Cyberteam

  • Home
  • Attività
    • Network Security Assessment
    • Password Hacking
      • Password Intelligence
      • Password Security Management
      • Multi-Factor Authentication
    • Cyber Intelligence
    • Vulnerability Assessment
    • Penetration Testing
    • Spear Phishing
    • Academy
    • Database Health Check
    • Legal 4 Tech
      • Legal 4 Tech
      • AGID/GDPR
    • Digital Forensics
  • Ethical Hacker
    • Lavora con noi
    • Bibliografie hacker
  • CyT per il sociale
  • Contatti
  • CyberNews

Il malware più ricercato del momento:
Trickbot, Emotet e la piaga di Log4j

Il malware più ricercato del momento:
Trickbot, Emotet e la piaga di Log4j

da Valeria / giovedì, 13 Gennaio 2022 / Pubblicato il Analisi Tecnica, Cyber Security

Secondo l’ultimo Global Threat Index di Check Point, partner storico di Euro Informatica, Emotet è passato dal settimo al secondo posto nell’indice di malware più diffusi, mentre Trickbot rimane in cima. Apache Log4j è la vulnerabilità più sfruttata.

Nonostante la pericolosità ed il diffondersi della vulnerabilità Apache Log4j in Internet, i ricercatori hanno riferito che Trickbot è ancora il malware più diffuso, anche se con un tasso leggermente inferiore che colpisce il 4% delle organizzazioni in tutto il mondo (5% a novembre). Emotet, recentemente risorto, è rapidamente salito dalla settima posizione alla seconda. La RCP rivela inoltre che il settore più attaccato continua ad essere quello dell’istruzione/ricerca.

Questo mese “Apache Log4j Remote Code Execution” è la vulnerabilità più sfruttata, colpendo il 48,3% delle organizzazioni a livello globale. La vulnerabilità è stata segnalata per la prima volta il 9 dicembre nel pacchetto di registrazione Apache Log4j, la libreria di registrazione Java più popolare utilizzata in molti servizi Internet e app con oltre 400.000 download dal suo progetto GitHub. La vulnerabilità ha causato una nuova piaga, che ha colpito quasi la metà di tutte le aziende nel mondo in un brevissimo lasso di tempo. Gli aggressori sono in grado di sfruttare le app vulnerabili per eseguire cryptojacker e altri malware su server compromessi. Fino ad ora, la maggior parte degli attacchi si è concentrata sull’uso del mining di criptovalute a spese delle vittime, tuttavia, gli aggressori avanzati hanno iniziato ad agire in modo aggressivo e sfruttare la violazione su obiettivi di alta qualità.

Log4j ha dominato i titoli dei giornali a dicembre. È una delle vulnerabilità più gravi a cui abbiamo mai assistito e, a causa della complessità dell’applicazione delle patch e della sua facilità di sfruttamento, è probabile che rimanga con noi per molti anni a meno che le aziende non agiscano immediatamente per prevenire gli attacchi. Questo mese abbiamo anche visto la botnet Emotet passare dal settimo malware più diffuso al secondo. Proprio come sospettavamo, Emotet non ha impiegato molto a costruire una solida base da quando è riemerso a novembre. È evasivo e si sta diffondendo rapidamente tramite e-mail di phishing con allegati o collegamenti dannosi. Ora è più importante che mai disporre di una solida soluzione di sicurezza della posta elettronica e garantire che gli utenti sappiano come identificare un messaggio o un allegato dall’aspetto sospetto.

Maya Horowitz, VP Research presso Check Point Software

Il CPR ha rivelato questo mese che l’istruzione/ricerca è il settore più attaccato a livello globale, seguito da governo/militare e ISP/MSP. “Apache Log4j Remote Code Execution” è la vulnerabilità più comunemente sfruttata, con un impatto sul 48,3% delle organizzazioni a livello globale, seguita da “Web Server Exposed Git Repository Information Disclosure” che colpisce il 43,8% delle organizzazioni in tutto il mondo. “HTTP Headers Remote Code Execution” rimane al terzo posto nell’elenco delle principali vulnerabilità sfruttate, con un impatto globale del 41,5%.

Le principali famiglie di malware

Questo mese, Trickbot è il malware più diffuso e colpisce il 4% delle organizzazioni in tutto il mondo, seguito da Emotet e Formbook, entrambi con un impatto globale del 3%.

– Trickbot – Trickbot è una botnet modulare e un Trojan bancario costantemente aggiornato con nuove capacità, caratteristiche e vettori di distribuzione. Ciò consente a Trickbot di essere un malware flessibile e personalizzabile che può essere distribuito come parte di campagne multiuso.

– Emotet – Emotet è un Trojan avanzato, autopropagante e modulare. Emotet una volta utilizzato come Trojan bancario, ma recentemente viene utilizzato come distributore di altri malware o campagne dannose. Utilizza più metodi per mantenere la persistenza e le tecniche di evasione per evitare il rilevamento. Inoltre, può diffondersi tramite e-mail di spam di phishing contenenti allegati o collegamenti dannosi.

– Formbook – Formbook è un InfoStealer che raccoglie le credenziali da vari browser Web, raccoglie screenshot, monitora e registra le sequenze di tasti e può scaricare ed eseguire file in base ai suoi ordini C&C.

