Top malware 2025: FakeUpdate ancora prima minaccia

Di
Redazione Data Manager Online
-
Top malware 2025: FakeUpdate ancora prima minaccia

In Italia FakeUpdates si conferma la principale minaccia con un impatto del 10,61%, mentre al secondo posto risale Androxgh0st e al terzo si conferma Formbook

Check Point Software Technologies, pioniere e leader globale nelle soluzioni di sicurezza informatica, ha pubblicato il suo Global Threat Index relativo al mese di marzo di 2025, evidenziando il continuo dominio di FakeUpdates, un malware downloader che rimane la minaccia informatica più diffusa a livello mondiale.

Questo mese, i ricercatori hanno scoperto una nuova campagna di intrusioni che ha portato a FakeUpdates, il malware più presente, e agli attacchi ransomware di RansomHub. FakeUpdates continua a essere il malware più diffuso, con un trend di rilievo nel mese di marzo (+162% rispetto al mese precedente). La catena di attacco coinvolge siti web compromessi e falsi aggiornamenti del browser per indurre gli utenti a scaricare il malware FakeUpdates. Inoltre, JavaScript consente l’esfiltrazione dei dati, l’esecuzione di comandi e l’accesso persistente per un ulteriore sfruttamento. Questi risultati sottolineano l’evoluzione delle tattiche impiegate dai criminali informatici, con piattaforme legittime come Dropbox e TryCloudflare sempre più sfruttate per eludere il rilevamento e mantenere la persistenza.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

In Italia, anche a marzo 2025 FakeUpdate continua ad essere la minaccia più presente, con un impatto quasi raddoppiato rispetto a quanto rilevato a febbraio (+85%). Al secondo posto torna Androxgh0st con un valore praticamente uguale al mese scorso nonostante fosse al quarto posto, e al terzo si conferma Formbook con un impatto ridimensionato. Salta all’occhio l’enorme crescita di FakeUpdates che ha creato un solco tra sé e gli altri malware che rimangono stabili o con un impatto inferiore.

Nello specifico, la minaccia più importante risulta essere ancora FakeUpdates (downloader JavaScript in grado di scrivere i payload su disco prima di lanciarli, che ha portato a ulteriori attacchi tramite numerose altre minacce informatiche, tra cui GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult), con un impatto del 10,61%, (+4,86 rispetto a febbraio, ovvero +85%, e sempre superiore all’impatto rilevato a livello globale che è dell’8,15%). La seconda minaccia nel nostro Paese risulta essere il malware Androxgh0st (botnet che colpisce le piattaforme Windows, Mac e Linux e ruba informazioni sensibili) con un impatto del 3,49% in linea col valore di un mese fa quando era quarto (+1,25 rispetto al dato globale). Al terzo posto nel mese di febbraio torna a farsi notare Formbook (Infostealer che colpisce il sistema operativo Windows ed è stato rilevato per la prima volta nel 2016), con un impatto del 2,99%, fortemente ridimensionato (-38,8%) rispetto al dato di febbraio, ma superiore rispetto al rilevamento globale.

Leggi anche:  Le soluzioni per Google Workspace di Stormshield ed Evertrust ora interoperabili

Nel frattempo, i ricercatori hanno scoperto una massiccia campagna di phishing Lumma Stealer, che ha compromesso oltre 1.150 organizzazioni e 7.000 utenti in Nord America, Europa meridionale e Asia. Gli aggressori hanno distribuito quasi 5.000 PDF malevoli ospitati sul CDN di Webflow, utilizzando false immagini CAPTCHA per attivare l’esecuzione di PowerShell e distribuire il malware. Questa tendenza crescente a sfruttare piattaforme legittime per distribuire malware riflette un cambiamento nelle tattiche dei criminali informatici volte a eludere il rilevamento. Inoltre, i ricercatori hanno collegato il malware Lumma Stealer a falsi giochi Roblox e a uno strumento Windows Total Commander piratato e trojanizzato, promosso attraverso account Youtube dirottati.

“I criminali informatici continuano ad adattare le loro tattiche, affidandosi sempre più a piattaforme legittime per distribuire malware ed eludere il rilevamento”, commenta Maya Horowitz, VP of Research di Check Point Software. “Le organizzazioni devono rimanere vigili e implementare misure di sicurezza proattive per mitigare i rischi di queste minacce in evoluzione”.

Famiglie di malware più diffuse

*Le frecce si riferiscono alla variazione di posizione rispetto al mese precedente.

FakeUpdates è il malware più diffuso a marzo 2025 con un impatto dell’8% sulle organizzazioni mondiali, seguito da Remcos e AgenTesla, entrambi con un impatto del 3%.

