Check Point Research, la divisione Threat Intelligence della società di sicurezza informatica Check Point Software, ha pubblicato il proprio Global Threat Index per il mese di marzo. A marzo 2023, i ricercatori hanno scoperto una nuova campagna malware guidata dal trojan Emotet, salito al secondo posto tra le minacce informatiche più diffuse. Da quando Microsoft ha annunciato di voler bloccare le macro nei file di Office, gli attaccanti hanno esplorato modalità alternative per diffondere Emotet e distribuire file malevoli.
Check Point Research: come agisce Emotet?
Emotet è un trojan avanzato, auto-propagante e modulare. Veniva sfruttato in precedenza come banking trojan, mentre ora viene utilizzato come distributore di altri malware o per campagne malevoli. Utilizza diversi metodi per mantenere la persistenza e tecniche di evasione per evitare la detection. Inoltre, può diffondersi attraverso e-mail spam contenenti allegati o link dannosi.
Proteggiti con Bitdefender, Leader in Cybersecurity
Nell’ultima campagna, gli attaccanti hanno adottato una nuova strategia di invio di e-mail spam contenenti un file OneNote malevolo. Una volta aperto, un messaggio induce la vittima a cliccare sul documento, scaricando così Emotet. Una volta installato, il malware può raccogliere i dati di posta elettronica dell’utente, come le credenziali di accesso e le informazioni di contatto. Gli attaccanti utilizzano quindi le informazioni raccolte per espandere la portata della campagna e facilitare gli attacchi futuri.
“Anche se le big tech fanno del loro meglio per bloccare sin dall’inizio i criminali informatici, è quasi impossibile impedire a ogni singolo attacco di aggirare le misure di sicurezza. Sappiamo che Emotet è un trojan sofisticato e non sorprende che sia riuscito a superare le difese di Microsoft più aggiornate. La cosa più importante che le persone possono fare è assicurarsi di avere un’adeguata e-mail security, evitare di scaricare file sconosciuti e adottare un sano scetticismo sulle origini di un’e-mail e sul suo contenuto”, ha dichiarato Maya Horowitz, VP Research di Check Point Software.
La classifica dei malware più diffusi di marzo 2023:
In Italia Emotet si classifica al quarto posto anche se con una percentuale di impatto (5%) maggiore rispetto a quella globale (4%). Qbot e BLINDINGCAN sono invece i due malware più diffusi, totalizzando oltre il 20% di impatto sulle organizzazioni locali (rispettivamente 14% e 8%). Qbot, noto anche come Qakbot, rimane il malware più pericoloso in Italia, ed è stato il malware più diffuso di marzo, con un impatto di oltre il 10% sulle organizzazioni mondiali. È un banking trojan apparso per la prima volta nel 2008, progettato per rubare le credenziali bancarie e le sequenze di tasti dell’utente. Spesso distribuito via e-mail spam, Qbot impiega diverse tecniche anti-VM, anti-debug e anti-sandbox per ostacolare l’analisi ed eludere la detection.
Il già citato Emotet si è classificato al secondo posto della classifica dei malware più diffusi di marzo 2023, mentre al terzo posto troviamo FormBook, un infostealer che colpisce il Sistema Operativo Windows, identificato per la prima volta nel 2016. È sul mercato, nei forum di hacker underground, come Malware-as-a-Service (MaaS) per le sue efficaci tecniche di evasione e il suo prezzo relativamente basso. FormBook è in grado di prelevare le credenziali da diversi browser web, raccogliere screenshot, monitorare e registrare sequenze di tasti, e può scaricare ed eseguire file in base agli ordini del suo C&C.
I settori più attaccati e le vulnerabilità più sfruttate
Sempre secondo Check Point Research, il settore Istruzione/Ricerca si è confermato al primo posto tra i settori più attaccati a livello globale per il mese di marzo, seguito da quello Governativo/Militare e da quello Sanitario. In Italia ritroviamo una situazione identica se non per il terzo posto, dove troviamo il settore Finanza/Banca. Per quanto riguarda invece le vulnerabilità più sfruttate, sempre in riferimento al mese appena trascorso, troviamo al primo posto Apache Log4j Remote Code Execution (CVE-2021-44228), una vulnerabilità di esecuzione di codice remoto esistente in Apache Log4j. Uno sfruttamento a buon fine potrebbe permettere ad un hacker di eseguire codice arbitrario sul sistema interessato.
Al secondo posto HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756). Le http reader consentono al client e al server di trasmettere informazioni aggiuntive con una richiesta HTTP. Un attaccante può utilizzare la vulnerabile per eseguire da remoto codice arbitrario sul computer della vittima. All’ultimo posto del podio troviamo infine MVPower DVR Remote Code Execution: nei dispositivi DVR MVPower è presente una vulnerabilità nell’esecuzione di codice da remoto. Un attaccante può sfruttare questa debolezza per eseguire un codice arbitrario nel router interessato tramite una richiesta manipolata. Per la classifica completa è possibile consultare il sito ufficiale di Check Point.
Rimani aggiornato seguendoci su Google News!
Da non perdere questa settimana su Techbusiness
📈 SAP NOW 2024 l'intelligenza artificiale per il business conquista Milano💸 Come calcolare il ritorno sugli investimenti nell’Intelligenza Artificiale
👨⚖️ Direttiva NIS2 e cybersecurity nelle PMI italiane obblighi e opportunità
🔫 Metà degli attacchi informatici in Italia prende di mira le supply chain
📰 Ma lo sai che abbiamo un sacco di newsletter?
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!