I settori più attaccati a livello globale:

L’istruzione/ricerca è stato il settore più attaccato a livello globale, seguito da governo/militare e ISP/MSP.

  1. Istruzione/Ricerca
  2. Governo/militare
  3. ISP/MSP

Principali vulnerabilità sfruttate

“Apache Log4j Remote Code Execution” è stata la vulnerabilità più comunemente sfruttata, con un impatto sul 48,3% delle organizzazioni a livello globale, seguita da “Web Server Exposed Git Repository Information Disclosure” che colpisce il 43,8% delle organizzazioni in tutto il mondo. “HTTP Headers Remote Code Execution” rimane al terzo posto nell’elenco delle principali vulnerabilità sfruttate, con un impatto globale del 41,5%.

  1. Apache Log4j Esecuzione di codice in modalità remota (CVE-2021-44228) – Esiste una vulnerabilità legata all’esecuzione di codice in modalità remota in Apache Log4j. Lo sfruttamento corretto di questa vulnerabilità potrebbe consentire a un utente malintenzionato in remoto di eseguire codice arbitrario sul sistema interessato.
  2. Divulgazione delle informazioni sul repository Git del server Web – E’ stata segnalata una vulnerabilità di divulgazione delle informazioni nel repository Git. Lo sfruttamento corretto di questa vulnerabilità potrebbe consentire la divulgazione involontaria delle informazioni sull’account.
  3. Intestazioni HTTP Esecuzione di codice remoto (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Le intestazioni HTTP consentono al client e al server di trasmettere informazioni aggiuntive con una richiesta HTTP. Un utente malintenzionato remoto può utilizzare un’intestazione HTTP vulnerabile per eseguire codice arbitrario sul computer della vittima.

I più diffusi malware per dispositivi mobili

Questo mese, AlienBot occupa il primo posto tra i malware per dispositivi mobili più diffusi, seguito da xHelper e FluBot.

  1. AlienBot – La famiglia di malware AlienBot è un Malware-as-a-Service (MaaS) per dispositivi Android che consente a un utente malintenzionato remoto, come primo passo, di iniettare codice dannoso in applicazioni finanziarie legittime. L’attaccante ottiene l’accesso agli account delle vittime e alla fine controlla completamente il loro dispositivo.
  2. xHelper – Un’applicazione dannosa vista in natura da marzo 2019, utilizzata per scaricare altre app dannose e visualizzare annunci pubblicitari. L’applicazione è in grado di nascondersi dall’utente e può anche reinstallarsi nel caso in cui sia stata disinstallata.
  3. FluBot – FluBot è una botnet Android distribuita tramite messaggi SMS di phishing, il più delle volte impersonando marchi di consegna logistica. Una volta che l’utente fa clic sul collegamento all’interno del messaggio, FluBot viene installato e accede a tutte le informazioni sensibili sul telefono.
Valeria

Blue Team Inside, si occupa di sicurezza informatica da più di 5 anni, con un occhio di riguardo alla difesa.

Una Padawan Etichal pronta a difendere l’anello più debole della catena…

Attenzione a non sottovalutarla, se finite vittima di una sua campagna di Spear Phishing non potrete scampare.

Tre caratteristiche che la distinguono:

  • La precisione
  • Sempre alla ricerca di imparare cose nuove
  • La sua auto…comprensiva di antenna

Colore preferito? Verde, ovviamente!

Condividi
Taggato in: cyber security, log4j, malware, trojan

Che altro puoi leggere

database password
Olimpiadi di Tokyo:
lo sport preferito come password
Diffidare, sempre
I Dieci Cyber Comandamenti
6 modi in cui le password
non superano i test di sicurezza di base

Categorie

  • Analisi Tecnica
  • Cyber Security
  • Dark Web
  • Data Leak
  • GDPR
  • HACKER
  • Industria 4.0
  • IOT
  • MongoDB
  • Password
  • Ransomware
  • Smartworking

Articoli recenti

  • password intelligence

    Controllo di sicurezza: 13.000 password del governo USA violate in 90 minuti

    Poiché i dipendenti del Dipartimento degli Inte...
  • Fuga di dati: circola un database con 235 milioni di account Twitter

    Dopo che a dicembre è stato messo in vendita un...
  • Codice dannoso su PyPI: attacco alla catena di distribuzione delle build notturne di PyTorch

    Chi ha recentemente installato PyTorch-nightly ...
  • Il ransomware Magniber ora infetta gli utenti Windows
    tramite file JavaScript

    Una recente campagna dannosa che ha distribuito...
  • GIFShell – Nuovo attacco che consente agli aggressori di rubare
    i dati utilizzando una GIF dentro Microsoft Teams

    Una nuova tecnica di attacco chiamata “GIFShell...
  • SOCIAL

© 2020.Tutti i diritti riservati. EURO INFORMATICA SPA - Viale della Repubblica 63/4, 36066 Sandrigo (VI)
P. IVA/CF 02367910243 - Cap Soc. 100.000 Euro i.v. - REA 0226275 - VI - Reg. Imp. 30100-VI-116

COOKIE POLICY - PRIVACY POLICY

TORNA SU
  • Sei sotto attacco?