Gli hacker prediligono i malware di cryptomining che agiscono anche senza una sessione attiva del browser. Lo dice l’ultimo Global Threat Index di Check Point. I dati di marzo 2018 del Global Threat Impact Index di Check Point Software Technologies, fornitore di soluzioni di cybersecurity a livello globale, rivelano un’impennata nella diffusione di malware per il mining di criptovalute – in particolare, derivanti dal malware endpoint noto come la variante di XMRig.
Maya Horowitz, Threat Intelligence Group Manager di Check Point I malware di cryptomining si sono rivelato un vero e proprio successo per i cyber criminali, e l’ascesa di XMRig indica che sono attivamente partecipi nel miglioramento dei loro metodi per essere sempre all’avanguardia. Oltre a rallentare PC e server, il malware di cryptomining può diffondersi lateralmente, una volta all’interno della rete, minacciando la sicurezza degli utenti. È quindi fondamentale che le imprese adottino una strategia di cybersecurity multilivello che protegga sia dalle famiglie di malware conosciute sia dalle nuove minacce.
L’Italia ha subìto in primo luogo il dominio di Coinhive, uno script di mining che utilizza la CPU degli utenti online per minare la criptovaluta Monero; di Cryptoloot, malware che utilizza la potenza della CPU o della GPU della vittima e le risorse esistenti per il mining di criptovalute; e di Rig EK, che diffonde exploit per Flash, Java, Silverlight e Internet Explorer. Invece a livello globale, il Global Threat Impact Index ha rilevato un’impennata degli attacchi derivanti dal malware per il mining di criptovalute noto come la variante di XMRig.
I tre malware (La freccia si riferisce al cambio di posizione rispetto alla classifica del mese precedente) più diffusi a marzo 2018 sono stati:
↔ Coinhive – uno script di mining che utilizza la CPU degli utenti che visitano determinati siti web per minare la criptovaluta Monero.
↑ Rig EK – diffonde exploit per Flash, Java, Silverlight e Internet Explorer.
↑ Cryptoloot – malware che utilizza la potenza della CPU o della GPU della vittima e le risorse esistenti per il mining di criptovalute aggiungendo transazioni alla blockchain e rilasciando nuova valuta.
I tre malware per dispositivi mobili più diffusi a marzo 2018:
-Lokibot: trojan bancario che colpisce i sistemi Android e che ruba informazioni, può anche trasformarsi in un ransomware che blocca il telefono rimuovendo i privilegi dell’amministratore.
-Triada: malware modulare per Android che sferra l’attacco tramite una backdoor che concede privilegi amministrativi a malware scaricati.
-Hiddad: malware Android che riconfeziona app legali e poi le consegna a uno store di terze parti.
Le tre vulnerabilità più diffuse nel marzo 2018 sono state:
–Oracle WebLogic WLS Security Component Remote Code Execution (CVE-2017-10271): all’interno di Oracle WebLogic WLS esiste una vulnerabilità legata all’esecuzione di un codice in modalità remota. Ciò è dovuto al modo in cui Orac le WebLogic gestisce i decodificatori xml. Un attacco ben riuscito potrebbe portare a un’esecuzione di codice in modalità remota.
–SQL Injection:consiste nell’inserimento di query SQL, in input, dal client all’applicazione, sfruttando al contempo una vulnerabilità di sicurezza nel software di un’applicazione.
-Microsoft Windows HTTP.sys Remote Code Execution (MS15-034: CVE-2015-1635): legata all’esecuzione di codice in modalità remota in Windows. La vulnerabilità è dovuta a un errore nel modo in cui HTTP.sys gestisce un’intestazione HTTP malevola. Lo sfruttamento riuscito comporterebbe l’esecuzione di codice in modalità remota.
La lista completa delle 10 famiglie di malware più attive nel mese di marzo è disponibile sul blog di Check Point.
