Nel Global Threat Index pubblicato a dicembre da Check Point il second-stage downloader SmokeLoader entra per la prima volta nella lista dei malware più diffuse. SmokeLoader, conosciuto dai ricercatori dal 2011 e utilizzato principalmente per caricare altri malware, è salito di 11 posti piazzandosi al nono posto della Top 10. Dopo un’impennata in Ucraina e Giappone, il suo impatto globale è cresciuto del 20%, arrivando anche in Italia con una percentuale maggiore (1.91 vs 2.09).
Maya Horowitz, Threat Intelligence and Research Group Manager di Check Point Il report di dicembre ha visto SmokeLoader apparire per la prima volta nella Top 10. La sua improvvisa impennata rafforza la crescente tendenza verso il malware malevolo e multiuso, con i primi 10 divisi equamente tra criptominer e malware che utilizzano diversi metodi per distribuire numerose minacce. La diversità dei malware presenti nel report, significa che è fondamentale che le imprese utilizzino una strategia di sicurezza informatica multi-livello, che protegga sia da malware già noti, sia da nuove minacce.
I tre malware più diffusi a dicembre 2018 ↔ Coinhive: uno script di mining che utilizza la CPU degli utenti che visitano determinati siti web per minare la criptovaluta Monero. Il JavaScript installato utilizza una grande quantità di risorse computazionali delle macchine degli utenti finali per estrarre monete e potrebbe causare l’arresto anomalo del sistema.
↑ XMRig: mining software open-source CPU utilizzato per il mining della valuta criptata Monero, e visto per la prima volta da maggio 2017.
↑ Jsecoin: miner JavaScript che può essere integrato nei siti web. Con JSEcoin, è possibile eseguire il miner direttamente nel browser, in cambio di un’esperienza senza pubblicità, valuta del gioco e altri incentivi.
Il report ha anche sottolineato la crescita dei trojan bancari, come Ramnit che ruba le credenziali di login e altri dati sensibili, tornato all’ottavo posto della Top 10 di dicembre.
I tre malware per dispositivi mobili più diffusi a dicembre 2018 – Triada – malware modulare per Android ha mantenuto il suo primo posto tra i malware mobile. Sferra l’attacco tramite una backdoor che concede privilegi amministrativi a malware scaricati. Triada può anche fare lo spoofing di URL caricati nel browser. – Guerrila, al secondo posto l’ad-clicker per Android che ha la capacità di comunicare con un server remoto di comando e controllo (C&C), scaricare plug-in aggiuntivi malevoli ed eseguire ad-clicking aggressivi senza l’autorizzazione o la consapevolezza da parte dell’utente. – Lotoor – tecnica di hackeraggio in grado di sfruttare le vulnerabilità dei sistemi Android con lo scopo di ottenere i permessi di root sui dispositivi mobile infettati.
Le tre vulnerabilità più diffuse nel mese di dicembre ↔ Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) – inviando una richiesta a una rete Microsoft Windows Server 2003 R2 tramite Microsoft Internet Information Services 6.0, un hacker potrebbe eseguire un codice arbitrario o causare una negazione delle condizioni del servizio sul server di destinazione. Ciò è dovuto principalmente a una vulnerabilità di overflow del buffer causata da una errata convalida di un header lungo nella richiesta HTTP.
↔ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – in OpenSSL esiste una vulnerabilità che diffonde informazioni a causa di un errore durante la gestione dei pacchetti TLS/DTLS heartbeat. Un aggressore può sfruttare questa vulnerabilità per rivelare il contenuto della memoria di un client o server collegato.
↑ Web servers PHPMyAdmin Misconfiguration Code Injection – la vulnerabilità di iniezione di codice è dovuta a un errore di configurazione di PHPMyAdmin. Un aggressore remoto può sfruttare questa vulnerabilità inviando una richiesta HTTP appositamente creata per il target da colpire.
