Anche l’Italia colpita da un trojan ad accesso remoto, che raggiunge per...

Anche l’Italia colpita da un trojan ad accesso remoto, che raggiunge per la prima volta la top 10 di Check Point

Check Point® Software Technologies Ltd, il principale fornitore di soluzioni di cybersecurity a livello globale, ha reso noti i dati del Global Threat Index di ottobre, rivelando che un trojan ad accesso remoto è entrato nella top 10 per la prima volta; mentre i malware criptomining continuano a dominare questa speciale classifica.

Durante il mese di ottobre, i ricercatori di Check Point hanno scoperto una campagna malware che ha dato ampio spazio a un trojan ad accesso remoto (RAT), chiamato “FlawedAmmy”, che permette agli hacker di impossessarsi dei computer e dei dati delle vittime. Attraverso una serie imponente di attacchi, la campagna malware del RAT FlawedAmmy è stata la più estesa degli ultimi mesi. Il trojan consente agli aggressori di accedere completamente alla videocamera e al microfono dell’apparecchio, raccogliere screenshot, rubare credenziali, file sensibili e monitorare in modo indiscreto le vittime.

Di conseguenza, FlawedAmmy è il primo RAT a classificarsi tra i primi 10 malware del Global Threat Index.

Nel frattempo, i malware cryptomining continuano a guidare la classifica di Check Point: con Coinhive, il malware più diffuso con un impatto globale del 18% e con Cryptoloot, che è salito al secondo posto, con un impatto globale dell’8%. Mentre in Italia, domina la scena il solito Coinhive, ma dietro di lui si posiziona Conficker, un worm informatico che sfrutta le vulnerabilità del sistema operativo Windows e utilizza dei dictionary attack sulle password degli admin per consentirne la diffusione durante la formazione di una botnet.

Questo mese, abbiamo visto un RAT entrare per la prima volta nella top 10”, ha detto Maya Horowitz, Threat Intelligence Group Manager di Check Point. “Negli ultimi mesi abbiamo rilevato diverse campagne del RAT FlawedAmmy, ma l’ultima è stata la più grande e diffusa in termini di impatto. Anche se i cryptominer rimangono la minaccia dominante, questo può indicare che dati come le credenziali di accesso, i file sensibili, le informazioni bancarie e di pagamento, non hanno perso il loro appeal a scopo di lucro per i criminali informatici.

I tre malware più diffusi a ottobre 2018 sono stati:

  1. ↔ Coinhive – uno script di mining che utilizza la CPU degli utenti che visitano determinati siti web per minare la criptovaluta Monero. Il JavaScript installato utilizza una grande quantità di risorse computazionali delle macchine degli utenti finali per estrarre monete e potrebbe causare l’arresto anomalo del sistema.
  2. ↑ Cryptoloot – malware che utilizza la potenza della CPU o della GPU della vittima e le risorse esistenti per il mining di criptovalute aggiungendo transazioni alla blockchain e rilasciando nuova valuta. Competitor di Coinhive, Cryptoloot cerca di accaparrarsi più vittime chiedendo ai siti una percentuale minore in termini di profitti.
  3. ↓ Dorkbot – IRC-worm progettato per consentire l’esecuzione di codice da remoto da parte del proprio operatore, nonché il download di ulteriori malware sul sistema infetto.

Questo mese, Triada, malware modulare per Android, è salito al primo posto tra i migliori malware mobile; sostituisce Lokibot, trojan bancario che colpisce i sistemi Android e che ruba informazioni, che è sceso al secondo posto. Mentre Hiddad è tornato ad occupare il terzo tra i malware mobile più diffusi di questo mese.

I tre malware per dispositivi mobili più diffusi a ottobre 2018:

  1. Triada – malware modulare per Android che sferra l’attacco tramite una backdoor che concede privilegi amministrativi a malware scaricati. Triada può anche fare lo spoofing di URL caricati nel browser.
  2. Lokibot – trojan bancario che colpisce i sistemi Android e che ruba informazioni, può anche trasformarsi in un ransomware che blocca il telefono rimuovendo i privilegi dell’amministratore.
  3. Hiddad – malware Android che riconfeziona app legali e poi le consegna a uno store di terze parti.

La sua funzione principale è visualizzare annunci, ma è anche in grado di accedere ai dati chiave di sicurezza, integrati nel sistema operativo, consentendo all’aggressore di ottenere dati sensibili dell’utente.

I ricercatori di Check Point hanno anche analizzato le vulnerabilità informatiche più sfruttate dai criminali informatici. Ancora una volta, CVE-2017-7269 rimane solida al primo posto, con un impatto globale del 48%. Al secondo posto invece, OpenSSL TLS DTLS DTLS Heartbeat Information Disclosure con un impatto del 46%, seguito da Web servers PHPMyAdmin Misconfiguration Code Injection, che ha coinvolto del 42% delle organizzazioni.

Le tre vulnerabilità più diffuse nel mese di ottobre sono state:

  1. ↔ Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) – inviando una richiesta a una rete Microsoft Windows Server 2003 R2 tramite Microsoft Internet Information Services 6.0, un hacker potrebbe eseguire un codice arbitrario o causare una negazione delle condizioni del servizio sul server di destinazione. Ciò è dovuto principalmente a una vulnerabilità di overflow del buffer causata da una errata convalida di un header lungo nella richiesta HTTP.
  2. ↑ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – in OpenSSL esiste una vulnerabilità che diffonde informazioni a causa di un errore durante la gestione dei pacchetti TLS/DTLS heartbeat. Un aggressore può sfruttare questa vulnerabilità per rivelare il contenuto della memoria di un client o server collegato.
  3. ↑ Web servers PHPMyAdmin Misconfiguration Code Injection – la vulnerabilità di iniezione di codice è dovuta a un errore di configurazione di PHPMyAdmin. Un aggressore remoto può sfruttare questa vulnerabilità inviando una richiesta HTTP appositamente creata per il target da colpire.

La ThreatCloud Map e il Global Threat Impact Index di Check Point si avvalgono dell’intelligence ThreatCloud dell’azienda, la più grande rete che collabora contro i cybercriminali e fornisce dati sulle minacce e sull’andamento degli attacchi, attraverso una rete globale di sensori delle minacce. Il database di ThreatCloud contiene più di 250 milioni di indirizzi, che vengono analizzati per scoprire bot, più di 11 milioni di firme di malware e più di 5 milioni e cinquecentomila siti web infetti, e ogni giorno individua milioni di varianti di malware.