Governativo/Militare e da quello Sanitario.
- Education/Research
- Government/Military
- Healthcare
In Italia:
- Education/Research
- Finance/Banking
- ISP/MSP
Le tre vulnerabilità più sfruttate del mese di maggio:
Il mese scorso “Web Servers Malicious URL Directory Traversal” è stata la vulnerabilità più sfruttata, con un impatto sul 49% delle organizzazioni a livello globale, seguita da “Apache Log4j Remote Code Execution” con il 45% e “HTTP Headers Remote Code Execution” con un impatto globale del 44%.
- ↔ Web Servers Malicious URL Directory Traversal – esiste una vulnerabilità di directory traversal su diversi server web. La vulnerabilità è dovuta a un errore di convalida dell’input in un server web che non sanifica correttamente l’URL per pattern directory traversal. Uno sfruttamento riuscito permette agli attaccanti non autenticati di rivelare o accedere a file arbitrari sul server vulnerabile.
- ↔ Apache Log4j Remote Code Execution (CVE-2021-44228) – è una vulnerabilità di esecuzione di codice remoto esistente in Apache Log4j. Uno sfruttamento a buon fine potrebbe permettere ad un attaccante di eseguire codice arbitrario sul sistema interessato.
- ↔ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – le http reader consentono al client e al server di trasmettere informazioni aggiuntive con una richiesta HTTP. Un attaccante può utilizzare la vulnerabilità per eseguire da remoto codice arbitrario sul computer della vittima.
I malware mobile più diffusi di maggio:
Il mese scorso, Anubis è passato al primo posto come malware mobile più diffuso, seguito da AhMyth e Hiddad.
- Anubis – è un banking trojan progettato per Android. Da quando è stato rilevato, ha acquisito ulteriori funzioni, tra cui essere un trojan ad accesso remoto (RAT), keylogger, avere la capacità di registrazione audio e varie funzionalità ransomware. È stato rilevato in centinaia di app disponibili su Google Store.
- AhMyth – è un trojan ad accesso remoto (RAT) scoperto nel 2017. Viene distribuito attraverso applicazioni Android che possono essere trovate su app store e vari siti web. Quando un utente installa una di queste app infette, il malware può raccogliere informazioni sensibili dal dispositivo ed eseguire azioni come keylogging, screenshot, invio di SMS e attivazione della fotocamera, che di solito viene utilizzata per rubare informazioni sensibili.
- Hiddad – è un malware Android che riconfeziona app legittime per inserirle in uno store di terze parti. La sua funzione principale è mostrare annunci pubblicitari, ma è anche in grado di scovare un accesso a informazioni di sicurezza fondamentali presenti nel sistema operativo, consentendo agli attaccanti di rubare dati sensibili.
Il Global Threat Impact Index di Check Point e la ThreatCloud Map sono alimentati dalla ThreatCloud intelligence di Check Point. ThreatCloud fornisce in tempo reale informazioni sulle minacce derivate da centinaia di milioni di sensori in tutto il mondo, su reti, endpoint e cellulari. È arricchita da motori AI-based e da dati esclusivi di Check Point Research, il braccio di intelligence e ricerca di Check Point Software Technologies.