Il malware Formbook si riconferma il più diffuso in Italia, mentre a livello globale si registrano una crescita di NJRat e la diffusione di AgentTesla.
Autore: Redazione SecurityOpenLab
Nel mese di ottobre Formbook si è nuovamente confermato il malware più diffuso in Italia, seguito da Blindingcan e Nanocore. A livello globale, invece, spicca la scalata in classifica del Trojan per l'accesso remoto (RAT) NJRat, noto per colpire agenzie governative e organizzazioni in Medio Oriente, che è passato dal sesto al secondo posto.
Nel consueto resoconto mensile redatto da Check Point Research (CPR) sulla base dei dati deI Global Threat Impact Index e della ThreatCloud Map, non appaiono new entry, solo vecchie conoscenze note che periodicamente tornano a colpire con tale insistenza da diventare fenomeni nazionali o globali. Ne è un chiaro esempio l’Italia, con il solito Formbook che ha registrato in ottobre un impatto del 3,45%. Per chi ancora non lo conoscesse, parliamo del ben noto Infostealer che colpisce il sistema operativo Windows e che, una volta distribuito, può raccogliere credenziali e screenshot, monitorare e registrare i tasti premuti, nonché scaricare ed eseguire file in base ai suoi ordini dal server di comando e controllo.
Anche Blindingcan è una presenza ricorrente: si tratta di un trojan ad accesso remoto di origine nord coreana che a ottobre ha avuto un impatto del 3,15% in Italia notevolmente più alto rispetto a quanto rilevato a livello mondiale (0,21%).
È invece relativamente nuovo il malware Nanocore, che è stato osservato per la prima volta nel 2013. Si tratta anche in questo caso di un trojan ad accesso remoto che attacca gli utenti del sistema operativo Windows. Nel mese di ottobre ha avuto un impatto nel nostro Paese del 2,97%, più del doppio dell’impatto globale (1,71%). È sceso invece al quarto posto Remcos, un Remote Access Trojan apparso per la prima volta nel 2016.
A livello internazionale, invece, AgentTesla ha attirato l’attenzione dei ricercatori per via di una nuova campagna di mal-spam in cui AgentTesla era distribuito attraverso file di archivio che contenevano un'estensione malevola di Microsoft Compiled HTML Help (.CHM). I file sono stati consegnati via email come allegati .GZ o .zip utilizzando nomi relativi a ordini e spedizioni recenti, come - po-######.gz / shipping documents.gz, progettati per attirare le vittime a scaricare il malware. Ricordiamo che una volta installato, AgentTesla è in grado di eseguire il keylogging, catturare i dati degli appunti, accedere al file system e trasferire i dati rubati a un server di comando e controllo (C&C).
Ci sono anche delle novità relative alle vulnerabilità maggiormente sfruttate dagli attaccanti. A ottobre si è messa in evidenza una falla delle appliance Zyxel (Zyxel ZyWALL Command Injection, monitorata con la sigla CVE-2023-28771).
Come di consueto chiudiamo con i settori più attaccati a livello globale: che hanno visto al primo posto quello di Istruzione/Ricerca, seguito da Comunicazioni e Governo/Militare.