Check Point Software Technologies pubblica il Global Threat Index per il mese di luglio 2023: Remcos è al terzo posto, dopo la diffusione di downloader malevoli.
Remcos è un RAT rilevato per la prima volta nel 2016 che viene regolarmente distribuito attraverso documenti o downloader Microsoft dannosi. Recentemente è stato osservato in una campagna che coinvolgeva il downloader malware Fruity. L’obiettivo era quello di attirare le vittime a scaricare il Fruity, al fine di installare diversi RAT come Remcos, noto per la sua capacità di ottenere l’accesso remoto al sistema della vittima, rubare informazioni sensibili e credenziali e condurre attività dannose sul computer dell’utente.
Anche nel mese di luglio 2023, in Italia la minaccia più grande è stata rappresentata dal malware Qbot, con un impatto del 6% (-1,9% rispetto a giugno 2023) rispetto al 5,39% a livello globale, seguito da Blindingcan (trojan ad accesso remoto di origine nord coreana) che in Italia ha registrato un impatto del 4,89%, notevolmente più alto rispetto a quanto si è rilevato a livello mondiale (0,21%). Il malware Remcos (Remote Access Trojan apparso per la prima volta nel 2016) fa registrare nel nostro Paese un impatto del 4,33%, quasi il doppio dell’impatto globale (2,21%). Si registra una leggera crescita della minaccia di Formbook pari a +0,11% rispetto a giugno con un impatto nel nostro Paese del 3,22%.
CPR ha anche rivelato che la vulnerabilità più sfruttata è stata la “Web Servers Malicious URL Directory Traversal” per il 49% delle organizzazioni a livello globale, seguita da “Apache Log4j Remote Code Execution” con il 45% e “HTTP Headers Remote Code Execution” con un impatto globale del 42%.
Famiglie di malware più diffuse
Qbot è stato il malware più diffuso questo mese con un impatto del 5% sulle organizzazioni di tutto il mondo, seguito da Formbook con un impatto globale del 4% e da Remcos con un impatto globale del 2%.
1. ↔ Qbot – Qbot, alias Qakbot, è un malware multiuso apparso per la prima volta nel 2008. È stato progettato per rubare le credenziali dell’utente, registrare i tasti premuti sulla tastiera, rubare i cookie dai browser, spiare le attività online banking e distribuire ulteriore malware. Spesso diffuso tramite e-mail di spam, Qbot impiega diverse tecniche anti-VM, anti-debug e anti-sandbox per ostacolare le analisi ed eludere i rilevamenti.
2. ↔ Formbook – Formbook è un Infostealer che colpisce il sistema operativo Windows ed è stato rilevato per la prima volta nel 2016. È commercializzato come Malware as a Service (MaaS) nei forum di hacking underground per le sue forti tecniche di evasione e il prezzo relativamente contenuto.
3. ↑ Remcos – Remcos è un RAT apparso per la prima volta nel 2016. Si diffonde attraverso documenti Microsoft Office dannosi, allegati a e-mail di SPAM, ed è progettato per aggirare la protezione UAC di Microsoft Windows ed eseguire il malware con privilegi di alto livello.
Malware e downloader – I settori più attaccati a livello globale
Anche nel luglio 2023, il settore istruzione/ricerca mantiene il primato come settore più attaccato a livello globale, seguito da quello governativo/militare e dal sanitario.
1. Istruzione/Ricerca
2. Governo/Militare
3. Sanità
Downloader – Le vulnerabilità maggiormente sfruttate
La vulnerabilità più sfruttata nel corso del mese di luglio 2023 è stata “Web Servers Malicious URL Directory Traversal” per il 49% delle organizzazioni a livello globale, seguita da “Apache Log4j Remote Code Execution” con il 45% e “HTTP Headers Remote Code Execution” con un impatto globale del 42%.
1. ↔ Web Servers Malicious URL Directory Traversal – La vulnerabilità è dovuta a un errore di convalida dell’input in un server Web che non sanifica correttamente l’URL nei pattern di attraversamento delle directory. Un attacco andato a buon fine consente agli aggressori remoti non autorizzati di accedere a file arbitrari sul server vulnerabile.
2. ↔ Apache Log4j Remote Code Execution (CVE-2021-44228) – Lo sfruttamento riuscito di questa vulnerabilità potrebbe consentire a un aggressore remoto di eseguire un codice arbitrario sul sistema interessato.
3. ↔ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – Gli header HTTP permettono lo scambio di informazioni supplementari tra client e server all’interno di una richiesta HTTP. Un aggressore remoto può utilizzare un header HTTP vulnerabile per eseguire codice arbitrario sul computer della vittima.
Principali malware per dispositivi mobili
Il mese scorso Anubis ha conquistato il primo posto nella classifica delle minacce informatiche mobili più diffuse, seguito da SpinOk e AhMyth.
1. Anubis – Anubis è un trojan bancario progettato per smartphone Android. Da quando è stato rilevato inizialmente, ha acquisito ulteriori funzioni, tra cui la funzionalità di Trojan ad accesso remoto (RAT), e di keylogger, ovvero la capacità di registrazione audio e varie funzionalità ransomware. È stato rilevato in centinaia di differenti applicazioni disponibili su Google Store.
2. SpinOk – SpinOk è un modulo software per Android che opera come spyware. Raccoglie informazioni sui file residenti nei dispositivi infetti per poi trasferirli a malintenzionati. Il modulo dannoso è stato rilevato in più di 100 applicazioni Android e scaricato più di 421.000.000 di volte fino a maggio 2023.
3. AhMyth – AhMyth è un Remote Access Trojan (RAT) scoperto nel 2017. Viene distribuito attraverso applicazioni Android presenti negli app store e su vari siti Web.
