Dieci malware più pericolosi, Emotet rimane al primo posto anche in aprile

Mentre nell’elenco Tofsee e Nanocore in aprile sono stati sostituiti da Formbook e Lokibot.

malware Check Point Security Report

Check Point Research, nella rilevazione di aprile, conferma che Emotet cambia metodo di diffusione ma rimane al primo posto tra i 10 malware più pericolosi.

Infatti Emotet è ancora il malware più diffuso, con un impatto sul 6% delle organizzazioni in tutto il mondo. Tuttavia, l’elenco degli altri malware ha subito un cambiamento: Tofsee e Nanocore sono stati sostituiti da Formbook e Lokibot, rispettivamente al secondo e al sesto posto nella classifica dei malware più diffusi.

Dieci i malware più pericolosi

L’alta percentuale di impatto di Emotet a marzo (10%) era dovuta principalmente a specifiche truffe di Pasqua. Il calo di questo mese potrebbe essere spiegato anche dalla decisione di Microsoft di disabilitare specifiche macro associate ai file di Office. Ma sembra che Emotet abbia un nuovo metodo di diffusione. L’utilizzo di e-mail di phishing che contengono un URL di OneDrive. Emotet mette a disposizione anche altri malware sui forum del darkweb, tra cui trojan bancari, ransomware, botnet, ecc. Di conseguenza, una volta che Emotet vede una breccia, le conseguenze possono variare a seconda del malware diffuso dopo la violazione.

Chi sale e chi scende

Secondo il Global Threat Index, Lokibot è rientrato nella lista al sesto posto dopo una campagna spam ad alto impatto che ha diffuso il malware tramite file xlsx. Questo, insieme all’ascesa di Formbook, ha avuto un effetto a catena sulla posizione di altri malware. Alla fine di marzo sono state scoperte alcune vulnerabilità critiche in Java Spring Framework, note come Spring4Shell. Da allora numerosi hacker hanno sfruttato questa minaccia per diffondere Mirai, che è diventato il nono malware più diffuso di questo mese.

Le minacce si evolvono

Maya Horowitz, VP Research di Check Point
Minacce informatiche in continua evoluzione. Grandi aziende come Microsoft che influenzano i parametri in cui i criminali informatici possono operare. Così questi ultimi devono diventare più creativi nel modo in cui distribuiscono malware. Come dimostra il nuovo metodo utilizzato da Emotet. Inoltre, questo mese abbiamo visto la vulnerabilità Spring4Shell andare alla ribalta. Sebbene non sia ancora nella top ten delle vulnerabilità, vale la pena notare che oltre il 35% delle organizzazioni di tutto il mondo sono già state colpite da questa minaccia solo nel primo mese. Quindi ci aspettiamo di vederla salire nella classifica nei prossimi mesi.

I tre malware più diffusi di aprile

Questo mese Emotet è ancora il malware più diffuso, con un impatto del 6% sulle organizzazioni in tutto il mondo, seguito da Formbook con un impatto del 3% e da AgentTesla con il 2%.

Dieci malware più pericolosi, Emotet sempre al primo posto

  • Emotet – un trojan avanzato, auto-propagante e modulare. Una volta usato come banking trojan, ora viene utilizzato come distributore di altri malware o campagne dannose.
  • Formbook – RAT avanzato che funziona come keylogger e ruba informazioni.
  • Agent Tesla – un RAT avanzato che funziona come un keylogger che ruba informazioni.

I settori più attaccati a livello globale

Nel mese di aprile sono stati:

  • Istruzione/Ricerca
  • Governo/Militare
  • ISP/MSP
  • In Italia:
  • Software vendor
  • Istruzione/Ricerca
  • Governo/Militare

Le tre vulnerabilità più sfruttate

In aprile:

Questo mese “Web Server Exposed Git Repository Information Disclosure” è la vulnerabilità più sfruttata, con un impatto del 46% sulle organizzazioni a livello globale. Seguita da vicino da “Apache Log4j Remote Code Execution” con un impatto globale del 46%. “Apache Struts ParametersInterceptor ClassLoader Security Bypass” è ora al terzo posto con il 45%.

In aprile quali sono stati i dieci malware più pericolosi

  • Web Server Exposed Git Repository Information Disclosure – una vulnerabilità di diffusione delle informazioni segnalata in Git Repository.
  • Apache Log4j Remote Code Execution (CVE-2021-44228) –  vulnerabilità di esecuzione di codice remoto esistente in Apache Log4j.
  • Apache Struts ParametersInterceptor ClassLoader Security Bypass (CVE-2014-0094, CVE-2014-0112, CVE-2014-0113, CVE-2014-0114) – la vulnerabilità in Apache Struts dovuta a una convalida inadeguata dei dati elaborati da ParametersInterceptor, che consente la manipolazione del ClassLoader.

I malware mobile più diffusi

Sempre in aprile sono stati:

  • AlienBot. Questa famiglia di malware è un Malware-as-a-Service (MaaS) per dispositivi Android. Permette a un aggressore remoto di iniettare un codice dannoso in applicazioni finanziarie regolari.
  • FluBot. Un malware Android distribuito tramite Smishing (SMS di phishing), il più delle volte spacciandosi per delivery brand. Una volta che l’utente clicca sul link all’interno del messaggio, viene reindirizzato al download di una falsa app contenente FluBot.
  • xHelper. Un’applicazione Android dannosa, utilizzata per scaricare altre app dannose e visualizzare pubblicità. È in grado di nascondersi dall’utente e dai programmi antivirus mobile, e si reinstalla se l’utente la disinstalla.