Sono nuovamente Trickbot e Formbook a colpire più duramente l'Italia. Formbook prende piede e colpisce il 4,68% delle organizzazioni, Trickbot diventa sempre più sofisticato.
Autore: Redazione SecurityOpenLab
A settembre il malware più popolare in Italia è stato Formbook, seguito da Trickbot. Sono due vecchie conoscenze che spesso si danno il cambio sul podio della classifica mensile di Check Point Research. Il ranking italiano non si discosta molto da quello internazionale, dove Trickbot è tornato capolista dopo essere sceso al secondo posto nel mese di agosto.
Tornando all'Italia, non bisogna farsi la falsa illusione che i due nomi ricorrenti portino a una situazione di rischio identica al passato. Nonostante Trickbot sia in circolazione da tempo, infatti, si è evoluto diventando ancora più insidioso. Parliamo di un banking trojan che può rubare informazioni finanziarie, credenziali e informazioni personali, oltre a essere impiegato per il rilascio di ransomware.
Questa minaccia è sempre più popolare, soprattutto in seguito alla chiusura di Emotet, e viene costantemente aggiornato con nuove capacità, caratteristiche e vettori di distribuzione che gli permettono di essere un malware flessibile e personalizzabile che può essere distribuito come parte di campagne multiuso.
In particolare, di recente ha migliorato sia nelle capacità di attacco, sia nel rafforzamento dell'infrastruttura che lo sostiene. Poco tempo fa i ricercatori di Bitdefender hanno scoperto un modulo VNC (Virtual Networking Computing) usato per monitorare e raccogliere informazioni su obiettivi selezionati di alto profilo.
Su Formbook invece non sembrano esserci novità. Rilevato per la prima volta nel 2016, è un infostealer che prende di mira il sistema operativo Windows. È commercializzato come MaaS (Malware-as-a-Service) nei forum del dark web per le sue tecniche di evasione ed è contraddistinto da un prezzo relativamente basso. FormBook colleziona credenziali da vari browser web, raccoglie screenshot, monitora e registra le sequenze di tasti e può scaricare ed eseguire file dai server di comando e controllo.
Nella top 10 del Global Threat Index ha fatto il suo ingresso anche il trojan di accesso remoto njRAT, conosciuto anche come Bladabindi. Ha preso il posto del defunto Phorpiex, e non è una buona notizia. Si tratta di uno strumento di accesso remoto che consente agli attaccanti di assumere il controllo del computer su cui risiede.
Scoperto nel giugno 2013, fa capo a un'organizzazione di hacking nota come Sparclyheason. Può essere diffuso attraverso il phishing o unità infette, e una volta scaricato più manipolare i file sul computer in cui risiede, consentire l'esecuzione di comandi da remoto, chiudere processi attivi, manipolare il Registro di sistema, registrare audio e video dalla fotocamera e dal microfono del computer, registrare sequenze di tasti ed esfiltrare credenziali dai browser e altre applicazioni.
Mensilmente, insieme al Global Threat Index, Check Point Research usa pubblicare le vulnerabilità più sfruttate per sensibilizzare sul problema del patching tardivo. Le tre più in voga a settembre ne includono due che sono nella top 3 da mesi, indicazione del fatto che le patch sono fondamentali.
Parliamo di Web Server Exposed Git Repository Information Disclosure, con un impatto del 44% delle organizzazioni a livello globale, e di HTTP Headers Remote Code Execution, con un impatto globale del 43%. Il secondo posto va a questo giro alla falla Command Injection Over http, che può consentire a un attaccante di eseguire codice arbitrario sulla macchina di destinazione.