I malware più diffusi a gennaio: QBot domina anche in Italia

Di
Redazione Data Manager Online
-
La maggior parte degli attacchi informatici si nasconde nel traffico crittografato

Check Point Research ha riconfermato il dominio di QBot come malware più diffuso di gennaio. L’infostealer Vidar ha raggiunto il settimo posto grazie a un’importante campagna phishing di njRAT

Check Point Software Technologies , il principale fornitore di soluzioni di cybersecurity a livello globale, ha pubblicato il suo Global Threat Index per il mese di gennaio 2023. Il mese scorso l’infostealer Vidar è ritornato nella top ten, al settimo posto, in seguito all’aumento dei casi di brandjacking, e a causa di un’importante campagna di phishing che sfruttava il malware njRAT in Medio Oriente e Nord Africa.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

QBot, invece, ha riconfermato il primo posto nella classifica mondiale, e anche in quella italiana, rispettivamente con il 6,5% e il 7% di impatto sulle organizzazioni. Noto anche come Qakbot, QBot è un banking trojan progettato per rubare le credenziali bancarie degli utenti e le sequenze di tasti sulla tastiera. Spesso distribuito via e-mail spam, Qbot impiega diverse tecniche anti-VM, anti-debug e anti-sandbox per ostacolare l’analisi ed eludere la detection.

A gennaio, l’infostealer Vidar si è diffuso attraverso domini falsi che sostenevano di essere legati all’applicazione di desktop remoto, AnyDesk. Il malware utilizzava l’URL-jacking di varie applicazioni popolari per reindirizzare gli utenti verso un indirizzo IP che sosteneva di essere il sito ufficiale di AnyDesk. Una volta scaricato, il malware si mostrava come un programma di installazione, ma con l’obiettivo di rubare informazioni sensibili come credenziali di accesso, password, dati dei portafogli di criptovalute e dati bancari.

I ricercatori, inoltre, hanno identificato un’importante campagna denominata Earth Bogle che ha sfruttato il malware njRAT per colpire vittime in tutto il Medio Oriente e il Nord Africa. Gli aggressori hanno utilizzato e-mail di phishing a tema geopolitico allo scopo di indurre gli utenti ad aprire gli allegati malevoli. Una volta scaricato e aperto, il trojan può infettare i dispositivi, consentendo agli aggressori di svolgere numerose attività per rubare informazioni sensibili. njRAT si è posizionato al decimo posto della classifica delle principali minacce informatiche, tornando con prepotenza dopo il calo di settembre 2022.

Leggi anche:  Kaspersky scopre un malware per l’esfiltrazione mirata di dati da ambienti protetti air-gapped

“Ancora una volta, abbiamo osservato gruppi di malware utilizzare brand noti e ben visti dagli utenti per diffondere virus, con l’obiettivo di rubare informazioni personali. Sottolineare quanto sia importante che le persone prestino attenzione a ciò che ricevono e ai link che cliccano, non è mai abbastanza. Devono sempre assicurarsi che gli URL siano legittimi” ha dichiarato Maya Horowitz, VP Research di Check Point Software. “Cercate sempre il lucchetto di sicurezza posto alla sinistra dell’URL, il quale indica che il certificato SSL è aggiornato. Ma fate anche attenzione a eventuali errori di battitura nei testi, non sempre visibili alla prima lettura, che potrebbero suggerire che il sito web è pericoloso”.

Le tre vulnerabilità più sfruttate del mese di gennaio:

* Le frecce si riferiscono al cambio di classifica rispetto al mese precedente

Qbot e Lokibot sono stati i malware più diffusi il mese scorso, entrambi con un impatto superiore al 6% sulle organizzazioni mondiali, seguiti da AgentTesla con un impatto globale del 5%.

