Check Point segnala l’arrivo di MaliBot. Si tratta di un nuovo banking malware per Android, che mette in pericolo gli utenti dei servizi mobile delle banche. Anche se appena scoperto, ha già raggiunto il terzo posto nella classifica dei malware mobile più diffusi. Si maschera da app per il mining di criptovalute con nomi diversi. Poi prende di mira il mobile banking per rubare informazioni finanziarie degli utenti. Simile a FluBot, MaliBot utilizza lo smishing (phishing via SMS) per invitare le vittime a cliccare un link malevolo e scaricare una falsa app con il malware.
Attenzione: è in arrivo MaliBot
Anche questo mese, il malware Emotet è ancora il più diffuso in assoluto. Snake Keylogger ha aumentato la sua attività e si è posizionato al terzo posto. La sua funzionalità principale consiste nel registrare i tasti premuti dagli utenti e trasmettere i dati raccolti agli hacker. In maggio, CPR aveva notato che Snake Keylogger veniva consegnato tramite file PDF. Invece ora è stato diffuso tramite e-mail contenenti allegati Word rinominati come richieste di preventivi. A giugno i ricercatori hanno anche riferito di una nuova variante di Emotet, con capacità di rubare carte di credito e che coinvolgeva gli utenti di Chrome.
Il ruolo dei dispositivi mobili
Maya Horowitz, VP Research di Check Point Software. “ “È sempre positivo vedere le forze dell’ordine riuscire a fermare i gruppi di hacker o dei malware come FluBot. Purtroppo non ci è voluto molto perché un nuovo malware mobile prendesse il suo posto. I criminali informatici sono ben consapevoli del ruolo centrale che i dispositivi mobile svolgono nella vita di molte persone. Così sono sempre in grado di adattare e migliorare le loro tattiche. Lo scenario si sta evolvendo rapidamente e le minacce informatiche mobile rappresentano un pericolo significativo per la sicurezza. Non è mai stato così importante disporre di una solida soluzione di prevenzione delle minacce mobile.”
In arrivo MaliBot: i tre malware più diffusi in giugno
In giugno sono stati:
*Le frecce si riferiscono alla variazione di posizione rispetto al mese precedente
Questo mese Emotet è ancora il malware più diffuso, con un impatto del 14% sulle organizzazioni in tutto il mondo, seguito da Formbook e da Snake Keylogger con un impatto del 4%.
↔ Emotet. Un trojan avanzato, auto-propagante e modulare. Una volta usato come banking trojan, ora viene utilizzato come distributore di altri malware o campagne dannose. Utilizza più metodi per mantenere la propria forza e tecniche di evasione per evitare la detection. Inoltre, può diffondersi attraverso e-mail spam contenenti allegati o link dannosi.
↔ Formbook. Un RAT avanzato che funziona come keylogger e infostealer. Può monitorare e raccogliere l’input della tastiera della vittima, la tastiera del sistema. Oltre a scattare screenshot e esfiltrare le credenziali a una serie di software installati sulla macchina della vittima.
↑ Snake Keylogger. Un keylogger modulare .NET che ruba credenziali. La sua funzionalità principale è quella di registrare cosa digitano gli utenti e trasmettere i dati raccolti. Rappresenta una grave minaccia per la privacy e la sicurezza online degli utenti. Infatti può rubare praticamente tutti i tipi di informazioni sensibili ed è particolarmente evasivo e persistente.
I settori più attaccati
I settori più attaccati a livello globale per il mese di giugno:
Istruzione/Ricerca
Governo/Militare
Sanità
In Italia:
Istruzione/Ricerca
Software vendor
Governo/Militare
Le tre vulnerabilità più sfruttate
Nel mese di giugno:
↑ Apache Log4j Remote Code Execution (CVE-2021-44228). Una vulnerabilità di esecuzione di codice remoto esistente in Apache Log4j. Uno sfruttamento a buon fine potrebbe permettere ad un hacker di eseguire codice arbitrario sul sistema interessato.
↑ Web Server Exposed Git Repository Information Disclosure. Una vulnerabilità di diffusione delle informazioni segnalata in Git Repository. Questa vulnerabilità potrebbe consentire una divulgazione non intenzionale di informazioni sull’account.
↓ Web Servers Malicious URL Directory Traversal. Dovuta a un errore di convalida dell’input in un server web che non sanifica correttamente l’URL per pattern directory traversal. Uno sfruttamento riuscito permette agli aggressori non autenticati di rivelare o accedere a file arbitrari sul server vulnerabile.
In arrivo il banking malware per Android MaliBot
I malware mobile più diffusi di giugno:
AlienBot. Questa famiglia di malware è un Malware-as-a-Service (MaaS) per dispositivi Android che permette a un aggressore remoto di iniettare un codice dannoso in applicazioni finanziarie regolari. L’aggressore ottiene l’accesso ai conti delle vittime e il controllo del loro dispositivo.
Anubis. Un banking trojan progettato per Android. Da quando è stato rilevato, ha acquisito ulteriori funzioni, tra cui essere un trojan ad accesso remoto (RAT), keylogger, avere la capacità di registrazione audio e varie funzionalità ransomware. È stato rilevato in centinaia di app disponibili su Google Store.
Malibot. Un banking malware per Android individuato soprattutto in Spagna e in Italia. Il banking si camuffa da app di cryptomining con nomi diversi e mira al furto di informazioni finanziarie, portafogli di criptovalute e altri dati personali.
