Il trojan Dridex è il malware più diffuso. AgentTesla il secondo. Questi i risultati emersi dal Global Threat Index dell’aprile 2021 di Check Point Research.

L’analisi dei ricercatori rivela che per la prima volta AgentTesla si è classificata seconda nell’indice, mentre il noto trojan Dridex, un trojan che prende di mira la piattaforma Windows, è ancora il malware più diffuso, essendo salito al primo posto a marzo dopo essere stato settimo a febbraio.

«Questo mese, Dridex, si è diffuso tramite la campagna QuickBooks Malspam. Le e-mail di phishing utilizzavano il marchio di QuickBooks e cercavano di attirare l’utente con notifiche di pagamento e fatture false. Il contenuto dell’e-mail richiedeva di scaricare un allegato dannoso di Microsoft Excel che potrebbe causare l’infezione del sistema da Dridex. Questo malware viene distribuito tramite allegati di spam e-mail dannosi e viene spesso utilizzato come fase iniziale di infezione nelle operazioni di ransomware in cui gli hacker crittografano i dati di un’organizzazione e richiedono un riscatto per decrittografarli. Questi hacker utilizzano sempre più metodi di doppia estorsione, in cui rubano dati sensibili da un’organizzazione e minacciano di rilasciarli pubblicamente a meno che non venga effettuato un pagamento. RCP segnalata che a marzo gli attacchi di ransomware avevano visto un aumento del 57% all’inizio del 2021, ma questa tendenza ha continuato a salire e ha completato un aumento del 107% rispetto allo stesso periodo dell’anno scorso. Più di recente, Colonial Pipeline, una delle principali compagnie petrolifere statunitensi, è stata vittima di un simile attacco e nel 2020 si stima che il ransomware sia costato alle aziende di tutto il mondo circa $ 20 miliardi, una cifra che è quasi il 75% in più rispetto al 2019.

Per la prima volta, AgentTesla si è classificata al 2° posto nell’elenco dei migliori malware. AgentTesla è un RAT (Trojan di accesso remoto) avanzato attivo dal 2014 e funziona come keylogger e password stealer. Questo RAT può monitorare e raccogliere l’input da tastiera e gli appunti di sistema della vittima e può registrare screenshot ed esfiltrare le credenziali immesse per una varietà di software installati sulla macchina della vittima (inclusi Google Chrome, Mozilla Firefox e il client di posta elettronica Microsoft Outlook). Questo mese c’è un aumento delle campagne di AgentTesla, che si sono diffuse tramite malspam. Il contenuto dell’e-mail chiede di scaricare un file (può essere qualsiasi tipo di file) che potrebbe causare l’infezione del sistema dall’agente Tesla.

I ricercatori della RCP affermano che, sebbene vi sia un enorme aumento degli attacchi ransomware in tutto il mondo, non sorprende che il malware principale di questo mese sia correlato alla tendenza. Le organizzazioni devono assicurarsi di disporre di solidi sistemi di sicurezza per evitare che le loro reti vengano compromesse e prevenire i rischi di ransomware. Una formazione completa per tutti i dipendenti è fondamentale, in modo che siano dotati delle competenze necessarie per identificare i tipi di e-mail dannose che diffondono Dridex e altri malware, poiché questo è il numero di exploit ransomware che iniziano.

CPR ha anche rivelato che “Web Server Exposed Git Repository Information Disclosure” è la vulnerabilità sfruttata più comune, che colpisce il 46% delle organizzazioni a livello globale, seguita da “HTTP Headers Remote Code Execution (CVE-2020-13756)” che ha un impatto sul 45,5% delle organizzazioni in tutto il mondo. “MVPower DVR Remote Code Execution” si colloca al terzo posto nell’elenco delle principali vulnerabilità sfruttate, con un impatto globale del 44%.

Le migliori famiglie di malware

* Le frecce si riferiscono al cambio di classifica rispetto al mese precedente.

Questo mese, Dridex è ancora il malware più popolare con un impatto globale del 15% delle organizzazioni, seguito da Agent Tesla e Trickbot che incidono rispettivamente sul 12% e l’8% delle organizzazioni in tutto il mondo.

