QBot sui riconferma anche a gennaio il malware più diffuso, seguito da Lokibot e AgentTesla. Attenzione alla scalata in classifica dell’infostealer Vidar.
Autore: Redazione SecurityOpenLab
La consueta classifica globale dei malware stilata mensilmente da Check Point Research vede nuovamente Qbot in cima al ranking, analogamente a quanto visto a dicembre 2022 e in continuità con una tendenza che aveva preso il via in novembre, quando Qbot era terzo in classifica. Numeri peraltro già visti nel 2021. La carriera di questa minaccia è iniziata nel 2008, come trojan per sottrarre le credenziali bancarie. Nel tempo, tuttavia, è diventato uno degli strumenti preferiti dei gruppi ransomware per creare un primo punto di ingresso e spostarsi lateralmente all'interno della rete di un'organizzazione.
Infatti Qbot impiega diverse tecniche anti-VM, anti-debug e anti-sandbox per eludere la detection. E una volta infettato un sistema, consente l’installazione di una backdoor per garantire l'accesso. Di recente Qbot ha sfruttato una vulnerabilità Zero-Day di Windows per fornire agli attaccanti pieno accesso alle reti infette. Sono questi i motivi per i quali la presenza al primo posto in classifica sia mondiale che italiana di Qbot è motivo di preoccupazione. Peraltro Qbot ha registrato un impatto sulle organizzazioni nostrane del 7%.
In seconda e terza posizione troviamo altre due conoscenze di lunga data, entrambe in risalita: Lokibot e AgentTesla. Lokibot è stato protagonista di campagne importanti nel 2020 ed è un infostealer distribuito principalmente tramite email di phishing, utilizzato per rubare diversi tipi di dati come le credenziali di posta elettronica, le password dei portafogli di criptovalute e dei server FTP. Nel mese in esame ha avuto un impatto superiore al 6% sulle organizzazioni mondiali.
AgentTesla, terzo con un impatto globale del 5%, è in circolazione dal 2014 e nel 2020 ha vissuto un periodo di forte diffusione. Da allora torna periodicamente in classifica, spinto da campagne di phishing. Si tratta di un RAT avanzato che funziona come keylogger e info stealer. È anche in grado di raccogliere l’input della tastiera della vittima e acquisire screenshot con l’obiettivo di esfiltrare credenziali a una varietà di software installati sulla macchina della vittima.
Vale la pena spendere quanche parola anche per l'infostealer Vidar, che è ritornato nella top 10 al settimo posto. Si è diffuso attraverso domini falsi che sostenevano di essere legati all’applicazione di desktop remoto AnyDesk. Il malware utilizzava l'URL-jacking di varie applicazioni popolari per reindirizzare gli utenti verso un indirizzo IP che sosteneva di essere il sito ufficiale di AnyDesk. Una volta scaricato, il malware si mostrava come un programma di installazione, ma con l’obiettivo di rubare informazioni sensibili come credenziali di accesso, password, dati dei portafogli di criptovalute e dati bancari.
Altro protagonista non di rilievo è il malware njRAT, che è stato protagonista di una importante campagna in Medio Oriente e Nord Africa denominata Earth Bogle. Gli attaccanti hanno utilizzato email di phishing a tema geopolitico per indurre gli utenti ad aprire gli allegati malevoli. Una volta scaricato e aperto, il trojan può infettare i dispositivi, consentendo agli attaccanti di svolgere numerose attività per rubare informazioni sensibili.