Check Point segnala che aprile ha visto in tutto il mondo un boom per quello che riguarda i trojan bancari polivalenti Trickbot, con performance negativa dell’Italia. I trojan bancari “polivalenti” Trickbot sono stati una scelta condivisa da numerosi cyber criminali sempre alla ricerca di guadagni. Le campagne Trickbot hanno registrato così ad aprile una brusca impennata e molte di queste hanno preso di mira il Tax Day americano, il giorno di scadenza negli Stati Uniti per l’invio delle dichiarazioni dei redditi. Le campagne di spam si trasmettevano tramite gli allegati di Excel che, se aperti, permettevano di scaricare Trickbot sui computer delle vittime con l’obiettivo di raccogliere dati bancari e sottrarre documenti fiscali.
A livello globale, mentre le tre varianti di malware più diffuse di aprile sono state cryptominer, le restanti sette posizioni delle prime dieci sono state occupate da trojan “polivalenti”. Ciò sottolinea un cambiamento nelle tecniche utilizzate dai criminali per massimizzare i loro guadagni finanziari dalle campagne, a seguito della chiusura di numerosi servizi di criptomining e della riduzione dei valori delle criptovalute avvenuta nell’ultimo anno.
Maya Horowitz, Threat Intelligence and Research Director di Check Point
Ad aprile abbiamo notato come sia Trickbot sia Emotet siano entrati nella top 10 dei malware più diffusi. Questo fatto è particolarmente preoccupante, dato che entrambe le botnet sono oggi utilizzate non solo per rubare dati e credenziali, ma anche per diffondere il ransomware Ryuk. Ryuk è famoso perché si rivolge ad asset come database e server di backup, chiedendo un riscatto fino a oltre un milione di dollari. Poiché questi malware sono in continua evoluzione, è fondamentale avere una solida linea di difesa contro di loro grazie a una prevenzione avanzata delle minacce.
I tre malware più diffusi ad aprile 2019 sono stati:
*La freccia si riferisce al cambio di posizione rispetto alla classifica del mese precedente
↑ Cryptoloot – malware che utilizza la potenza della CPU o della GPU della vittima e le risorse esistenti per il mining di criptovalute aggiungendo transazioni alla blockchain e rilasciando nuova valuta.
↑ XMRig – mining software open-source CPU utilizzato per il mining della valuta criptata Monero, e visto per la prima volta da maggio 2017.
↑ Jsecoin – il miner JavaScript che può essere inserito all’interno dei siti. Con JSEcoin, è possibile inserire un miner direttamentre nel browser in cambio di un’esperienza di navigazione senza annunci pubblicitari, percepiti sempre più come invasivi.
I tre malware per dispositivi mobili più diffusi ad aprile 2019:
1. Triada – malware modulare per Android che sferra l’attacco tramite una backdoor che concede privilegi amministrativi a malware scaricati.
2. Lotoor – tecnica di hackeraggio in grado di sfruttare le vulnerabilità dei sistemi Android con lo scopo di ottenere i permessi di root sui dispositivi mobile infettati.
3. Hiddad – malware Android che riconfeziona app legali e poi le consegna a uno store di terze parti. La sua funzione principale è visualizzare annunci, ma è anche in grado di accedere ai dati chiave di sicurezza.
I ricercatori di Check Point hanno anche analizzato le vulnerabilità informatiche più sfruttate: OpenSSL TLS DTLS Heartbeat Information Disclosure conquista il primo posto tra le vulnerabilità maggiormente sfruttate, con un impatto globale del 44%.
Le tre vulnerabilità più diffuse nel mese di aprile sono state:
↑ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – in OpenSSL esiste una vulnerabilità che diffonde informazioni a causa di un errore durante la gestione dei pacchetti TLS/DTLS heartbeat.
↓ Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) – inviando una richiesta a una rete Microsoft Windows Server 2003 R2 tramite Microsoft Internet Information Services 6.0, un hacker potrebbe eseguire un codice arbitrario o causare una negazione delle condizioni del servizio sul server di destinazione.
↑ Apache Struts2 Content-Type Remote Code Execution (CVE-2017-5638) – esiste una vulnerabilità legata all’esecuzione di codice in modalità remota in Apache Struts2 che utilizza il parser di Jakarta.