Principali malware: Qbot è risorto a dicembre

5. Marzo 2024
| Non ci sono commenti
Principali malware: Qbot è risorto a dicembre

Condividi post

Nel dicembre 2023, Nanocore era al primo posto nelle classifiche dei malware, Qbot era tornato e il settore più frequentemente attaccato era quello dell’istruzione e della ricerca, prima dell’assistenza sanitaria.

Check Point® Software Technologies ha pubblicato il suo Global Threat Index di dicembre 2023. Questo mese, il malware Qbot è stato utilizzato dagli hacker come parte di un attacco di phishing contro le aziende del settore dell’ospitalità. Nella campagna, gli hacker si sono spacciati per l'IRS (Internal Revenue Service) degli Stati Uniti e hanno inviato e-mail fraudolente contenenti allegati PDF contenenti URL incorporati e collegati a un programma di installazione Microsoft. Una volta attivato, questo ha attivato una versione invisibile di Qbot che utilizzava una libreria di collegamento dinamico (DLL) incorporata.

Sfortunatamente, Qbot ritorna

Prima che Qbot venisse disattivato nell’agosto del 2023, dominava l’indice delle minacce, classificandosi tra i primi tre malware più diffusi per 10 mesi consecutivi. Sebbene Qbot non sia tornato nella lista, dopo questa resurrezione segreta, i prossimi mesi dimostreranno se il parassita riuscirà a riconquistare lo stesso livello di notorietà di cui godeva in precedenza.

In Germania, nell'ultimo mese dello scorso anno, il trojan di accesso remoto Nanocore è stato nuovamente in testa alla classifica dei malware più diffusi, seguito da Formbook, che è stato eliminato dalla vetta. Al terzo posto è tornato il trojan di accesso remoto Remcos.

Il malware più diffuso nel dicembre 2023 in Germania

*Le frecce si riferiscono alla variazione della classifica rispetto al mese precedente.

  1. ↑Nanonucleo – Nanocore è un Trojan di accesso remoto (RAT) destinato agli utenti del sistema operativo Windows ed è stato osservato per la prima volta nel 2013. Tutte le versioni di RAT includono plugin di base
    e funzionalità come la registrazione dello schermo, il mining di criptovaluta, il controllo del desktop remoto e il furto di sessioni webcam.
  2. ↓Libro moduli – Formbook è un infostealer che prende di mira il sistema operativo Windows ed è stato scoperto per la prima volta nel 2016. Viene commercializzato nei forum di hacking clandestini come Malware-as-a-Service (MaaS) a causa delle sue potenti tecniche di evasione e del prezzo relativamente basso. Formbook raccoglie credenziali da vari browser Web, raccoglie schermate, monitora e registra le sequenze di tasti e può scaricare ed eseguire file su istruzione del suo C&C.
  3. ↑Remcos - Remcos è un RATTO apparso per la prima volta in natura nel 2016. Remcos si diffonde tramite documenti Microsoft Office dannosi allegati alle e-mail SPAM ed è progettato per aggirare la sicurezza UAC di Microsoft Windows ed eseguire malware ad alto privilegio.

Le 3 principali vulnerabilità nel dicembre 2023

Il mese scorso, Apache Log4j Remote Code Execution (CVE-2021-44228) e Web Servers Malicious URL Directory Traversal sono state le vulnerabilità più sfruttate, colpendo il 46% delle organizzazioni in tutto il mondo, seguite da Zyxel ZyWALL Command Injection (CVE-2023-28771) con un quota globale del 43%.

  1. ↑ Esecuzione di codice remoto Apache Log4j (CVE-2021-44228) – Esiste una vulnerabilità legata all'esecuzione di codice in modalità remota in Apache Log4j. Quello di successo
    Lo sfruttamento di questa vulnerabilità potrebbe consentire a un utente malintenzionato remoto di eseguire codice arbitrario sul sistema interessato.
  2. ↔ Attraversamento directory URL dannosi del server Web (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE -2016-8530,CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) - Esiste una vulnerabilità di attraversamento delle directory su diversi server Web . La vulnerabilità è dovuta a un errore di convalida dell'input in un server Web che non disinfetta correttamente l'URI per i modelli di attraversamento delle directory. Uno sfruttamento riuscito consente agli aggressori non autenticati di divulgare o accedere a file arbitrari sul server vulnerabile.
  3. ↔ Zyxel ZyWALL Comando Iniezione (CVE-2023-28771) – Esiste una vulnerabilità di command injection in Zyxel ZyWALL. Lo sfruttamento efficace di questa vulnerabilità consentirebbe agli aggressori remoti di eseguire comandi arbitrari del sistema operativo sul sistema interessato.

