Dopo quasi due anni, i trojan bancari ritornano nella classifica globale mensile dei dieci malware più diffusi. Lo rivela Check Point® Software Technologies Ltd. (NASDAQ: CHKP), il principale fornitore di soluzioni di cybersecurity a livello globale, rendendo noti i dati di aprile 2019 del Global Threat Index. In Italia, invece, questo tipo di malware non compare nella top ten che vede al primo posto Jsecoin, il miner che può essere inserito all’interno dei siti, seguito da XMrig e Cryptoloot.
I trojan bancari “polivalenti” Trickbot sono stati una scelta condivisa da numerosi cyber criminali sempre alla ricerca di guadagni. Le campagne Trickbot hanno registrato così ad aprile una brusca impennata e molte di queste hanno preso di mira il Tax Day americano, il giorno di scadenza negli Stati Uniti per l’invio delle dichiarazioni dei redditi. Le campagne di spam si trasmettevano tramite gli allegati di Excel che, se aperti, permettevano di scaricare Trickbot sui computer delle vittime con l’obiettivo di raccogliere dati bancari e sottrarre documenti fiscali.
A livello globale, mentre le tre varianti di malware più diffuse di aprile sono state cryptominer, le restanti sette posizioni delle prime dieci sono state occupate da trojan “polivalenti”. Ciò sottolinea un cambiamento nelle tecniche utilizzate dai criminali per massimizzare i loro guadagni finanziari dalle campagne, a seguito della chiusura di numerosi servizi di criptomining e della riduzione dei valori delle criptovalute avvenuta nell’ultimo anno.
Maya Horowitz, Threat Intelligence and Research Director di Check Point ha dichiarato: “Ad aprile abbiamo notato come sia Trickbot sia Emotet siano entrati nella top 10 dei malware più diffusi. Questo fatto è particolarmente preoccupante, dato che entrambe le botnet sono oggi utilizzate non solo per rubare dati e credenziali, ma anche per diffondere il ransomware Ryuk. Ryuk è famoso perché si rivolge ad asset come database e server di backup, chiedendo un riscatto fino a oltre un milione di dollari. Poiché questi malware sono in continua evoluzione, è fondamentale avere una solida linea di difesa contro di loro grazie a una prevenzione avanzata delle minacce.”
I tre malware più diffusi ad aprile 2019 sono stati:
*La freccia si riferisce al cambio di posizione rispetto alla classifica del mese precedente
- ↑ Cryptoloot – malware che utilizza la potenza della CPU o della GPU della vittima e le risorse esistenti per il mining di criptovalute aggiungendo transazioni alla blockchain e rilasciando nuova valuta. Competitor di Coinhive, Cryptoloot cerca di accaparrarsi più vittime chiedendo ai siti una percentuale minore in termini di profitti.
- ↑ XMRig – mining software open-source CPU utilizzato per il mining della valuta criptata Monero, e visto per la prima volta da maggio 2017.
- ↑ Jsecoin – il miner JavaScript che può essere inserito all’interno dei siti. Con JSEcoin, è possibile inserire un miner direttamentre nel browser in cambio di un’esperienza di navigazione senza annunci pubblicitari, percepiti sempre più come invasivi.
Questo mese Triada è stato il malware mobile più diffuso, sostituendosi a Hiddar, che è sceso al terzo posto. Lootor si è riconfermato al secondo posto.
I tre malware per dispositivi mobili più diffusi ad aprile 2019:
1. Triada – malware modulare per Android che sferra l’attacco tramite una backdoor che concede privilegi amministrativi a malware scaricati. Triada può anche fare lo spoofing di URL caricati nel browser.
2. Lotoor – tecnica di hackeraggio in grado di sfruttare le vulnerabilità dei sistemi Android con lo scopo di ottenere i permessi di root sui dispositivi mobile infettati.
3. Hiddad – malware Android che riconfeziona app legali e poi le consegna a uno store di terze parti. La sua funzione principale è visualizzare annunci, ma è anche in grado di accedere ai dati chiave di sicurezza, integrati nel sistema operativo, consentendo all’aggressore di ottenere dati sensibili dell’utente.
