Malware: Emotet, FormBook, GuLoader e Joker colpiscono
Check Point Research (CPR), la divisione Threat Intelligence Check Point® Software Technologies Ltd. (NASDAQ: CHKP), il principale fornitore di soluzioni di cybersecurity a livello globale ha pubblicato l’ultimo Global Threat Index per il mese di agosto 2022. CPR riporta che FormBook è ora il malware più diffuso, subentrando a Emotet, che ha mantenuto il primato fino a questo momento, dalla sua ricomparsa a gennaio.
FormBook è un infostealer che colpisce i sistemi operativi Windows e che, una volta distribuito, può raccogliere credenziali e screenshot, monitorare e registrare i tasti premuti, nonché scaricare ed eseguire file in base ai suoi ordini C&C (command and control). Da quando è stato individuato per la prima volta nel 2016, si è affermato sempre più, ed è stato messo sul mercato come Malware as a Service (MaaS) nei forum di hacking underground, per le sue forti tecniche di evasione e il prezzo relativamente basso.
In Italia, Formbook è il secondo malware più comune, preceduto da BLINDINGCAN, un trojan ad accesso remoto (RAT) che utilizza diverse tecniche per spacchettare ed eseguire una variante di Hidden Cobra RAT. Il malware è pericoloso per le sue funzioni integrate che gli consentono di eseguire operazioni da remoto per prendere il controllo del sistema della vittima.
Il mese di agosto ha visto anche un rapido aumento dell’attività di GuLoader, che è risultato essere il quarto malware più diffuso in tutto il mondo. GuLoader, inizialmente utilizzato per scaricare Parallax RAT, è stato poi applicato ad altri trojan di accesso remoto e infostealer, come Netwire, FormBook e AgentTesla. Viene comunemente distribuito attraverso campagne di phishing via e-mail, che inducono la vittima a scaricare e aprire un file malevolo, consentendo al malware di entrare in azione.
Inoltre, Check Point Research riporta che Joker, un Android spyware, è tornato in attività e ha conquistato il terzo posto nella classifica dei principali malware mobile del mese scorso. Una volta installato, Joker è in grado di rubare SMS, contatti e informazioni sul dispositivo, nonché di iscrivere la vittima a servizi premium a pagamento senza il suo consenso. La sua ascesa può essere in parte spiegata da un aumento delle campagne, in quanto è stato identificato come malware attivo in alcune applicazioni del Google Play Store.
“Emotet è sceso dal primo al quinto posto, mentre Joker è diventato il terzo malware mobile più diffuso. I cambiamenti che abbiamo visto nella classifica di agosto riflettono la velocità con cui il panorama delle minacce può cambiare”, ha dichiarato Maya Horowitz, VP Research di Check Point Software. “Questo dovrebbe ricordare ai privati e alle aziende l’importanza di tenersi aggiornati sulle minacce più recenti, perché sapere come proteggersi è essenziale. Gli hacker sono in continua evoluzione e l’emergere di FormBook dimostra che non dobbiamo sottovalutare la sicurezza e dobbiamo adottare un approccio orientato alla prevenzione, su reti, endpoint e cloud.”
Le tre vulnerabilità più sfruttate del mese di agosto:
* Le frecce si riferiscono al cambio di classifica rispetto al mese precedente
FormBook è il malware più diffuso questo mese, con un impatto del 5% delle organizzazioni in tutto il mondo, seguito da AgentTesla con un impatto del 4% e XMRig con il 2%.
- ↑ FormBook – un infostealer che colpisce il Sistema Operativo Windows, identificato per la prima volta nel 2016. È sul mercato, nei forum di hacker underground, come Malware-as-a-Service (MaaS) per le sue efficaci tecniche di evasione e il suo prezzo relativamente basso. FormBook è in grado di prelevare le credenziali da diversi browser web, raccogliere screenshot monitorare e registrare sequenze di tasti, e può scaricare ed eseguire file in base agli ordini del suo C&C.