  1. ↔ FakeUpdates (AKA SocGholish) continua a dominare, fornendo payload secondari attraverso download drive-by su siti web compromessi o malevoli. Questo malware è spesso collegato al gruppo di hacking russo Evil Corp e rimane una minaccia significativa per le organizzazioni di tutto il mondo.
  2. Remcos, un trojan per l’accesso remoto (RAT), rimane uno dei principali ceppi di malware, spesso utilizzato nelle campagne di phishing. La sua capacità di aggirare i meccanismi di sicurezza, come il controllo dell’account utente (UAC), lo rende uno strumento versatile per i criminali informatici.
  3. ↑ AgentTesla è un RAT (Trojan ad accesso remoto) avanzato che funziona come keylogger e ruba password. Attivo dal 2014, AgentTesla è in grado di monitorare e raccogliere gli input della tastiera e gli appunti di sistema della vittima, registrare screenshot ed esfiltrare le credenziali inserito in una serie di software installati sul computer della vittima (tra cui Google Chrome, Mozilla Firefox e il client di posta elettronica Microsoft Outlook). AgentTesla è apertamente venduto come un RAT legittimo, con clienti che pagano 15 – 69 dollari per le licenze utente.
Leggi anche:  ESET ha scoperto vulnerabilità zero-day e zero-click in Mozilla e Windows sfruttate dal gruppo APT filo-russo RomCom

Principali malware per dispositivi mobili

Anche nel mese di marzo Anubis occupa il primo posto tra le minacce informatiche mobili più diffuse, seguito da Necro e AhMyth.

  1. ↔ Anubis, trojan bancario progettato per smartphone Android, continua a essere al primo posto tra le minacce informatiche per dispositivi mobili. Rimane un importante trojan bancario, in grado di aggirare l’autenticazione a più fattori (MFA), di eseguire keylogging e di svolgere funzioni di ransomware.
  2. Necro è un Trojan Dropper per Android in grado di scaricare altri malware, mostrare annunci invadenti e rubare denaro attraverso l’addebito di abbonamenti a pagamento.
  3. ↓ AhMyth è un Remote Access Trojan (RAT) scoperto nel 2017 distribuito attraverso applicazioni Android presenti negli app store e su vari siti Web. Quando un utente installa una di queste app infette, il malware può raccogliere informazioni sensibili dal dispositivo ed eseguire azioni come il keylogging, registrare screenshot, inviare messaggi SMS e attivare la fotocamera, solitamente allo scopo di sottrarre informazioni riservate.

I settori più attaccati a livello globale

Per l’ottavo mese consecutivo il settore dell’istruzione si è classificato come il più attaccato a livello globale. Al secondo posto sale il settore delle Telecomunicazioni e al terzo si conferma quello governativo.

  1. Istruzione
  2. Telecomunicazioni
  3. Governo

I gruppi di ransomware maggiormente rilevati

I dati dei “siti della vergogna” del ransomware rilevano che RansomHub è il gruppo di ransomware più diffuso questo mese, responsabile del 12% degli attacchi pubblicati, seguito da Qilin e Akira, entrambi con un impatto del 6%.

  1. RansomHub è un’operazione di Ransomware-as-a-Service (RaaS) che è emersa come versione ribrandizzata del ransomware Knight, precedentemente noto. Emerso all’inizio del 2024 nei forum clandestini di criminalità informatica, RansomHub ha rapidamente guadagnato notorietà per le sue campagne aggressive rivolte a vari sistemi, tra cui Windows, macOS, Linux e in particolare agli ambienti VMware ESXi. Questo malware è noto per l’impiego di sofisticati metodi di crittografia.
  2. Qilin, noto anche come Agenda, è un’operazione criminale di ransomware-as-a-service crittografa ed esfiltra i dati dalle organizzazioni compromesse, chiedendo poi un riscatto. Questa variante di ransomware è stata rilevata per la prima volta nel luglio 2022 ed è sviluppata in Golang. Agenda è nota per prendere di mira le grandi imprese e le organizzazioni di alto valore, con particolare attenzione ai settori della sanità e dell’istruzione. Qilin si infiltra tipicamente nelle vittime tramite e-mail di phishing contenenti link dannosi per stabilire l’accesso alle loro reti ed esfiltrare informazioni sensibili. Una volta entrato, Qilin di solito si muove lateralmente attraverso l’infrastruttura della vittima, alla ricerca di dati critici da criptare.
  3. Akira, gruppo di ransomware più recente, si concentra sui sistemi Windows e Linux. Il gruppo è stato collegato a campagne di phishing e a exploit negli endpoint VPN, il che lo rende una seria minaccia per le organizzazioni
Leggi anche:  Cisco Consumer Privacy Survey 2024: i consumatori italiani conoscono le leggi sulla privacy