  1. ↑ Qbot – noto anche come Qakbot, è un banking trojan apparso per la prima volta nel 2008, progettato per rubare le credenziali bancarie e le sequenze di tasti dell’utente. Spesso distribuito via e-mail spam, Qbot impiega diverse tecniche anti-VM, anti-debug e anti-sandbox per ostacolare l’analisi ed eludere la detection.
  2. ↑ Lokibot – è un infostealer distribuito principalmente tramite e-mail di phishing e utilizzato per rubare diversi tipi di dati come le credenziali di posta elettronica, nonché le password dei cripto wallet e dei server FTP.
  3. ↑AgentTesla è un RAT avanzato che funziona come keylogger e info stealer. È anche in grado di raccogliere l’input della tastiera della vittima, acquisendo screenshot, ed esfiltrando le credenziali a una varietà di software installati sulla macchina della vittima (tra cui Google Chrome, Mozilla Firefox e Microsoft Outlook).
Leggi anche:  Remise en Forme e Cybersicurezza

I settori più attaccati a livello globale a gennaio:

Il settore istruzione/ricerca si è confermato al primo posto tra i settori più attaccati a livello globale, seguito da quello governativo/militare e da quello sanitario.

  1. Education/Research
  2. Government/Military
  3. Healthcare

In Italia:

  1. Education/Research
  2. Finance/Banking
  3. Government/Military

Le tre vulnerabilità più sfruttate del mese di gennaio:

A gennaio, “Web Server Exposed Git Repository Information Disclosure”, è stata la vulnerabilità più sfruttata, con impatto del 46% sulle organizzazioni a livello globale, seguita da “HTTP Headers Remote Code Execution” con il 42%. “MVPower DVR Remote Code Execution” si è classificata al terzo posto con un impatto globale del 39%.

  1. ↔ Web Server Exposed Git Repository Information Disclosure – è una vulnerabilità di diffusione delle informazioni segnalata in Git Repository. Uno sfruttamento riuscito di questa vulnerabilità potrebbe consentire una divulgazione non intenzionale di informazioni sull’account.
  1. ↑ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – le http reader consentono al client e al server di trasmettere informazioni aggiuntive con una richiesta HTTP. Un aggressore può utilizzarne una vulnerabile per eseguire da remoto codice arbitrario sul computer della vittima.
  2. ↑MVPower DVR Remote Code Execution – nei dispositivi DVR MVPower è presente una vulnerabilità nell’esecuzione di codice da remoto. Un attaccante può sfruttare questa debolezza per eseguire un codice arbitrario nel router interessato tramite una richiesta manipolata.

I malware mobile più diffusi di gennaio:

Il mese scorso, Anubis si è confermato il malware mobile più diffuso, seguito da Hiddad e AhMyth.

  1. Anubis – è un banking trojan progettato per Android. Da quando è stato rilevato, ha acquisito ulteriori funzioni, tra cui essere un trojan ad accesso remoto (RAT), keylogger, avere la capacità di registrazione audio e varie funzionalità ransomware. È stato rilevato in centinaia di app disponibili su Google Store.
  2. Hiddad – è un malware Android che riconfeziona app legittime per inserirle in uno store di terze parti. La sua funzione principale è mostrare annunci pubblicitari, ma è anche in grado di scovare un accesso a informazioni di sicurezza fondamentali presenti nel sistema operativo, consentendo agli hacker di rubare dati sensibili.
  3. AhMyth – è un trojan ad accesso remoto (RAT) scoperto nel 2017. Viene distribuito attraverso applicazioni Android che possono essere trovate sulle app store e su vari siti web. Quando un utente installa una di queste app infette, il malware può raccogliere informazioni sensibili dal dispositivo ed eseguire azioni come keylogging, screenshot, invio di SMS e attivazione della fotocamera, che di solito viene utilizzata per rubare informazioni sensibili.
Leggi anche:  Quattro aziende su dieci intendono esternalizzare la cybersecurity

Il Global Threat Impact Index di Check Point e la sua ThreatCloud Map sono alimentati dalla ThreatCloud intelligence di Check Point. ThreatCloud fornisce in tempo reale informazioni sulle minacce derivate da centinaia di milioni di sensori in tutto il mondo, su reti, endpoint e cellulari. È arricchita da motori AI-based e da dati esclusivi di Check Point Research, il braccio di intelligence e ricerca di Check Point Software Technologies.