Il malware più ricercato del momento:
Trickbot, Emotet e la piaga di Log4j

Secondo l’ultimo Global Threat Index di Check Point, partner storico di Euro Informatica, Emotet è passato dal settimo al secondo posto nell’indice di malware più diffusi, mentre Trickbot rimane in cima. Apache Log4j è la vulnerabilità più sfruttata.

Nonostante la pericolosità ed il diffondersi della vulnerabilità Apache Log4j in Internet, i ricercatori hanno riferito che Trickbot è ancora il malware più diffuso, anche se con un tasso leggermente inferiore che colpisce il 4% delle organizzazioni in tutto il mondo (5% a novembre). Emotet, recentemente risorto, è rapidamente salito dalla settima posizione alla seconda. La RCP rivela inoltre che il settore più attaccato continua ad essere quello dell’istruzione/ricerca.

Questo mese “Apache Log4j Remote Code Execution” è la vulnerabilità più sfruttata, colpendo il 48,3% delle organizzazioni a livello globale. La vulnerabilità è stata segnalata per la prima volta il 9 dicembre nel pacchetto di registrazione Apache Log4j, la libreria di registrazione Java più popolare utilizzata in molti servizi Internet e app con oltre 400.000 download dal suo progetto GitHub. La vulnerabilità ha causato una nuova piaga, che ha colpito quasi la metà di tutte le aziende nel mondo in un brevissimo lasso di tempo. Gli aggressori sono in grado di sfruttare le app vulnerabili per eseguire cryptojacker e altri malware su server compromessi. Fino ad ora, la maggior parte degli attacchi si è concentrata sull’uso del mining di criptovalute a spese delle vittime, tuttavia, gli aggressori avanzati hanno iniziato ad agire in modo aggressivo e sfruttare la violazione su obiettivi di alta qualità.

Log4j ha dominato i titoli dei giornali a dicembre. È una delle vulnerabilità più gravi a cui abbiamo mai assistito e, a causa della complessità dell’applicazione delle patch e della sua facilità di sfruttamento, è probabile che rimanga con noi per molti anni a meno che le aziende non agiscano immediatamente per prevenire gli attacchi. Questo mese abbiamo anche visto la botnet Emotet passare dal settimo malware più diffuso al secondo. Proprio come sospettavamo, Emotet non ha impiegato molto a costruire una solida base da quando è riemerso a novembre. È evasivo e si sta diffondendo rapidamente tramite e-mail di phishing con allegati o collegamenti dannosi. Ora è più importante che mai disporre di una solida soluzione di sicurezza della posta elettronica e garantire che gli utenti sappiano come identificare un messaggio o un allegato dall’aspetto sospetto.

Maya Horowitz, VP Research presso Check Point Software

Il CPR ha rivelato questo mese che l’istruzione/ricerca è il settore più attaccato a livello globale, seguito da governo/militare e ISP/MSP. “Apache Log4j Remote Code Execution” è la vulnerabilità più comunemente sfruttata, con un impatto sul 48,3% delle organizzazioni a livello globale, seguita da “Web Server Exposed Git Repository Information Disclosure” che colpisce il 43,8% delle organizzazioni in tutto il mondo. “HTTP Headers Remote Code Execution” rimane al terzo posto nell’elenco delle principali vulnerabilità sfruttate, con un impatto globale del 41,5%.

Le principali famiglie di malware

Questo mese, Trickbot è il malware più diffuso e colpisce il 4% delle organizzazioni in tutto il mondo, seguito da Emotet e Formbook, entrambi con un impatto globale del 3%.

– Trickbot – Trickbot è una botnet modulare e un Trojan bancario costantemente aggiornato con nuove capacità, caratteristiche e vettori di distribuzione. Ciò consente a Trickbot di essere un malware flessibile e personalizzabile che può essere distribuito come parte di campagne multiuso.

– Emotet – Emotet è un Trojan avanzato, autopropagante e modulare. Emotet una volta utilizzato come Trojan bancario, ma recentemente viene utilizzato come distributore di altri malware o campagne dannose. Utilizza più metodi per mantenere la persistenza e le tecniche di evasione per evitare il rilevamento. Inoltre, può diffondersi tramite e-mail di spam di phishing contenenti allegati o collegamenti dannosi.

– Formbook – Formbook è un InfoStealer che raccoglie le credenziali da vari browser Web, raccoglie screenshot, monitora e registra le sequenze di tasti e può scaricare ed eseguire file in base ai suoi ordini C&C.

I settori più attaccati a livello globale:

L’istruzione/ricerca è stato il settore più attaccato a livello globale, seguito da governo/militare e ISP/MSP.

1. Istruzione/Ricerca
2. Governo/militare
3. ISP/MSP

Principali vulnerabilità sfruttate

“Apache Log4j Remote Code Execution” è stata la vulnerabilità più comunemente sfruttata, con un impatto sul 48,3% delle organizzazioni a livello globale, seguita da “Web Server Exposed Git Repository Information Disclosure” che colpisce il 43,8% delle organizzazioni in tutto il mondo. “HTTP Headers Remote Code Execution” rimane al terzo posto nell’elenco delle principali vulnerabilità sfruttate, con un impatto globale del 41,5%.

1. Apache Log4j Esecuzione di codice in modalità remota (CVE-2021-44228) – Esiste una vulnerabilità legata all’esecuzione di codice in modalità remota in Apache Log4j. Lo sfruttamento corretto di questa vulnerabilità potrebbe consentire a un utente malintenzionato in remoto di eseguire codice arbitrario sul sistema interessato.
2. Divulgazione delle informazioni sul repository Git del server Web – E’ stata segnalata una vulnerabilità di divulgazione delle informazioni nel repository Git. Lo sfruttamento corretto di questa vulnerabilità potrebbe consentire la divulgazione involontaria delle informazioni sull’account.
3. Intestazioni HTTP Esecuzione di codice remoto (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Le intestazioni HTTP consentono al client e al server di trasmettere informazioni aggiuntive con una richiesta HTTP. Un utente malintenzionato remoto può utilizzare un’intestazione HTTP vulnerabile per eseguire codice arbitrario sul computer della vittima.

I più diffusi malware per dispositivi mobili

Questo mese, AlienBot occupa il primo posto tra i malware per dispositivi mobili più diffusi, seguito da xHelper e FluBot.

1. AlienBot – La famiglia di malware AlienBot è un Malware-as-a-Service (MaaS) per dispositivi Android che consente a un utente malintenzionato remoto, come primo passo, di iniettare codice dannoso in applicazioni finanziarie legittime. L’attaccante ottiene l’accesso agli account delle vittime e alla fine controlla completamente il loro dispositivo.
2. xHelper – Un’applicazione dannosa vista in natura da marzo 2019, utilizzata per scaricare altre app dannose e visualizzare annunci pubblicitari. L’applicazione è in grado di nascondersi dall’utente e può anche reinstallarsi nel caso in cui sia stata disinstallata.
3. FluBot – FluBot è una botnet Android distribuita tramite messaggi SMS di phishing, il più delle volte impersonando marchi di consegna logistica. Una volta che l’utente fa clic sul collegamento all’interno del messaggio, FluBot viene installato e accede a tutte le informazioni sensibili sul telefono.