- ↑ AgentTesla – un RAT avanzato che funziona come un keylogger che ruba informazioni ed è in grado di monitorare e raccogliere l’input della tastiera della vittima e la tastiera del sistema, acquisendo screenshot, ed esfiltrando le credenziali a una varietà di software installati sulla macchina della vittima (tra cui Google Chrome, Mozilla Firefox e Microsoft Outlook).
- ↓ XMRig – un software CPU open-source utilizzato per estrarre criptovaluta Monero. I cyber criminali spesso abusano di questi software open-source integrandoli nei loro malware per effettuare azioni illecite di mining sui dispositivi delle vittime.
I settori più attaccati a livello globale per il mese di agosto:
Questo mese il settore istruzione e ricerca è rimasto al primo posto come settore più attaccato a livello globale, seguito da quello governativo/militare e da quello sanitario.
- Education/Research
- Governo/Militare
- Healthcare
In Italia:
- Education/Research
- Software vendor
- Finance/Banking
Le tre vulnerabilità più sfruttate del mese di agosto a livello mondiale:
Questo mese, “Apache Log4j Remote Code Execution” è la vulnerabilità più sfruttata, con un impatto del 44% delle organizzazioni a livello globale, seguita da “Web Server Exposed Git Repository Information Disclosure”, scesa dal primo al secondo posto, con un impatto del 42%. “Web Server Malicious URL Directory Traversal” rimane al terzo posto, con il 39%.
- ↑ Apache Log4j Remote Code Execution (CVE-2021-44228) – una vulnerabilità di esecuzione di codice remoto esistente in Apache Log4j. Uno sfruttamento a buon fine potrebbe permettere ad un hacker di eseguire codice arbitrario sul sistema interessato.
- ↓ Web Server Exposed Git Repository Information Disclosure – una vulnerabilità di diffusione delle informazioni segnalata in Git Repository. Uno sfruttamento riuscito di questa vulnerabilità potrebbe consentire una divulgazione non intenzionale di informazioni sull’account.
- ↔ Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) – vulnerabilità dovuta a un errore di convalida dell’input in un server web che non sanifica correttamente l’URL per pattern directory traversal. Uno sfruttamento riuscito permette agli aggressori non autenticati di rivelare o accedere a file arbitrari sul server vulnerabile.
I malware mobile più diffusi di agosto:
Questo mese AlienBot è il malware mobile più diffuso, seguito da Anubis e Joker.
- AlienBot – questa famiglia di malware è un Malware-as-a-Service (MaaS) per dispositivi Android che permette a un aggressore remoto di iniettare un codice dannoso in applicazioni finanziarie regolari. L’aggressore ottiene l’accesso ai conti delle vittime e il controllo del loro dispositivo.
- Anubis – un banking trojan progettato per Android. Da quando è stato rilevato, ha acquisito ulteriori funzioni, tra cui essere un trojan ad accesso remoto (RAT), keylogger, avere la capacità di registrazione audio e varie funzionalità ransomware. È stato rilevato in centinaia di app disponibili su Google Store.
- Joker – un Android spyware presente su Google Play, progettato per rubare messaggi SMS, contatti e informazioni sul dispositivo. Inoltre, il malware può anche far iscrivere la vittima a servizi premium a pagamento senza che questa ne sia consapevole.
Il Global Threat Impact Index di Check Point e la sua ThreatCloud Map sono alimentati dalla ThreatCloud intelligence di Check Point. ThreatCloud fornisce in tempo reale informazioni sulle minacce derivate da centinaia di milioni di sensori in tutto il mondo, su reti, endpoint e cellulari. È arricchita da motori AI-based e da dati esclusivi di Check Point Research, il braccio di intelligence e ricerca di Check Point Software Technologies.
La lista completa delle 10 famiglie di malware più attive nel mese di agosto è disponibile sul blog.
Segui Check Point Research:
Blog: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_