I ricercatori di Check Point hanno anche analizzato le vulnerabilità informatiche più sfruttate: OpenSSL TLS DTLS Heartbeat Information Disclosure conquista il primo posto tra le vulnerabilità maggiormente sfruttate, con un impatto globale del 44%. Per la prima volta, infatti, dopo 12 mesi, CVE-2017-7269 scende alla seconda posizione registrando un impatto del 40%, seguito da CVE-2017-5638 che ha colpito il 38% delle aziende in tutto il mondo.
Le tre vulnerabilità più diffuse nel mese di aprile sono state:
-
↑ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – in OpenSSL esiste una vulnerabilità che diffonde informazioni a causa di un errore durante la gestione dei pacchetti TLS/DTLS heartbeat. Un aggressore può sfruttare questa vulnerabilità per rivelare il contenuto della memoria di un client o server collegato.
-
↓ Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) – inviando una richiesta a una rete Microsoft Windows Server 2003 R2 tramite Microsoft Internet Information Services 6.0, un hacker potrebbe eseguire un codice arbitrario o causare una negazione delle condizioni del servizio sul server di destinazione. Ciò è dovuto principalmente a una vulnerabilità di overflow del buffer causata da una errata convalida di un header lungo nella richiesta HTTP.
-
↑ Apache Struts2 Content-Type Remote Code Execution (CVE-2017-5638) – esiste una vulnerabilità legata all’esecuzione di codice in modalità remota in Apache Struts2 che utilizza il parser di Jakarta. Un utente malintenzionato può sfruttare questa vulnerabilità inviando un tipo di contenuto non valido come parte di una richiesta di caricamento file. Se sfruttato in modo efficace potrebbe comportare l’esecuzione di codice arbitrario sul sistema interessato.
La ThreatCloud Map e il Global Threat Impact Index di Check Point si avvalgono dell’intelligence ThreatCloudTM dell’azienda, la più grande rete che collabora contro i cybercriminali e fornisce dati sulle minacce e sull’andamento degli attacchi, attraverso una rete globale di sensori delle minacce. Il database di ThreatCloud contiene più di 250 milioni di indirizzi, che vengono analizzati per scoprire bot, più di 11 milioni di firme di malware e più di 5 milioni e cinquecentomila siti web infetti, e ogni giorno individua milioni di varianti di malware.
* La lista completa delle 10 famiglie di malware più attive nel mese di aprile è disponibile sul blog di Check Point: https://blog.checkpoint.com/2019/05/14/april-2019s-most-wanted-malware-cybercriminals-up-to-old-trickbots-crypto-cryptomining-security-ryuk/
Le risorse per la Threat Prevention di Check Point sono disponibili al seguente link: http://www.checkpoint.com/threat-prevention-resources/index.html
Segui Check Point Research:
Blog: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_
Check Point Research
Check Point Research è in grado di fornire le principali informazioni sulle minacce informatiche ai clienti di Check Point Software e alla più ampia community di intelligence. Il team di ricerca raccoglie e analizza tutti i dati mondiali relativi agli attacchi rilevati da ThreatCloud per tenere a bada gli hacker e garantire che tutti i prodotti Check Point siano aggiornati con le protezioni più recenti. Il team di ricerca è composto da oltre 100 analisti e ricercatori che collaborano con altri vendor di sicurezza, forze dell’ordine e numerosi CERT.
Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) è il più grande fornitore mondiale specializzato nel campo della sicurezza informatica per i governi e le aziende. Le sue soluzioni leader di mercato proteggono i clienti, grazie al più elevato tasso di rilevamento di malware, di ransomware e di altri tipi di attacchi informatici sul mercato. Check Point fornisce un’architettura multilivello di sicurezza per difendere le informazioni contenute nei cloud, nei network e nei dispositivi mobili delle aziende, oltre a offrire un unico sistema di gestione della sicurezza più completo e intuitivo possibile. Check Point difende più di 100.000 organizzazioni di tutte le dimensioni.
###
