Minacce informatiche in Italia, quali sono le principali e cosa fanno

Tante e agguerrite. Stiamo parlando delle minacce informatiche che colpiscono le attività.

Minacce informatiche

Chi sono e che danni producono: ecco un elenco aggiornato al primo semestre di quest’anno per sapere tutto sulle minacce informatiche presenti in Italia.

Un elenco aggiornato a giugno 2023

Qbot

Qbot alias Qakbot è un malware multifunzione apparso originariamente nel 2008. Progettato per sottrarre le credenziali di un utente, registrare i tasti premuti sulla tastiera, sottrarre cookie dai browser. Inoltre spiare le attività di online banking e installare ulteriore malware. Spesso diffuso attraverso messaggi spam. Qbot adotta diverse tecniche anti-VM, anti-debug e anti-sandbox per ostacolare le analisi e aggirare i rilevamenti.

Blindingcan

Blindingcan è un nuovo trojan ad accesso remoto (RAT) realizzato dal temibile Lazarus Group della Corea del Nord. Gli attaccanti utilizzano diverse tecniche per decomprimere ed eseguire una variante di Hidden Cobra RAT. Il malware contiene funzioni integrate per le operazioni remote che forniscono varie capacità sul sistema della vittima.

Formbook

Formbook è un Infostealer che colpisce i sistemi operativi Windows rilevato per la prima volta nel 2016. Nei forum underground viene proposto come Malware-as-a-Service (MaaS) per le sue solide tecniche di evasione e per il costo relativamente contenuto. Sottrae le credenziali da diversi browser, acquisisce screenshot, controlla e registra i tasti premuti. Inoltre può scaricare ed eseguire file secondo gli ordini ricevuti dal proprio C&C.

Guloade

Guloader è un downloader ampiamente utilizzato dal dicembre 2019. Quando è apparso per la prima volta, GuLoader è stato utilizzato per scaricare Parallax RAT. È stato anche applicato ad altri trojan di accesso remoto e infostealer come Netwire, FormBook e Agent Tesla.

Lokibot

Identificato per la prima volta nel febbraio 2016, LokiBot è un infostealer di tipo commerciale con versioni per i sistemi operativi Windows e Android. Raccoglie le credenziali da una varietà di applicazioni, web browser, client di posta elettronica, strumenti di amministrazione IT come PuTTY e altro ancora. LokiBot è venduto sui forum di hacking e si ritiene che il suo codice sorgente sia trapelato, permettendo così la comparsa di numerose varianti. Dalla fine del 2017, alcune versioni Android di LokiBot includono funzionalità ransomware in aggiunta alle loro capacità di furto di informazioni.

Quali sono le principali minacce informatiche in Italia

Emotet

Emotet è un trojan modulare avanzato capace di autopropagarsi. Un tempo utilizzato come trojan bancario, di recente è diventato un veicolo di distribuzione per altri malware o campagne di attacchi. Sfrutta svariati metodi per rendersi persistente e molteplici tecniche di evasione per non farsi rilevare. Può inoltre diffondersi attraverso mail di phishing contenenti allegati o link pericolosi.

XMRig

XMRig è un software di mining open-source per CPU utilizzato per il mining della criptovaluta Monero. Gli attori delle minacce spesso abusano di questo software open-source, integrandolo nelle loro minacce informatiche per condurre il mining illegale sui dispositivi delle vittime.

Ursnif

Ursnif è una variante del Trojan bancario Gozi per Windows, il cui codice sorgente è trapelato online. Ha le capacità di “man-in-the-browser” per rubare informazioni bancarie e credenziali per i servizi online più diffusi. Inoltre, è in grado di sottrarre informazioni da client di posta elettronica locali, browser e portafogli di criptovalute. Infine, può scaricare ed eseguire file aggiuntivi sul sistema infetto.

Minacce informatiche in Italia, quali sono le principali e cosa fanno

Remcos

RAT apparso per la prima volta nel 2016. Remcos si diffonde attraverso documenti Microsoft Office dannosi, allegati a e-mail SPAM. Progettato per aggirare la protezione UAC di Microsoft Windowss ed eseguire il malware con privilegi di alto livello.

XLoader

XLoader è uno spyware Android e trojan bancario sviluppato dalla Yanbian Gang, un gruppo di hacker cinesi. Questo malware utilizza lo spoofing DNS per distribuire applicazioni Android infette e raccogliere informazioni personali e finanziarie