  1. ↔ Dridex – Dridex è un Trojan che prende di mira la piattaforma Windows, distribuito principalmente tramite allegati di spam dannosi. Dridex contatta un server remoto, invia informazioni sul sistema infetto e può anche scaricare ed eseguire moduli arbitrari su comando. Le infezioni da Dridex spesso fungono da punto d’appoggio iniziale negli attacchi Ransomware a livello aziendale.
  2. ↑ Agente Tesla – L’agente Tesla è un RAT avanzato che funge da keylogger e ladro di informazioni, che è in grado di monitorare e raccogliere l’input da tastiera della vittima, la tastiera di sistema, acquisire schermate ed esfiltrare credenziali a una varietà di software installato sulla macchina della vittima, inclusi Google Chrome, Mozilla Firefox e il client di posta elettronica Microsoft Outlook.
  3. ↑ Trickbot – Trickbot è un botnet modulare e un trojan bancario costantemente aggiornato con nuove capacità, caratteristiche e vettori di distribuzione. Ciò consente a Trickbot di essere un malware flessibile e personalizzabile che può essere distribuito come parte di campagne multiuso.
  4. ↑ XMRig – XMRig è un software di mining CPU open source utilizzato per il processo di mining della criptovaluta Monero e visto per la prima volta in natura a maggio 2017.
  5. ↔ Qbot – Qbot è un trojan bancario apparso per la prima volta nel 2008, progettato per rubare le credenziali bancarie degli utenti e le sequenze di tasti. Spesso distribuito tramite e-mail di spam, Qbot impiega diverse tecniche anti-VM, anti-debugging e anti-sandbox, per ostacolare l’analisi ed eludere il rilevamento.
  6. ↑ Formbook – Formbook è un ladro di informazioni che raccoglie le credenziali da vari browser Web, raccoglie schermate, monitora e registra le sequenze di tasti e può scaricare ed eseguire file in base ai suoi ordini C&C.
  7. ↑ Nanocore – NanoCore è un Trojan di accesso remoto, che include plug-in di base e funzionalità come l’acquisizione di schermate, l’estrazione di criptovalute, il controllo remoto del desktop e il furto di sessioni webcam.
  8. ↑ Glupteba – Glupteba è una backdoor che è gradualmente diventata una botnet. Entro il 2019 includeva un meccanismo di aggiornamento degli indirizzi C&C tramite elenchi pubblici di BitCoin, una funzionalità di ladro del browser integrale e uno sfruttatore del router.
  9. ↑ Ramnit – Ramnit è un trojan bancario che ruba credenziali bancarie, password FTP, cookie di sessione e dati personali.
  10. ↑ Phorpiex – Phorpiex è una botnet nota per la distribuzione di altre famiglie di malware tramite campagne di spam e per alimentare campagne di Sextortion su larga scala.

 

Principali vulnerabilità sfruttate

Questo mese “Web Server Exposed Git Repository Information Disclosure” è la vulnerabilità sfruttata più comune, che colpisce il 46% delle organizzazioni a livello globale, seguita da “HTTP Headers Remote Code Execution (CVE-2020-13756)” che colpisce il 45,5% delle organizzazioni in tutto il mondo. “MVPower DVR Remote Code Execution” è al terzo posto nell’elenco delle principali vulnerabilità sfruttate, con un impatto globale del 44%.

