Anche l’Italia colpita dalla campagna di Qbot

Check Point Software Technologies ha pubblicato il suo Global Threat Index per il mese di aprile 2023. I ricercatori hanno scoperto una massiccia campagna di malspam Qbot, distribuita attraverso file pdf malevoli allegati a e-mail visualizzate in diverse lingue. Qbot si è riconfermato anche in Italia con il 10% di impatto sulle organizzazioni, è il malware più diffuso a livello nazionale, seguito da Formbook e AgentTesla. Nel frattempo, il malware IoT (Internet of Things) Mirai è entrato nella lista mondiale per la prima volta dopo un anno, avendo sfruttato una nuova vulnerabilità nei router TP-Link, mentre il settore Healthcare è salito al secondo posto tra i settori più colpiti.

Qualche dettaglio in più

La campagna Qbot rilevata ad aprile 2023 prevede un nuovo metodo di diffusione in cui viene inviata un’e-mail ai bersagli con un allegato contenente file pdf protetti. Una volta scaricati, il malware Qbot viene installato sul dispositivo. I ricercatori hanno riscontrato casi di invio in più lingue diverse, il che significa che le organizzazioni possono essere prese di mira in tutto il mondo.

Aprile ha visto anche il ritorno di Mirai, uno dei malware IoT più diffusi. I ricercatori hanno scoperto che sfruttava una nuova vulnerabilità zero-day CVE-2023-1380 per attaccare i router TP-Link e aggiungerli alla sua botnet, che è stata utilizzata per facilitare alcuni degli attacchi DDoS distribuiti più dirompenti mai registrati. Quest’ultima campagna rispecchia un ampio report pubblicato da CPR (Check Point Research) sulla prevalenza degli attacchi IoT.

I settori più colpiti

Si è registrato anche un cambiamento nei settori colpiti, con la sanità che ha superato la pubblica amministrazione come secondo settore più sfruttato nel mese di aprile. Gli attacchi alle istituzioni sanitarie sono ben documentati e alcuni Paesi affrontano continui attacchi. Ad esempio, il gruppo di criminali informatici Medusa ha di recente sferrato attacchi a strutture oncologiche in Australia. Il settore rimane un obiettivo redditizio per gli attaccanti, in quanto offre loro un potenziale accesso ai dati riservati dei pazienti e ai dati di pagamento. Ciò potrebbe avere implicazioni per le aziende farmaceutiche, in quanto potrebbe portare a fughe di notizie relative a studi clinici o a nuovi farmaci e dispositivi medici.

«I criminali informatici – ha dichiarato Maya Horowitz, VP Research di Check Point Software –lavorano costantemente a nuovi metodi per aggirare le restrizioni, e queste campagne sono un’ulteriore prova di come il malware si adatti per sopravvivere. Con Qbot di nuovo all’attacco, ricordiamo ancora una volta l’importanza di disporre di una cybersecurity completa e di una dovuta attenzione quando si tratta di fidarsi della provenienza e delle intenzioni di un’e-mail».

Le vulnerabilità più sfruttate

Il malware più diffuso ad aprile 2023 ha avuto un impatto di oltre il 10% sulle organizzazioni mondiali, seguito da due con un impatto globale del 4%:

AgentTesla – è un RAT avanzato che funziona come un keylogger che ruba informazioni ed è in grado di monitorare e raccogliere l’input della tastiera della vittima e la tastiera del sistema, acquisendo screenshot, ed esfiltrando le credenziali a una varietà di software installati sulla macchina della vittima (tra cui Google Chrome, Mozilla Firefox e Microsoft Outlook).

Qbot – è noto anche come Qakbot, è un banking trojan apparso per la prima volta nel 2008, progettato per rubare le credenziali bancarie e le sequenze di tasti dell’utente. Spesso distribuito via e-mail spam, Qbot impiega diverse tecniche anti-VM, anti-debug e anti-sandbox per ostacolare l’analisi ed eludere la detection.

Formbook – è un infostealer che colpisce il Sistema Operativo Windows, identificato per la prima volta nel 2016. È sul mercato, nei forum di hacker underground, come Malware-as-a-Service (MaaS) per le sue efficaci tecniche di evasione e il suo prezzo relativamente basso. FormBook è in grado di prelevare le credenziali da diversi browser web, raccogliere screenshot, monitorare e registrare sequenze di tasti, e può scaricare ed eseguire file in base agli ordini del suo C&C.

I settori più attaccati nel mondo

Nel mese di aprile 2023 il settore Istruzione/Ricerca si è confermato al primo posto tra i settori più attaccati a livello globale, seguito da quello Sanitario e da quello Governativo/Militare.

In Italia l’ordine dal primo al terzo è stato invece Education/Research, Finance/Banking, ISP/MSP.

Le tre vulnerabilità più sfruttate al mondo

In aprile, la vulnerabilità più sfruttata ha avuto un impatto sul 48% delle organizzazioni a livello globale, seguita da una con il 44% e una terza del 43%.

Web Servers Malicious URL Directory Traversal – esiste una vulnerabilità di directory traversal su diversi server web. La vulnerabilità è dovuta a un errore di convalida dell’input in un server web che non sanifica correttamente l’URL per pattern directory traversal. Uno sfruttamento riuscito permette agli attaccanti non autenticati di rivelare o accedere a file arbitrari sul server vulnerabile.

Apache Log4j Remote Code Execution – è una vulnerabilità di esecuzione di codice remoto esistente in Apache Log4j. Uno sfruttamento a buon fine potrebbe permettere ad un hacker di eseguire codice arbitrario sul sistema interessato.

HTTP Headers Remote Code Execution – le http reader consentono al client e al server di trasmettere informazioni aggiuntive con una richiesta HTTP. Un attaccante può utilizzare la vulnerabile per eseguire da remoto codice arbitrario sul computer della vittima.

I malware mobile più diffusi

Ad aprile 2023, c’è un nuovo primo posto nei malware mobili più diffusi:

AhMyth – è un trojan ad accesso remoto (RAT) scoperto nel 2017. Viene distribuito attraverso applicazioni Android che possono essere trovate su app store e vari siti web. Quando un utente installa una di queste app infette, il malware può raccogliere informazioni sensibili dal dispositivo ed eseguire azioni come keylogging, screenshot, invio di SMS e attivazione della fotocamera, che di solito viene utilizzata per rubare informazioni sensibili.

Anubis – è un banking trojan progettato per Android. Da quando è stato rilevato, ha acquisito ulteriori funzioni, tra cui essere un trojan ad accesso remoto (RAT), keylogger, avere la capacità di registrazione audio e varie funzionalità ransomware. È stato rilevato in centinaia di app disponibili su Google Store.

Hiddad – è un malware Android che riconfeziona app legittime per inserirle in uno store di terze parti. La sua funzione principale è mostrare annunci pubblicitari, ma è anche in grado di scovare un accesso a informazioni di sicurezza fondamentali presenti nel sistema operativo, consentendo agli hacker di rubare dati sensibili.

Il Global Threat Impact Index di Check Point e la ThreatCloud Map sono alimentati dalla ThreatCloud intelligence di Check Point. ThreatCloud fornisce in tempo reale informazioni sulle minacce derivate da centinaia di milioni di sensori in tutto il mondo, su reti, endpoint e cellulari. È arricchita da motori AI-based e da dati esclusivi di Check Point Research, il braccio di intelligence e ricerca di Check Point Software Technologies.

La lista completa delle 10 famiglie di malware più attive nel mese di aprile 2023 è disponibile sul blog a questo link.