Check Point: boom mondiale dei trojan bancari Trickbot
Check Point® Software Technologies Ltd. (NASDAQ: CHKP) rende noti i dati di aprile 2019 del Global Threat Index, che rivela che dopo quasi due anni, i trojan bancari ritornano nella classifica globale mensile dei dieci malware più diffusi. In Italia, invece, questo tipo di malware non compare nella top ten che vede invece al primo posto Jsecoin, il miner che può essere inserito all’interno dei siti, seguito da XMrig e Cryptoloot.
I trojan bancari “polivalenti” Trickbot sono stati una scelta condivisa da numerosi cyber criminali sempre alla ricerca di guadagni. Le campagne Trickbot hanno registrato così ad aprile una brusca impennata e molte di queste hanno preso di mira il Tax Day americano, il giorno di scadenza negli Stati Uniti per l’invio delle dichiarazioni dei redditi. Le campagne di spam si trasmettevano tramite gli allegati di Excel che, se aperti, permettevano di scaricare Trickbot sui computer delle vittime con l’obiettivo di raccogliere dati bancari e sottrarre documenti fiscali.
A livello globale, mentre le tre varianti di malware più diffuse di aprile sono state cryptominer, le restanti sette posizioni delle prime dieci sono state occupate da trojan “polivalenti”. Ciò sottolinea un cambiamento nelle tecniche utilizzate dai criminali per massimizzare i loro guadagni finanziari dalle campagne, a seguito della chiusura di numerosi servizi di criptomining e della riduzione dei valori delle criptovalute avvenuta nell'ultimo anno.
Maya Horowitz, Threat Intelligence and Research Director di Check Point sottolinea: “Ad aprile abbiamo notato come sia Trickbot sia Emotet siano entrati nella top 10 dei malware più diffusi. Questo fatto è particolarmente preoccupante, dato che entrambe le botnet sono oggi utilizzate non solo per rubare dati e credenziali, ma anche per diffondere il ransomware Ryuk. Ryuk è famoso perché si rivolge ad asset come database e server di backup, chiedendo un riscatto fino a oltre un milione di dollari. Poiché questi malware sono in continua evoluzione, è fondamentale avere una solida linea di difesa contro di loro grazie a una prevenzione avanzata delle minacce.”
I tre malware più diffusi ad aprile 2019 sono stati:
1. Cryptoloot – malware che utilizza la potenza della CPU o della GPU della vittima e le risorse esistenti per il mining di criptovalute aggiungendo transazioni alla blockchain e rilasciando nuova valuta. Competitor di Coinhive, Cryptoloot cerca di accaparrarsi più vittime chiedendo ai siti una percentuale minore in termini di profitti.
2. XMRig – mining software open-source CPU utilizzato per il mining della valuta criptata Monero, e visto per la prima volta da maggio 2017.
3. Jsecoin – il miner JavaScript che può essere inserito all’interno dei siti. Con JSEcoin, è possibile inserire un miner direttamentre nel browser in cambio di un'esperienza di navigazione senza annunci pubblicitari, percepiti sempre più come invasivi.
Questo mese Triada è stato il malware mobile più diffuso, sostituendosi a Hiddar, che è sceso al terzo posto. Lootor si è riconfermato al secondo posto.
I tre malware per dispositivi mobili più diffusi ad aprile 2019:
1. Triada – malware modulare per Android che sferra l’attacco tramite una backdoor che concede privilegi amministrativi a malware scaricati. Triada può anche fare lo spoofing di URL caricati nel browser.
2. Lotoor – tecnica di hackeraggio in grado di sfruttare le vulnerabilità dei sistemi Android con lo scopo di ottenere i permessi di root sui dispositivi mobile infettati.
3. Hiddad – malware Android che riconfeziona app legali e poi le consegna a uno store di terze parti. La sua funzione principale è visualizzare annunci, ma è anche in grado di accedere ai dati chiave di sicurezza, integrati nel sistema operativo, consentendo all’aggressore di ottenere dati sensibili dell’utente.
I ricercatori di Check Point hanno anche analizzato le vulnerabilità informatiche più sfruttate: OpenSSL TLS DTLS Heartbeat Information Disclosure conquista il primo posto tra le vulnerabilità maggiormente sfruttate, con un impatto globale del 44%. Per la prima volta, infatti, dopo 12 mesi, CVE-2017-7269 scende alla seconda posizione registrando un impatto del 40%, seguito da CVE-2017-5638 che ha colpito il 38% delle aziende in tutto il mondo.
Le tre vulnerabilità più diffuse nel mese di aprile sono state:
1. OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – in OpenSSL esiste una vulnerabilità che diffonde informazioni a causa di un errore durante la gestione dei pacchetti TLS/DTLS heartbeat. Un aggressore può sfruttare questa vulnerabilità per rivelare il contenuto della memoria di un client o server collegato.
2. Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) – inviando una richiesta a una rete Microsoft Windows Server 2003 R2 tramite Microsoft Internet Information Services 6.0, un hacker potrebbe eseguire un codice arbitrario o causare una negazione delle condizioni del servizio sul server di destinazione. Ciò è dovuto principalmente a una vulnerabilità di overflow del buffer causata da una errata convalida di un header lungo nella richiesta HTTP.
3. Apache Struts2 Content-Type Remote Code Execution (CVE-2017-5638) – esiste una vulnerabilità legata all'esecuzione di codice in modalità remota in Apache Struts2 che utilizza il parser di Jakarta. Un utente malintenzionato può sfruttare questa vulnerabilità inviando un tipo di contenuto non valido come parte di una richiesta di caricamento file. Se sfruttato in modo efficace potrebbe comportare l'esecuzione di codice arbitrario sul sistema interessato.
La ThreatCloud Map e il Global Threat Impact Index di Check Point si avvalgono dell’intelligence ThreatCloudTM dell’azienda, la più grande rete che collabora contro i cybercriminali e fornisce dati sulle minacce e sull’andamento degli attacchi, attraverso una rete globale di sensori delle minacce. Il database di ThreatCloud contiene più di 250 milioni di indirizzi, che vengono analizzati per scoprire bot, più di 11 milioni di firme di malware e più di 5 milioni e cinquecentomila siti web infetti, e ogni giorno individua milioni di varianti di malware.
la Redazione