  1. ↑ Divulgazione di informazioni sul repository Git esposto dal server Web: in Git Repository è stata segnalata una vulnerabilità di divulgazione di informazioni. Lo sfruttamento corretto di questa vulnerabilità potrebbe consentire la divulgazione involontaria delle informazioni sull’account.
  2.  Esecuzione di codice in modalità remota delle intestazioni HTTP (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – Le intestazioni HTTP consentono al client e al server di trasmettere ulteriori informazioni con una richiesta HTTP. Un utente malintenzionato remoto può utilizzare un’intestazione HTTP vulnerabile per eseguire codice arbitrario sulla macchina vittima.
  3.  MVPower DVR Remote Code Execution – esiste una vulnerabilità legata all’esecuzione di codice remoto nei dispositivi MVPower DVR. Un utente malintenzionato remoto può sfruttare questa debolezza per eseguire codice arbitrario nel router interessato tramite una richiesta predisposta.
  4.  Bypass di autenticazione del router Dasan GPON (CVE-2018-10561): esiste una vulnerabilità di bypass dell’autenticazione nei router Dasan GPON. Lo sfruttamento efficace di questa vulnerabilità consentirebbe agli aggressori remoti di ottenere informazioni sensibili e di ottenere l’accesso non autorizzato al sistema interessato.
  5.    ↑ Apache Struts2 Content-Type Remote Code Execution (CVE-2017-5638, CVE-2017-5638, CVE-2019-0230) – esiste una vulnerabilità legata all’esecuzione di codice in modalità remota in Apache Struts2 utilizzando il parser multipart Jakarta. Un utente malintenzionato potrebbe sfruttare questa vulnerabilità inviando un tipo di contenuto non valido come parte di una richiesta di caricamento di file. Lo sfruttamento riuscito potrebbe comportare l’esecuzione di codice arbitrario sul sistema interessato.
  6.  Command Injection Over su payload HTTP (CVE-2013-6719, CVE-2013-6720) – È stata segnalata una vulnerabilità di iniezione di comandi su payload HTTP. Un utente malintenzionato remoto può sfruttare questo problema inviando una richiesta appositamente predisposta alla vittima. Uno sfruttamento riuscito consentirebbe a un utente malintenzionato di eseguire codice arbitrario sulla macchina di destinazione.
  7. ↔ SQL Injection (tecniche diverse) – Inserimento di un’injection di query SQL in input dal client all’applicazione, sfruttando al contempo una vulnerabilità di sicurezza nel software di un’applicazione.
  8. ↑ Divulgazione di informazioni sui file di sistema Linux (CVE-2015-2746, CVE-2018-10093, CVE-2018-3948, CVE-2018-3948) – Il sistema operativo Linux contiene file di sistema con informazioni sensibili. Se non configurati correttamente, gli aggressori remoti possono visualizzare le informazioni su tali file.
  9. ↑ NoneCMS ThinkPHP Remote Code Execution – Esiste una vulnerabilità legata all’esecuzione di codice in modalità remota nel framework NoneCMS ThinkPHP. Lo sfruttamento corretto di questa vulnerabilità potrebbe consentire a un utente malintenzionato remoto di eseguire codice arbitrario sul sistema interessato.
  10. ↑ Bypass dell’autenticazione del plug-in Portable-phpMyAdmin di WordPress (CVE-2012-5469) – Esiste una vulnerabilità di bypass dell’autenticazione nel plug-in Portable-phpMyAdmin di WordPress. Lo sfruttamento efficace di questa vulnerabilità consentirebbe agli aggressori remoti di ottenere informazioni sensibili e di ottenere l’accesso non autorizzato al sistema interessato.

I migliori malware per dispositivi mobili

Questo mese xHelper occupa il primo posto nel malware mobile più diffuso, seguito da Triada e Hiddad.

  1. xHelper: un’applicazione dannosa vista in natura da marzo 2019, utilizzata per scaricare altre app dannose e visualizzare pubblicità. L’applicazione è in grado di nascondersi all’utente e può reinstallarsi se è stata disinstallata.
  2. Triada – Backdoor modulare per Android che concede i privilegi di superutente al malware scaricato.
  3. Hiddad – Hiddad è un malware Android che riconfeziona le app legittime e quindi le rilascia a un negozio di terze parti. La sua funzione principale è quella di visualizzare annunci pubblicitari, ma può anche accedere a dettagli di sicurezza chiave integrati nel sistema operativo».

 

https://blog.checkpoint.com/2021/05/13/april-2021s-most-wanted-malware-dridex-remains-in-top-position-amidst-global-surge-in-ransomware-attacks/

Facebook
Facebook
fb-share-icon
Twitter
Visit Us
Tweet
LinkedIn
Share
YOUTUBE

Articoli Correlati: