Cybersecurity, FakeUpdates e Androxgh0st tra le minacce più pericolose

A livello globale i ricercatori hanno rilevato un significativo incremento degli Infostealer

22 Novembre 2024 Barbara Tomasi
Cybersecurity

Cybersecurity da Check Point: In Italia si confermano FakeUpdates e Androxgh0st principali minacce, mentre Formbook scende in settima posizione e Lumma Stealer sale in terza. La società ha pubblicato il suo Indice delle minacce globali per il mese di ottobre 2024. Il rapporto di questo mese evidenzia una tendenza preoccupante nel panorama della cybersicurezza: l’incremento degli attacchi da infostealer e la crescente sofisticazione dei metodi di attacco impiegati dai criminali informatici.

FakeUpdates e Androxgh0st

In Italia, anche nel mese di ottobre si confermano le prime due posizioni nella classifica delle minacce più presenti: FakeUpdate al primo posto e Androxgh0st al secondo. Al terzo posto si registra un cambiamento: Lumma prende il posto di Formbook che scende al settimo posto.

Cybersecurity -La minaccia peggiore

Nello specifico, la minaccia più importante risulta essere ancora FakeUpdates, con un impatto dell’8,36%, (+1,07% rispetto a settembre e +2,5% rispetto all’impatto globale). La seconda minaccia nel nostro Paese continua ad essere il malware Androxgh0st (botnet che colpisce le piattaforme Windows, Mac e Linux e ruba informazioni sensibili). Con un impatto del 6,7% (+0,37% rispetto al dato di settembre e +1,37% rispetto all’impatto globale).

L’arrivo di Lumma Stealer

Al terzo posto si posiziona Lumma Stealer malware legato alla Russia che sottrae informazioni e che opera come piattaforma Malware-as-a-Service (MaaS) dal 2022. Con un impatto del 3,75% (+1,19% rispetto all’impatto globale. Formbook, scende in settima posizione con un impatto del 2,34% (-2,31% rispetto al dato di settembre). Il mese scorso i ricercatori hanno scoperto una catena di infezione in cui vengono utilizzate false pagine CAPTCHA per distribuire il malware Lumma Stealer.

Cybersecurity – Le caratteristiche del processo di infezione

Questa campagna si distingue per la sua portata globale, colpendo diversi Paesi attraverso due vettori di infezione primari. Uno che coinvolge URL di download di giochi craccati e l’altro attraverso e-mail di phishing rivolte agli utenti di GitHub come nuovo e innovativo vettore di attacco. Il processo di infezione induce le vittime a eseguire uno script dannoso copiato negli appunti. Evidenziando la crescente diffusione degli infostealer come mezzo efficace per i criminali informatici per esfiltrare credenziali e dati sensibili dai sistemi compromessi.

FakeUpdates e Androxgh0st le peggiori cyberminacce anche in Italia

Nell’ambito del malware per dispositivi mobili, la nuova versione di Necro è emersa come minaccia significativa, posizionandosi al secondo posto tra i malware più presenti. Necro ha infettato diverse applicazioni popolari, tra cui mod di gioco disponibili su Google Play, in oltre 11 milioni di dispositivi Android. Il malware impiega tecniche di offuscamento per eludere il rilevamento e utilizza la steganografia, che è la pratica di nascondere le informazioni all’interno di un altro messaggio o di un oggetto fisico per evitarne il rilevamento e per nascondere i suoi payload.

Cybersecurity – Famiglie di malware più diffuse

*Le frecce si riferiscono alla variazione di posizione rispetto al mese precedente.

FakeUpdates è il malware più diffuso questo mese con un impatto del 6% sulle organizzazioni mondiali, seguito da Androxgh0st con un impatto globale del 5% e AgentTesla con un impatto globale del 4%.

  1. FakeUpdates (AKA SocGholish) è un downloader scritto in JavaScript. Scrive i payload su disco prima di lanciarli. FakeUpdates ha portato a ulteriori compromissioni tramite molti altri malware, tra cui GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.
  2. Androxgh0st è una botnet che colpisce le piattaforme Windows, Mac e Linux e sfrutta diverse vulnerabilità, in particolare quelle di PHPUnit, Laravel Framework e Apache Web Server. Il malware ruba informazioni sensibili come i dati dell’account Twilio, le credenziali SMTP, l’accesso a AWS, ecc. Utilizza i file Laravel per raccogliere le informazioni richieste e ha molteplici varianti che scansionano diverse informazioni.
  3. AgentTesla – AgentTesla è un RAT avanzato che funziona come keylogger e ruba informazioni. È in grado di monitorare e raccogliere gli input dalla tastiera della vittima, di scattare screenshot e di esfiltrare le credenziali di una serie di software installati sul computer (tra cui Google Chrome, Mozilla Firefox e il client e-mail Microsoft Outlook).
  4. Lumma Stealer, noto anche come LummaC2, è un malware legato alla Russia che ruba informazioni e che opera come piattaforma Malware-as-a-Service (MaaS) dal 2022. Questo malware, scoperto a metà del 2022, è in continua evoluzione e viene distribuito attivamente sui forum in lingua russa. LummaC2 si concentra sulla raccolta di vari dati dai sistemi infetti, tra cui le credenziali del browser e le informazioni sui conti delle criptovalute.
  5. Formbook è un Infostealer che colpisce il sistema operativo Windows ed è stato rilevato per la prima volta nel 2016. È commercializzato come Malware as a Service (MaaS) nei forum di hacking underground per le sue forti tecniche di evasione e il prezzo relativamente basso. FormBook raccoglie le credenziali da vari browser web e screenshot, monitora e registra le sequenze di tasti e può scaricare ed eseguire file in base agli ordini del suo C&C.

