FakeUpdates è il malware più diffuso in Italia e nel mondo

Check Point ha pubblicato l’Indice delle minacce globali: riemerge il ransomware LockBit, compare Remcos ma FakeUpdates rimane il malware più presente in Italia.

In Italia, a luglio il podio delle minacce più presenti rimane invariato rispetto al mese precedente. Nello specifico, la minaccia più importante rimane ancora FakeUpdates (downloader JavaScript in grado di scrivere i payload su disco prima di lanciarli, che ha portato a ulteriori attacchi tramite numerose altre minacce informatiche, tra cui GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult), con un impatto del 7,67%, facendo registrare una leggera crescita (+0,14% rispetto a giugno), e superiore di 0,41% rispetto all’impatto globale. La seconda minaccia nel nostro Paese continua ad essere il malware Androxgh0st (botnet che colpisce le piattaforme Windows, Mac e Linux e ruba informazioni sensibili).
Al terzo posto si conferma per il secondo mese di fila, dopo due mesi di assenza, Formbook (Infostealer che colpisce il sistema operativo Windows rilevato per la prima volta nel 2016, commercializzato come Malware as a Service).

I ricercatori hanno, inoltre, identificato una serie di nuove tattiche che impiegano FakeUpdates, minaccia in cima alla classifica dei malware più importanti per un altro mese. Gli utenti che visitavano i siti web compromessi si imbattevano in falsi messaggi di aggiornamento del browser, che portavano all’installazione di Trojan ad accesso remoto (RAT) come AsyncRAT, attualmente al nono posto dell’indice di Check Point. È allarmante che i criminali informatici abbiano iniziato a sfruttare BOINC, una piattaforma destinata al volontariato informatico, per ottenere il controllo remoto dei sistemi infetti.

Famiglie di malware più diffuse

*Le frecce si riferiscono alla variazione di posizione rispetto al mese precedente.
FakeUpdates è stato il malware più diffuso il mese scorso con un impatto del 7% sulle organizzazioni mondiali, seguito da Androxgh0st con un impatto globale del 5% e AgentTesla con un impatto globale del 3%.

1. ↔ FakeUpdates (AKA SocGholish) è un downloader scritto in JavaScript. Scrive i payload su disco prima di lanciarli. FakeUpdates ha portato a ulteriori compromissioni tramite molti altri malware, tra cui GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.
2. ↔ Androxgh0st è un botnet che colpisce le piattaforme Windows, Mac e Linux e sfrutta diverse vulnerabilità, in particolare quelle di PHPUnit, Laravel Framework e Apache Web Server. Il malware ruba informazioni sensibili come i dati dell’account Twilio, le credenziali SMTP, l’accesso a AWS, ecc. Utilizza i file Laravel per raccogliere le informazioni richieste e ha molteplici varianti che scansionano diverse informazioni.
3. ↔ AgentTesla – AgentTesla è un RAT avanzato che funziona come keylogger e ruba informazioni. È in grado di monitorare e raccogliere gli input dalla tastiera della vittima, di scattare screenshot e di esfiltrare le credenziali di una serie di software installati sul computer (tra cui Google Chrome, Mozilla Firefox e il client e-mail Microsoft Outlook).

Le vulnerabilità maggiormente sfruttate

1. ↑ Command Injection Over HTTP (CVE-2021-43936,CVE-2022-24086) – Un aggressore remoto può sfruttare questa vulnerabilità per inviare una richiesta appositamente creata alla vittima, che può permettere all’attaccante di eseguire un codice arbitrario sul computer di destinazione.
2. ↑ Zyxel ZyWALL Command Injection (CVE-2023-28771) – Esiste una vulnerabilità di command injection in Zyxel ZyWALL. Lo sfruttamento riuscito di questa vulnerabilità consentirebbe agli aggressori remoti di eseguire comandi arbitrari del sistema operativo nel sistema interessato.
3. ↔ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-1375) – Gli header HTTP consentono al client e al server di passare informazioni aggiuntive con una richiesta HTTP. Un aggressore remoto può utilizzare un’intestazione HTTP vulnerabile per eseguire codice arbitrario sul computer vittima.

Principali malware per dispositivi mobili

Invariate le prime posizioni tra le minacce informatiche mobili più diffuse: Joker si conferma al primo posto seguito da Anubis e AhMyth.

1. ↔ Joker è uno spyware per Android presente in Google Play, progettato per rubare messaggi SMS, elenchi di contatti e informazioni sul dispositivo. Inoltre, il malware fa sottoscrivere silenziosamente alla vittima servizi premium su siti web pubblicitari.
2. ↔ Anubis è un trojan bancario progettato per smartphone Android. Da quando è stato rilevato inizialmente, ha acquisito ulteriori funzioni, tra cui la funzionalità di Trojan ad accesso remoto (RAT), e di keylogger, ovvero la capacità di registrazione audio e varie funzionalità ransomware. È stato rilevato in centinaia di differenti applicazioni disponibili su Google Store.
3. ↔ AhMyth è un Remote Access Trojan (RAT) scoperto nel 2017. Viene distribuito attraverso applicazioni Android presenti negli app store e su vari siti Web. Quando un utente installa una di queste app infette, il malware può raccogliere informazioni sensibili dal dispositivo ed eseguire azioni come il keylogging, registrare screenshot, inviare messaggi SMS e attivare la fotocamera, solitamente allo scopo di sottrarre informazioni riservate.

I settori più attaccati a livello globale

Il mese scorso il settore dell’istruzione/ricerca è rimasto al primo posto tra i settori attaccati a livello globale, seguito da quello governativo/militare e dalle comunicazione.

1. Istruzione/Ricerca
2. Governo/Militare
3. Comunicazione

I gruppi di ransomware maggiormente rilevati

I dati si basano su informazioni provenienti da “siti della vergogna” gestiti da gruppi di ransomware a doppia estorsione che hanno pubblicato informazioni sulle vittime. RansomHub è il gruppo ransomware più diffuso questo mese, responsabile dell’11% degli attacchi pubblicati, seguito da Lockbit3 con l’8% e Akira con il 6%.

1. RansomHub è un’operazione di Ransomware-as-a-Service (RaaS) che è emersa come versione ribrandizzata del ransomware conosciuto come Knight. Emerso all’inizio del 2024 nei forum clandestini di criminalità informatica, RansomHub ha rapidamente guadagnato notorietà per le sue campagne aggressive rivolte a vari sistemi, tra cui Windows, macOS, Linux e in particolare agli ambienti VMware ESXi. Questo malware è noto per l’impiego di sofisticati metodi di crittografia.
2. LockBit è un ransomware che opera in modalità RaaS. Segnalato per la prima volta nel settembre 2019, LockBit prende di mira le grandi imprese e gli enti governativi di vari Paesi e non prende di mira gli individui in Russia o nella Comunità degli Stati Indipendenti.
3. Il ransomware Akira, segnalato per la prima volta all’inizio del 2023, colpisce sia i sistemi Windows sia Linux. Utilizza la crittografia simmetrica con CryptGenRandom() e Chacha 2008 per la crittografia dei file ed è simile al ransomware Conti v2. Akira viene distribuito attraverso vari mezzi, tra cui allegati e-mail infetti ed exploit negli endpoint VPN. Al momento dell’infezione, cripta i dati e aggiunge un’estensione “.akira” ai nomi dei file, quindi presenta una nota di riscatto che richiede il pagamento per la decriptazione.