Nel Global Threat Index di maggio i ricercatori Check Pointhanno scovato diverse campagne spam dannose che distribuiscono il trojan banking Ursnif.
Questo lo ha portato al 5° posto della lista dei “Top Malware”, scalandone 19 e raddoppiando il suo impatto sulle organizzazioni di tutto il mondo. In maggio in Italia, Ursnif ha dominato il panorama delle minacce, piazzandosi al primo posto con un impatto di oltre il 14% sulle organizzazioni. Mentre nel mondo l’impatto è stato meno del 2%.
Il trojan banking Ursnif prende di mira i PC Windows ed è in grado di rubare informazioni finanziarie vitali, credenziali di posta elettronica e altri dati sensibili. Il malware viene consegnato attraverso campagne spam con allegati Word o Excel. La nuova ondata di attacchi del trojan Ursnif coincide la scomparsa di una delle sue popolari varianti, Dreambot. Dreambot è stato individuato per la prima volta nel 2014 e si basa sul codice sorgente filtrato da Ursnif.
Nel frattempo, il noto trojan banking Dridex, entrato per la prima volta nella top10 dei malware in marzo, ha continuato ad avere un impatto significativo per tutto maggio. Mentre le famiglie di malware mobile più diffuse sono cambiate completamente, con un malware per Android che genera ricavi fraudolenti dai clic sugli annunci mobile.
trojan banking Ursnif
Maya Horowitz, Director, Threat Intelligence & Research, Products di Check Point Con Dridex, Agent Tesla e Ursnif, è chiaro che i cyber criminali si stanno concentrando sull’uso di malware che monetizzano i dati e le credenziali delle loro vittime. Mentre gli attacchi legati a COVID-19 sono diminuiti, abbiamo visto un aumento del 16% degli attacchi informatici complessivi a maggio rispetto a marzo e aprile.
Quindi, le organizzazioni devono rimanere vigili utilizzando determinati strumenti e tecniche, soprattutto con il passaggio in massa al lavoro a distanza, di cui gli aggressori stanno approfittando.
I tre malware più diffusi di maggio sono stati:
*La freccia si riferisce al cambio di posizione rispetto alla classifica del mese precedente.
↔ Dridex. Trojan banking che prende di mira la piattaforma Windows. Dridex contatta un server remoto, invia informazioni sul sistema infetto e può anche scaricare ed eseguire moduli aggiuntivi per il controllo da remoto.
↑ Agent Tesla. RAT avanzato che funziona come keylogger e ruba informazioni, in grado di monitorare e raccogliere l’input della tastiera della vittima, di scattare screenshot e di esfiltrare le credenziali a una serie di software installati sulla macchina della vittima.
↓ XMRig. Mining software open-source CPU utilizzato per il mining della valuta criptata Monero, e visto per la prima volta a maggio 2017.
trojan banking Ursnif
Vulnerabilità più sfruttate del mese di maggio:
*La freccia si riferisce al cambio di posizione rispetto alla classifica del mese precedente.
↔ MVPower DVR Remote Code Execution. Vulnerabilità di esecuzione del codice da remoto nei dispositivi MVPower DVR. Un malintenzionato può sfruttare questa falla da remoto per eseguire codice arbitrario nel router interessato tramite una richiesta creata appositamente.
↑ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346). In OpenSSL esiste una vulnerabilità che diffonde informazioni a causa di un errore durante la gestione dei pacchetti TLS/DTLS heartbeat. Un aggressore può sfruttare questa vulnerabilità per rivelare il contenuto della memoria di un client o server collegato.
↑ Web Server Exposed Git Repository Information Disclosure. In Git Repository è stata segnalata una vulnerabilità riguardante la divulgazione di informazioni. Lo sfruttamento di questa vulnerabilità potrebbe consentire una diffusione involontaria delle informazioni di un account.
trojan banking Ursnif
I tre malware mobile più diffusi di maggio:
PreAmo. Malware Android che riproduce l’utente cliccando sui banner recuperati da tre agenzie pubblicitarie: Presage, Admob e Mopub.
Necro. Trojan dropper Android che può scaricare altri malware, mostrando annunci intrusivi e rubando denaro addebitando degli abbonamenti.
Hiddad. Malware Android che riconfeziona app legali e poi le consegna a uno store di terze parti. La sua funzione principale è visualizzare annunci. È anche in grado di accedere ai dati chiave di sicurezza, integrati nel sistema operativo, consentendo all’aggressore di ottenere dati sensibili.
La ThreatCloud Map e il Global Threat Impact Index di Check Point si avvalgono dell’intelligence ThreatCloudTM dell’azienda, la più grande rete che collabora contro i cybercriminali e fornisce dati sulle minacce e sull’andamento degli attacchi, attraverso una rete globale di sensori delle minacce. Il database di ThreatCloud ispeziona oltre 2,5 miliardi di siti web e 500 milioni di file, e ogni giorno identifica più di 250 milioni di attività malware.