Cybersecurity: FakeUpdates e Androxgh0st le peggiori cyberminacce anche in Italia

  1. Web Servers Malicious URL Directory Traversal. Esiste una vulnerabilità di directory traversal su diversi web server. La vulnerabilità è dovuta a un errore di convalida dell’input in un server web che non sanifica correttamente l’URI per i modelli di attraversamento delle directory. Uno sfruttamento riuscito consente agli attaccanti remoti non autenticati di divulgare o accedere a file arbitrari sul server vulnerabile.
  2. Command Injection Over http. È stata segnalata una vulnerabilità di iniezione di comandi su HTTP. Un attaccante remoto può sfruttare questo problema inviando una richiesta appositamente creata alla vittima. Uno sfruttamento riuscito consentirebbe a un aggressore di eseguire codice arbitrario sul computer di destinazione.
  3. Zyxel ZyWALL Command Injection. Esiste una vulnerabilità di command injection in Zyxel ZyWALL. Lo sfruttamento riuscito di questa vulnerabilità consentirebbe agli aggressori remoti di eseguire comandi arbitrari del sistema operativo nel sistema interessato.

Principali malware per dispositivi mobili, cybersecurity a rischio

Questo mese Joker è al primo posto nella classifica delle minacce informatiche mobili più diffuse, seguito da Necro e Anubis.

  1. Joker è uno spyware per Android presente in Google Play, progettato per rubare messaggi SMS, elenchi di contatti e informazioni sul dispositivo. Inoltre, il malware fa sottoscrivere silenziosamente alla vittima servizi premium su siti web pubblicitari.
  2. Necro è un Trojan Dropper per Android. È in grado di scaricare altri malware, di mostrare annunci invadenti e di rubare denaro attraverso l’addebito di abbonamenti a pagamento.
  3. Anubis è un trojan bancario progettato per smartphone Android. Da quando è stato rilevato inizialmente, ha acquisito ulteriori funzioni, tra cui la funzionalità di Trojan ad accesso remoto (RAT), e di keylogger, ovvero la capacità di registrazione audio e varie funzionalità ransomware. È stato rilevato in centinaia di differenti applicazioni disponibili su Google Store.

Cybersecurity – I settori più attaccati a livello globale

Questo mese l’istruzione/ricerca è rimasta al primo posto nella classifica dei settori attaccati a livello globale, seguita da governo/militare e comunicazioni.

  1. Istruzione/Ricerca
  2. Governo/Militare
  3. Comunicazioni

I gruppi di ransomware maggiormente rilevati

I dati si basano su informazioni provenienti da “siti della vergogna” gestiti da gruppi di ransomware a doppia estorsione che hanno pubblicato informazioni sulle vittime. RansomHub è il gruppo ransomware più diffuso questo mese, responsabile del 17% degli attacchi pubblicati, seguito da Play con il 10% e Meow con il 5%.

  1. RansomHub è un’operazione di Ransomware-as-a-Service (RaaS) che è emersa come versione ribrandizzata del ransomware conosciuto come Knight. Questo malware è noto per l’impiego di sofisticati metodi di crittografia.
  2. Play Ransomware, noto anche come PlayCrypt, è un ransomware emerso per la prima volta nel giugno 2022. Una volta all’interno, utilizza tecniche come l’uso di binari “living-off-the-land” (LOLBins) per attività quali l’esfiltrazione di dati e il furto di credenziali.
  3. Meow Ransomware è una variante basata sul ransomware Conti, nota per la crittografia di un’ampia gamma di file sui sistemi compromessi e l’aggiunta dell’estensione “.MEOW”. Quando attacca lascia una nota di riscatto denominata “readme.txt”, istruendo le vittime a contattare gli aggressori via e-mail o Telegram per negoziare il pagamento del riscatto.

Related Posts: