L’ascesa del malware FakeUpdates

Check Point® Software Technologies Ltd. ha divulgato il Global Threat Index per il mese di dicembre 2023. Dai risultati emersi, risulta che in Italia le minacce già presenti a novembre sono rimaste attive anche nel mese successivo. La principale minaccia continua ad essere FakeUpdates, un downloader JavaScript capace di scrivere payload su disco prima di eseguirli. Questo ha portato a ulteriori attacchi attraverso diverse altre minacce informatiche, come GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult, con un impatto del 5,03%. Questo rappresenta un aumento del 1,6% rispetto a novembre e oltre il 2,7% in più rispetto all’impatto globale. La seconda minaccia più rilevante nel nostro Paese è confermata essere Blindingcan, un trojan ad accesso remoto di origine nord coreana, con un impatto del 3,95%. Anche in questo caso si è registrato un aumento rispetto a novembre (+0,7%), e il livello di impatto è notevolmente superiore rispetto a quanto riscontrato a livello globale (0,20%).

Il mese scorso, il malware Qbot è stato utilizzato dai criminali informatici come parte di un attacco di phishing su scala limitata che ha preso di mira le organizzazioni del settore alberghiero. Nella campagna, i ricercatori hanno scoperto che gli hacker si sono spacciati per l’Internal Revenue Service, parte del Dipartimento del Tesoro degli Stati Uniti, e hanno inviato e-mail malevole contenenti allegati PDF con URL collegati a un programma di installazione Microsoft. Una volta attivato, il programma attivava una versione non visibile di Qbot che sfruttava una Dynamic Link Library (DLL) incorporata. Prima dell’eliminazione ad agosto, Qbot dominava la classifica delle minacce, posizionandosi tra i primi tre malware più diffusi per 10 mesi consecutivi. Sebbene non sia rientrato nell’elenco, i prossimi due mesi determineranno se riacquisterà la notorietà che ha avuto in passato.

Nel frattempo, FakeUpdates ha continuato la sua ascesa dopo essere riemerso alla fine del 2023, raggiungendo il primo posto con un impatto globale del 2%. Anche Nanocore ha mantenuto una posizione nella top five per sei mesi consecutivi, conquistando il terzo posto a dicembre, e ci sono infine state nuove entrate con i malware Ramnit e Glupteba.

Check Point Research ha inoltre rivelato che “Apache Log4j Remote Code Execution (CVE-2021-44228) e “Web Servers Malicious URL Directory Traversal” sono state le vulnerabilità più sfruttate che hanno interessato il 46% delle organizzazioni in tutto il mondo. Segue subito dopo “Zyxel ZyWALL Command Injection (CVE-2023-28771)” con un impatto globale del 43% e la notorietà precedente.