I 3 principali malware mobili nel dicembre 2023

Il mese scorso, Anubis è rimasto il principale malware mobile, seguito da AhMyth e dal rientrante malware Android Hiddad.

  1. ↔ Anubi – Anubis è un malware bancario trojan progettato per i telefoni cellulari Android. Dalla sua scoperta iniziale, ha acquisito funzionalità aggiuntive tra cui Remote Access Trojan (RAT), keylogger e funzionalità di registrazione audio
    e varie funzionalità di ransomware. È stato scoperto in centinaia di diverse applicazioni sul Google Store
  2. ↔ AhMito – AhMyth è un Trojan di accesso remoto (RAT) scoperto nel 2017. Viene distribuito tramite app Android che possono essere trovate negli app store e in vari siti web. Quando un utente installa una di queste app infette, il malware può raccogliere informazioni sensibili dal dispositivo ed eseguire azioni come keylogging, acquisizione di screenshot, invio di messaggi SMS e attivazione della fotocamera, che vengono generalmente utilizzate per rubare informazioni sensibili.
  3. ↑ Hiddad – Hiddad è un malware Android che riconfeziona app legittime e poi le pubblica su uno store di terze parti. La sua funzione principale è visualizzare annunci pubblicitari, ma può anche accedere a importanti dettagli di sicurezza del sistema operativo.

Top 3 dei settori e delle aree attaccate in Germania

  1. ↑Istruzione/Ricerca
  2. ↔Sanità
  3. ↓ ISP/MSP

Il Global Threat Impact Index e la ThreatCloudMap di Check Point si basano sull'intelligence ThreatCloud di Check Point. ThreatCloud fornisce informazioni sulle minacce in tempo reale derivate da centinaia di milioni di sensori in tutto il mondo su reti, endpoint e telefoni cellulari. Questa intelligenza è arricchita con motori basati sull'intelligenza artificiale e dati di ricerca esclusivi di Check Point Research, la divisione di ricerca e sviluppo di Check Point Software Technologies.

Vai direttamente al rapporto su CheckPoint.com

 

Informazioni sul punto di controllo

Check Point Software Technologies GmbH (www.checkpoint.com/de) è un fornitore leader di soluzioni di sicurezza informatica per pubbliche amministrazioni e aziende in tutto il mondo. Le soluzioni proteggono i clienti dagli attacchi informatici con un tasso di rilevamento leader del settore di malware, ransomware e altri tipi di attacchi. Check Point offre un'architettura di sicurezza a più livelli che protegge le informazioni aziendali su cloud, rete e dispositivi mobili e il sistema di gestione della sicurezza "un punto di controllo" più completo e intuitivo. Check Point protegge oltre 100.000 aziende di tutte le dimensioni.

Articoli relativi all'argomento

Sicurezza IT: NIS-2 ne fa una priorità assoluta

Solo in un quarto delle aziende tedesche il management si assume la responsabilità della sicurezza informatica. Soprattutto nelle aziende più piccole ➡ Leggi di più

Gli attacchi informatici aumenteranno del 104% nel 2023

Una società di sicurezza informatica ha dato uno sguardo al panorama delle minacce dello scorso anno. I risultati forniscono informazioni cruciali su ➡ Leggi di più

Lo spyware mobile rappresenta una minaccia per le aziende

Sempre più persone utilizzano i dispositivi mobili sia nella vita di tutti i giorni che in azienda. Ciò riduce anche il rischio di “mobile ➡ Leggi di più

La sicurezza in crowdsourcing individua molte vulnerabilità

La sicurezza in crowdsourcing è aumentata in modo significativo nell’ultimo anno. Nel settore pubblico sono state segnalate il 151% in più di vulnerabilità rispetto all’anno precedente. ➡ Leggi di più

Sicurezza digitale: i consumatori hanno più fiducia nelle banche

Un sondaggio sulla fiducia digitale ha mostrato che le banche, la sanità e il governo sono i soggetti più fidati da parte dei consumatori. I media- ➡ Leggi di più

Borsa di lavoro nel Darknet: gli hacker cercano insider rinnegati

La Darknet non è solo uno scambio di beni illegali, ma anche un luogo dove gli hacker cercano nuovi complici ➡ Leggi di più

Impianti solari: quanto sono sicuri?

Uno studio ha esaminato la sicurezza informatica degli impianti solari. I problemi includono la mancanza di crittografia durante il trasferimento dei dati, password standard e aggiornamenti firmware non sicuri. tendenza ➡ Leggi di più

Nuova ondata di phishing: gli aggressori utilizzano Adobe InDesign

Attualmente si registra un aumento degli attacchi di phishing che abusano di Adobe InDesign, un sistema di pubblicazione di documenti noto e affidabile. ➡ Leggi di più

 

racconti
, , , , , ,