Nella classifica Check Point di luglio relativa ai malware più diffusi, entra per la prima volta Snake Keylogger. In Italia a spaventare è il Trojan Blindingcan.
Nel Global Threat Index i ricercatori sottolineano che Trickbot è ancora il malware più diffuso .
Snake Keylogger, identificato per la prima volta nel novembre 2020, è salito al secondo posto dopo un’intensa campagna di phishing.
In Italia, invece, a spaventare maggiormente è Blindingcan che ha registrato un impatto sulle organizzazioni di oltre il 9% posizionandosi al primo posto in classifica. Blindingcan stacca di netto sia Formbook sia Trickbot, rispettivamente al secondo e al terzo posto.
Check Point classifica malware
Blindingcan è un trojan ad accesso remoto (RAT) proveniente dalla Corea del Nord, già presente in Italia a febbraio.
Questo RAT, che a livello globale è quasi assente con un impatto di appena lo 0,4%, contiene delle funzioni integrate che permetterebbero all’aggressore diverse capacità d’azione sul sistema della vittima.
Per quanto riguarda, invece, Snake Keylogger, si tratta di un malware che si caratterizza per il keylogging, rubando così le credenziali. La sua funzione principale è, infatti, quella di registrare le digitazioni degli utenti su computer o dispositivi mobili, e trasmettere i dati raccolti agli attori delle minacce.
Nelle ultime settimane, Snake sta crescendo rapidamente tramite e-mail di phishing di diverso genere in svariati Paesi e mercati.
Le peculiarità di Snake Keylogger
Le infezioni di Snake rappresentano una grande minaccia per la privacy degli utenti e la sicurezza online, poiché il malware è in grado di rubare praticamente tutti i tipi di informazioni sensibili ed è un keylogger particolarmente evasivo e persistente.
Attualmente ci sono forum di hacking clandestine dove il Keylogger Snake è disponibile per l’acquisto, che va dai 25 ai 500 dollari, a seconda del livello di servizio offerto.
Check Point classifica malware
Gli attacchi di keylogger possono essere particolarmente pericolosi perché gli individui tendono a utilizzare la stessa password e lo stesso nome utente per diversi account, e una volta che una credenziale di accesso viene violata, il cybercriminale ottiene l’accesso a tutti gli account che hanno la stessa password.
Per fermarli, è essenziale utilizzare per ogni profilo diverso una password diversa. Per fare questo, si può utilizzare un gestore di password, che permette sia di gestire che di generare diverse combinazioni di accesso sicure per ogni servizio in base alle linee guida stabilite.
Check Point classifica malware
I tre malware più diffusi a luglio
A luglio, Trickbot è il malware più popolare con un impatto del 4% delle organizzazioni a livello globale, seguito da Snake Keylogger e XMRig, ciascuno con un impatto globale del 3%.
- ↔ Trickbot: botnet modulare e banking trojan dominante che viene costantemente aggiornato con nuove capacità, caratteristiche e vettori di distribuzione.
- ↑ Snake Keylogger: keylogger modulare .NET e ruba-credenziali individuato per la prima volta a novembre 2020; la sua funzionalità principale è quella di registrare le digitazioni degli utenti e trasmettere i dati raccolti ai cybercriminali.
- ↓ XMRig: mining software open-source CPU utilizzato per il mining della valuta criptata Monero, e visto per la prima volta a maggio 2017.
Le tre vulnerabilità più sfruttate a luglio
Questo mese “Web Server Exposed Git Repository Information Disclosure” è la vulnerabilità più comunemente sfruttata, con un impatto del 45% delle organizzazioni a livello globale. Segue “HTTP Headers Remote Code Execution” che colpisce il 44% delle organizzazioni mondiali. “MVPower DVR Remote Code Execution” è al terzo posto nella lista delle vulnerabilità più sfruttate, con un impatto globale del 42%.
Check Point classifica malware
- ↑ Web Server Exposed Git Repository Information Disclosure: vulnerabilità di diffusione delle informazioni è stata segnalata in Git Repository. Uno sfruttamento riuscito di questa vulnerabilità potrebbe consentire una divulgazione non intenzionale di informazioni sull’account.
- ↓HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827,CVE-2020-10828,CVE-2020-13756): consente al client e al server di passare informazioni aggiuntive con una richiesta HTTP.
- ↓ MVPower DVR Remote Code Execution: vulnerabilità di esecuzione del codice da remoto nei dispositivi MVPower DVR. Un malintenzionato può sfruttare questa falla da remoto per eseguire codice arbitrario nel router interessato tramite una richiesta creata ad hoc.
Check Point classifica malware
I tre malware mobile più diffusi a luglio
- xHelper: app Android dannosa, individuata a marzo 2019, utilizzata per scaricare altre app dannose e visualizzare pubblicità. È in grado di nascondersi dall’utente e dai programmi antivirus mobile, e si reinstalla se l’utente la disinstalla.
- AlienBot: la famiglia di malware AlienBot è un Malware-as-a-Service (MaaS) per dispositivi Android che permette inizialmente a un aggressore remoto di iniettare un codice dannoso in applicazioni finanziarie regolari.
- Hiddad: malware Android che riconfeziona app legali e poi le consegna a uno store di terze parti. In grado anche di accedere ai dati chiave di sicurezza, integrati nel sistema operativo, consentendo all’aggressore di ottenere dati sensibili dell’utente.