IcedID entra nella Top 10 dei malware più diffusi a marzo dopo la campagna legata alla Covid

WatchGuard mostra un aumento del malware evasivo che rafforza un'ondata di minacce già in forte crescita

Check Point Research segnala che IcedID è entrato per la prima volta classifica dei malware più diffusi, occupando il secondo posto a livello globale e il terzo a livello italiano

Check Point Research, la divisione Threat Intelligence di Check Point Software Technologies Ltd., ha pubblicato il Global Threat Index relativo a marzo 2021. I ricercatori hanno riferito che il trojan bancario IcedID è entrato per la prima volta nella classifica, posizionandosi al secondo posto, mentre l’affermato trojan Dridex è stato il malware più diffuso durante il mese di marzo, in crescita dal settimo posto di febbraio.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Visto per la prima volta nel 2017, IcedID si è diffuso rapidamente a marzo attraverso diverse campagne di spam, colpendo l’11% delle aziende a livello globale. Una delle campagne più diffuse ha utilizzato il tema Covid-19 per indurre nuove vittime ad aprire allegati di e-mail malevoli; la maggior parte di questi allegati sono documenti Microsoft Word con una macro utilizzata per scaricare l’installer di IcedID. Una volta installato, il trojan tenta di rubare le informazioni dell’account, le credenziali di pagamento e altre informazioni sensibili dai PC degli utenti. IcedID utilizza anche altri malware per diffondersi, ed è stato utilizzato come fase iniziale di infezione nelle operazioni di ransomware.

“IcedID è in circolazione da alcuni anni, ma recentemente è stato utilizzato ampiamente, dimostrando che i criminali informatici stanno continuando ad adattare le loro tecniche per approfittare delle aziende, utilizzando la pandemia come aggancio”, ha dichiarato Maya Horowitz, Director, Threat Intelligence & Research, Products di Check Point. “IcedID è un trojan particolarmente evasivo che utilizza una serie di tecniche per rubare i dati finanziari, quindi le aziende devono essere sicure di disporre di sistemi di sicurezza robusti per evitare che le proprie reti vengano compromesse e per minimizzare i rischi. Una formazione completa per tutti i dipendenti è fondamentale, in modo che siano dotati delle competenze necessarie per identificare i tipi di e-mail dannose che diffondono IcedID e altri malware.”

Leggi anche:  Il 2023 della cybersecurity in cifre

Check Point Research avverte anche che “HTTP Headers Remote Code Execution (CVE-2020-13756)” è la vulnerabilità più comunemente sfruttata, con un impatto del 45% sulle aziende a livello globale, seguita da “MVPower DVR Remote Code Execution” con un impatto del 44% sulle aziende di tutto il mondo. “Dasan GPON Router Authentication Bypass (CVE-2018-10561)” è al terzo posto nella lista delle vulnerabilità più sfruttate, con un impatto globale del 44%.

In Italia, i malware più diffusi a marzo sono stati Ursnif, un trojan che prende di mira la piattaforma Windows e che ruba le informazioni relative al software di pagamento Verifone Point-of-Sale (POS), con un impatto del 76,11% sulle aziende italiane; Dridex, un trojan bancario che prende di mira la piattaforma Windows, e che si basa su WebInjects per intercettare e reindirizzare le credenziali bancarie a un server controllato dal criminale, con un impatto del 60,09% sulle aziende italiane; e IcedID, che ha avuto un impatto del 52,12% sulle aziende italiane.

I tre malware più diffusi di marzo sono stati:

*La freccia si riferisce al cambio di posizione rispetto alla classifica del mese precedente

Questo mese, Dridex è il malware più diffuso con un impatto globale del 16% sulle aziende, seguito da IcedID e Lokibot che colpiscono rispettivamente l’11% e il 9% delle aziende in tutto il mondo.

