Check Point Software Technologies ha presentato il Global Threat Index di ottobre, dove per la prima volta un trojan ad accesso remoto entra nella top 10.
Durante il mese di ottobre, infatti, i ricercatori di Check Point hanno scoperto una campagna malware che ha dato ampio spazio a un trojan ad accesso remoto (RAT), il “FlawedAmmy” che permette agli aggressori di accedere alla videocamera e al microfono dell’apparecchio, raccogliere screenshot, rubare credenziali, file sensibili e monitorare in modo indiscreto le vittime.
Attraverso una serie massiccia di attacchi, la campagna malware del RAT FlawedAmmy è stata la più estesa degli ultimi mesi.
Si tratta del primo RAT a classificarsi tra i primi 10 malware del Global Threat Index.
Maya Horowitz, Threat Intelligence Group Manager di Check Point
Questo mese, abbiamo visto un RAT entrare per la prima volta nella top 10. Negli ultimi mesi abbiamo rilevato diverse campagne del RAT FlawedAmmy, ma l’ultima è stata la più grande e diffusa in termini di impatto. Anche se i cryptominer rimangono la minaccia dominante, questo può indicare che dati come le credenziali di accesso, i file sensibili, le informazioni bancarie e di pagamento, non hanno perso il loro appeal a scopo di lucro per i criminali informatici.
A guidare la classifica di Check Point sono sempre i malware cryptomining.
Come Coinhive, il malware più diffuso con un impatto globale del 18%, e Cryptoloot, che è salito al secondo posto, con un impatto globale dell’8%. Nel nostro Paese a dominare la scena il solito Coinhive. Dietro si posiziona Conficker, worm informatico che sfrutta le vulnerabilità del sistema operativo Windows e utilizza dei dictionary attack sulle password degli admin per consentirne la diffusione durante la formazione di una botnet.
I tre malware più diffusi a ottobre 2018:
– Coinhive (stabile), script di mining che utilizza la CPU per minare la criptovaluta Monero.
– Cryptoloot (in crescita), malware che utilizza la potenza della CPU o della GPU della vittima e le risorse esistenti per il mining di criptovalute aggiungendo transazioni alla blockchain e rilasciando nuova valuta.
– Dorkbot (in calo), IRC-worm progettato per consentire l’esecuzione di codice da remoto da parte del proprio operatore, nonché il download di ulteriori malware sul sistema infetto.
I malware mobile
Questo mese, Triada, malware modulare per Android, è salito al primo posto tra i migliori malware mobile; sostituisce Lokibot, trojan bancario che colpisce i sistemi Android e che ruba informazioni, che è sceso al secondo posto. Mentre Hiddad è tornato ad occupare il terzo tra i malware mobile più diffusi di questo mese.
I tre malware per dispositivi mobili più diffusi a ottobre 2018:
– Triada, malware modulare per Android che sferra l’attacco tramite una backdoor che concede privilegi amministrativi a malware scaricati.
– Lokibot, trojan bancario che colpisce i sistemi Android e che ruba informazioni, può trasformarsi in un ransomware che blocca il telefono rimuovendo i privilegi dell’amministratore.
– Hiddad, malware Android che riconfeziona app legali e poi le consegna a uno store di terze parti.
Le vulnerabilità informatiche
Ancora una volta, primo posto per CVE-2017-7269 con un impatto globale del 48%; secondo posto per OpenSSL TLS DTLS DTLS Heartbeat Information Disclosure con un impatto del 46%; segue Web servers PHPMyAdmin Misconfiguration Code Injection, che ha coinvolto del 42% delle organizzazioni.
Le tre vulnerabilità più diffuse nel mese di ottobre 2018:
– Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269), stabile.
– OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346), in crescita.
– Web servers PHPMyAdmin Misconfiguration Code Injection, in crescita.