Nuovo metodo di infezione a catena

Check Point® Software Technologies Ltd. ha pubblicato il Global Threat Index per il mese di marzo 2024. I ricercatori hanno scoperto che nel mese precedente gli hacker hanno sfruttato i file VHD (Virtual Hard Disk) per diffondere il Trojan ad accesso remoto (RAT) Remcos. Allo stesso tempo, nonostante le vigorose operazioni di disturbo e interruzione condotte dalle forze dell’ordine, Lockbit3 è rimasto il gruppo di ransomware più diffuso, anche se la sua frequenza nei 200 “siti della vergogna” di ransomware monitorati da Check Point si è ridotta dal 20% al 12%.

Nel nostro Paese, nel mese di marzo si registra il ritorno di Formbook sul podio dei malware più presenti, scalzando Nanocore e posizionandosi al terzo posto. Nello specifico, la minaccia più importante rimane FakeUpdates (un downloader JavaScript in grado di scrivere i payload su disco prima di lanciarli, che ha portato a ulteriori attacchi tramite numerose altre minacce informatiche, tra cui GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult), con un impatto del 12,67% anche questo mese in crescita (+3,45% rispetto a febbraio), e oltre il 6% superiore rispetto all’impatto a livello globale. La seconda minaccia nel nostro Paese si conferma essere Blindingcan (trojan ad accesso remoto di origine nord coreana) che in Italia ha avuto un impatto del 5,47%, evidenziando una leggera riduzione rispetto a febbraio (-0,5%) tuttavia ancora notevolmente più alto (+5,45%) del valore rilevato a livello mondiale (0,29%). Il malware Formbook (Infostealer che colpisce il sistema operativo Windows rilevato per la prima volta nel 2016, commercializzato come Malware as a Service) risulta essere la terza minaccia in Italia con un impatto del 5,12% (+1,15% rispetto a febbraio), anch’esso superiore all’impatto globale che è del 2,43%.

Le 4 famiglie di malware più diffuse

FakeUpdates è stato il malware più diffuso nel mese di marzo 2024 con un impatto del 6% sulle organizzazioni mondiali, seguito da Qbot con un impatto globale del 3% e Formbook con un impatto globale del 2%.

FakeUpdates (AKA SocGholish) è un downloader scritto in JavaScript. Scrive i payload su disco prima di lanciarli. FakeUpdates ha portato a ulteriori compromissioni tramite molti altri malware, tra cui GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.

Qbot AKA Qakbot è un malware multiuso apparso per la prima volta nel 2008. È stato progettato per sottrarre le credenziali dell’utente, registrare i tasti digitati, appropriarsi dei cookie dai browser, spiare le attività bancarie e distribuire ulteriore malware. Spesso diffuso tramite e-mail spam, Qbot impiega diverse tecniche anti-VM, anti-debug e anti-sandbox per ostacolare l’analisi ed eludere il rilevamento. A partire dal 2022, è emerso come uno dei Trojan più diffusi.

Formbook è un Infostealer che colpisce il sistema operativo Windows ed è stato rilevato per la prima volta nel 2016. È commercializzato come Malware as a Service (MaaS) nei forum di hacking underground per le sue forti tecniche di evasione e il prezzo relativamente basso. FormBook raccoglie le credenziali da vari browser web e screenshot, monitora e registra le sequenze di tasti e può scaricare ed eseguire file in base agli ordini del suo C&C.

Le vulnerabilità maggiormente sfruttate

Il mese scorso, “Web Servers Malicious URL Directory Traversal” è stata la vulnerabilità più sfruttata, con un impatto sul 50% delle organizzazioni a livello globale, seguita da “Command Injection Over HTTP” con il 48% e “HTTP Headers Remote Code Execution” con il 43%.

Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) – Esiste una vulnerabilità di directory traversal su diversi web server. La vulnerabilità è dovuta a un errore di convalida dell’input in un server web che non sanifica correttamente l’URI per i modelli di attraversamento delle directory. Uno sfruttamento riuscito consente agli attaccanti remoti non autenticati di divulgare o accedere a file arbitrari sul server vulnerabile.

Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086) – È stata segnalata una vulnerabilità dei comandi su HTTP. Un attaccante remoto può sfruttare questo problema inviando alla vittima una richiesta appositamente creata. Uno sfruttamento riuscito consentirebbe a un aggressore di eseguire codice arbitrario sul computer di destinazione.

HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-1375) – Gli header HTTP consentono al client e al server di passare informazioni aggiuntive con una richiesta HTTP. Un attaccante remoto può utilizzare un’intestazione HTTP vulnerabile per eseguire un codice arbitrario sul computer della vittima.

Principali malware per dispositivi mobili

Anche nel mese di marzo 2024 Anubis risulta essere il malware mobile più diffuso, seguito da AhMyth e Cerberus.

Anubis è un trojan bancario progettato per smartphone Android. Da quando è stato rilevato inizialmente, ha acquisito ulteriori funzioni, tra cui la funzionalità di Trojan ad accesso remoto (RAT), e di keylogger, ovvero la capacità di registrazione audio e varie funzionalità ransomware. È stato rilevato in centinaia di differenti applicazioni disponibili su Google Store.

AhMyth è un Remote Access Trojan (RAT) scoperto nel 2017. Viene distribuito attraverso applicazioni Android presenti negli app store e su vari siti Web. Quando un utente installa una di queste app infette, il malware può raccogliere informazioni sensibili dal dispositivo ed eseguire azioni come il keylogging, registrare screenshot, inviare messaggi SMS e attivare la fotocamera, solitamente allo scopo di sottrarre informazioni riservate.

Cerberus – Avvistato per la prima volta nel giugno 2019, Cerberus è un Trojan ad accesso remoto (RAT) con funzioni specifiche di overlay delle schermate bancarie per i dispositivi Android. Cerberus opera in un modello di Malware as a Service (MaaS), prendendo il posto di Trojan bancari come Anubis ed Exobot. Le sue funzioni includono il controllo degli SMS, il key-logging, la registrazione audio, il tracciamento della posizione e altro ancora.