  1. ↑ Dridex – Dridex è un trojan che prende di mira la piattaforma Windows e, secondo quanto riferito, viene scaricato tramite un allegato e-mail di spam. Dridex contatta un server remoto e invia informazioni sul sistema infetto. Può anche scaricare ed eseguire moduli arbitrari ricevuti dal server remoto.
  2. IcedID – IcedID è un trojan bancario diffuso da campagne di spam via e-mail e utilizza tecniche evasive come la process injection e la steganografia per rubare i dati finanziari degli utenti.
  3. ↑ Lokibot – Lokibot è un Info Stealer distribuito principalmente da e-mail di phishing e viene utilizzato per rubare vari dati come le credenziali email, così come le password dei wallet di CryptoCoin e dei server FTP.
Leggi anche:  I consigli di Bitdefender per proteggere il backup dei dati dagli attacchi informatici

Vulnerabilità più sfruttate del mese di marzo:

*La freccia si riferisce al cambio di posizione rispetto alla classifica del mese precedente

Questo mese “HTTP Headers Remote Code Execution (CVE-2020-13756)” è la vulnerabilità più sfruttata, con un impatto sul 45% delle aziende a livello globale, seguita da “MVPower DVR Remote Code Execution” che ha un impatto sul 44% sulle aziende in tutto il mondo. “Dasan GPON Router Authentication Bypass (CVE-2018-10561)” è al terzo posto con un impatto globale del 44%.

  1. ↑ HTTP Headers Remote Code Execution (CVE-2020-13756) – consente al client e al server di passare informazioni aggiuntive con una richiesta HTTP. Un aggressore remoto può utilizzare un header HTTP vulnerabile per eseguire codice arbitrario sulla macchina della vittima.
  2. ↑ MVPower DVR Remote Code Execution vulnerabilità di esecuzione del codice da remoto nei dispositivi MVPower DVR. Un malintenzionato può sfruttare questa falla da remoto per eseguire codice arbitrario nel router interessato tramite una richiesta creata appositamente.
  3. Dasan GPON Router Authentication Bypass (CVE-2018-10561) – la vulnerabilità di bypass dell’autenticazione esiste nei router GPON Dasan. Uno sfruttamento riuscito di questa vulnerabilità permetterebbe agli criminali remoti di ottenere informazioni sensibili e ottenere un accesso non autorizzato nel sistema interessato.

I tre malware mobile più diffusi di marzo:

Questo mese Hiddad rimane al primo posto, seguito da xHelper e FurBall.

  1. Hiddad – malware Android che riconfeziona app legali e poi le consegna a uno store di terze parti. La sua funzione principale è visualizzare annunci, ma è anche in grado di accedere ai dati chiave di sicurezza, integrati nel sistema operativo, consentendo all’aggressore di ottenere dati sensibili dell’utente.
  2. xHelper – un’applicazione Android dannosa, individuata a marzo 2019, utilizzata per scaricare altre app dannose e visualizzare pubblicità. È in grado di nascondersi dall’utente e dai programmi antivirus mobile, e si reinstalla se l’utente la disinstalla.
  3. FurBall – FurBall è un MRAT (Mobile Remote Access Trojan) Android che viene distribuito da APT-C-50, un gruppo APT iraniano collegato al governo iraniano. Questo malware è stato utilizzato in più campagne che risalgono al 2017, ed è ancora attivo oggi. Le capacità di FurBall includono il furto dei messaggi SMS, dei registri delle chiamate, la registrazione dei dintorni, la registrazione delle chiamate, la raccolta dei file multimediali, il tracciamento della posizione e altro ancora.
Leggi anche:  Zero-day di Microsoft Windows usato negli attacchi del ransomware Nokoyawa

La ThreatCloud Map e il Global Threat Impact Index di Check Point si avvalgono dell’intelligence ThreatCloud dell’azienda, la più grande rete che collabora contro i criminali informatici e fornisce dati sulle minacce e sull’andamento degli attacchi, attraverso una rete globale di sensori delle minacce. Il database di ThreatCloud ispeziona oltre 3 miliardi di siti web e 600 milioni di file, e ogni giorno identifica più di 250 milioni di attività malware.