Check Point Software ha pubblicato il suo ultimo Global Threat Index per dicembre 2022. In termini di malware, QBot ha ora superato Emotet, la divulgazione di informazioni sul repository Git di Web Server Exposed è la vulnerabilità più ampiamente sfruttata e gli aggressori continuano a colpire maggiormente i settori dell'istruzione e della ricerca.
Qbot, un sofisticato trojan che ruba dettagli bancari e sequenze di tasti, ha superato Emotet al suo ritorno il mese scorso diventando il malware più diffuso, colpendo il 13,49% delle aziende in Germania. Emotet scende al secondo posto al 5,12%, seguito da Formbook all'1,96%. Nel campo delle minacce mobili, il malware Android Hiddad sta tornando in auge, mentre l'istruzione rimane l'industria più colpita in Germania e nel mondo.
Global Threat Index: pieno di pericoli
Maya Horowitz, VP Research di Check Point Software, sull'ultimo Global Threat Index: “Il tema principale della nostra recente ricerca è che il malware spesso si maschera da software legittimo per consentire agli hacker di intrufolarsi nei dispositivi senza destare sospetti. Ecco perché è importante prestare la dovuta attenzione quando si scaricano software e applicazioni o si fa clic sui collegamenti, indipendentemente da quanto sembrino autentici".
I 3 principali malware per la Germania
Le frecce all'inizio si riferiscono alla variazione della classifica, cioè salita o discesa, rispetto al mese precedente.
⇑ Qbot – Qbot, noto anche come Qakbot, è un trojan bancario apparso per la prima volta nel 2008. È progettato per rubare le informazioni bancarie e le sequenze di tasti di un utente. Comunemente distribuito tramite e-mail di spam, Qbot utilizza più tecniche anti-VM, anti-debug e anti-sandbox per complicare l'analisi ed eludere il rilevamento.
⇓ Emotet – Emotet è un cavallo di troia avanzato, autopropagante e modulare che un tempo veniva utilizzato come trojan bancario e attualmente prolifera altri malware o campagne dannose. Emotet utilizza più metodi di persistenza e tecniche di evasione per evitare il rilevamento e può essere distribuito tramite e-mail di spam di phishing con allegati o collegamenti dannosi.
⇑ Formbook – Formbook è un ladro di informazioni destinato al sistema operativo Windows ed è stato scoperto per la prima volta nel 2016. È commercializzato come Malware as a Service (MaaS) sui forum di hacking sotterranei a causa delle sue forti tecniche di evasione e del prezzo relativamente basso. Formbook raccoglie le credenziali di accesso da vari browser Web, raccoglie schermate, monitora e registra le sequenze di tasti e può scaricare ed eseguire file su istruzione dal suo C&C.
Le 3 principali vulnerabilità
A dicembre, Web Server Exposed Git Repository Information Disclosure è stata la principale vulnerabilità sfruttata, colpendo il 46% delle organizzazioni in tutto il mondo, seguita da vicino da Web Server's Malicious URL Directory Traversal con una quota del 44%. L'iniezione di comandi su HTTP è la terza vulnerabilità più comunemente utilizzata, con un impatto globale del 43%.
⇑ I server Web hanno esposto la divulgazione di informazioni del repository Git: è stata segnalata una vulnerabilità di divulgazione delle informazioni nel repository Git. Lo sfruttamento riuscito di questa vulnerabilità potrebbe consentire la divulgazione involontaria delle informazioni sull'account.
⇓ Attraversamento della directory dell'URL dannoso del server Web
(CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE -2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) - Esiste una vulnerabilità di directory traversal su diversi Web server. La vulnerabilità è dovuta a un errore di convalida dell'input in un server Web che non disinfetta correttamente l'URI per i modelli di attraversamento delle directory. Lo sfruttamento riuscito consente agli aggressori non autenticati di esporre o accedere a file arbitrari sul server vulnerabile.
⇑ Command Injection su HTTP (CVE-2021-43936,CVE-2022-24086) - È stata segnalata una vulnerabilità di Command Injection su HTTP. Un utente malintenzionato remoto può sfruttare questo problema inviando una richiesta appositamente predisposta alla vittima. Se sfruttati con successo, gli aggressori potrebbero eseguire codice arbitrario sul computer di destinazione.
I 3 principali malware per dispositivi mobili
Nell'ultimo mese, Anubis ha continuato a essere il malware mobile più diffuso, seguito da Hiddad e AlienBot.
⇔ Anubis – Anubis è un trojan bancario sviluppato per i telefoni Android. Dal suo rilevamento iniziale, ha acquisito funzionalità aggiuntive tra cui trojan di accesso remoto (RAT), keylogger e capacità di registrazione audio e varie funzioni ransomware. È stato individuato in centinaia di diverse applicazioni sul Google Store.
⇑ Hiddad - Hiddad è un malware Android che riconfeziona app legittime e le pubblica in uno store di terze parti. La sua funzione principale è quella di visualizzare annunci pubblicitari, ma può anche ottenere l'accesso a importanti dettagli di sicurezza del sistema operativo.
⇔ AlienBot – AlienBot è un trojan bancario Android venduto clandestinamente come Malware-as-a-Service (MaaS). Supporta il keylogging, gli overlay dinamici per il furto di credenziali e la raccolta di SMS per aggirare la 2FA. Ulteriori funzionalità di controllo remoto sono fornite tramite un modulo TeamViewer.
I primi 3 settori e aree attaccati in Germania:
⇔ – Istruzione/Ricerca
⇔ – Vendita al dettaglio/all'ingrosso
⇔ - Assistenza sanitaria
Il Global Threat Impact Index e la ThreatCloud Map di Check Point sono alimentati dalla ThreatCloud Intelligence di Check Point. ThreatCloud fornisce informazioni sulle minacce in tempo reale derivate da centinaia di milioni di sensori in tutto il mondo su reti, endpoint e telefoni cellulari. Questa intelligenza è arricchita con motori basati sull'intelligenza artificiale e dati di ricerca esclusivi di Check Point Research, il dipartimento di ricerca e sviluppo di Check Point Software Technologies.
Altro su CheckPoint.com
Informazioni sul punto di controllo Check Point Software Technologies GmbH (www.checkpoint.com/de) è un fornitore leader di soluzioni di sicurezza informatica per pubbliche amministrazioni e aziende in tutto il mondo. Le soluzioni proteggono i clienti dagli attacchi informatici con un tasso di rilevamento leader del settore di malware, ransomware e altri tipi di attacchi. Check Point offre un'architettura di sicurezza a più livelli che protegge le informazioni aziendali su cloud, rete e dispositivi mobili e il sistema di gestione della sicurezza "un punto di controllo" più completo e intuitivo. Check Point protegge oltre 100.000 aziende di tutte le dimensioni.