Nel mese di marzo 2020 sono stati tre i
malware più diffusi:
XMRig, Jsecoin e
Dridex. Il terzo è la new entry in classifica. È insidioso perché prende di mira la piattaforma Windows, e viene distribuito tramite campagne spam e kit di exploit. È di fatto un banking trojan che si affida a WebInjects per intercettare e reindirizzare le credenziali bancarie al server controllato dagli aggressori. Dopo avere contattato un server remoto, invia informazioni sul sistema infetto e può anche
scaricare ed eseguire moduli aggiuntivi per il controllo da remoto.
La classifica è stata redatta da Check Point Research nel Global Threat Index di marzo 2020. XMRig è un software di mining per la
criptovaluta Monero, che è apparso per la prima volta sulle scena a maggio 2017. A livello mondiale è una grave minaccia, ma in Italia è fuori dal podio. Anche Jsecoin ha a che vedere con Monero: è un cryptominer web-based che si serve di codice JavaScript per sfruttare le risorse di calcolo delle macchine infette per estrarre la criptovaluta.
Dridex non è nuovo: è in circolazione dal 2011. È stato aggiornato e viene ora utilizzato nelle prime fasi di attacco per
scaricare ransomware mirati, come BitPaymer e DoppelPaymer. È la prima volta che scala la classifica fino al podio, e per gli italiani è fra le minacce con maggiore impatto. La sua diffusione è dovuta a una serie di campagne di spam con
email che contengono un file Excel dannoso, che scarica il malware nel PC della vittima.
Oltre alle azioni riportate sopra, è imputabile a Dridex anche il furto di credenziali bancarie e di altre informazioni personali che agevolano il trasferimento fraudolento di denaro. L'azione di questo malware bancario ha seguito lo stesso trend evidenziato da Kasperky per le altre minacce simili: ha colpito maggiormente gli utenti aziendali. Nel caso di Dridex, l'effetto è stato quattro volte superiore sulle organizzazioni.
Il riacutizzarsi dei contagi con Dridex è dovuto al fatto che è un tipo di malware molto redditizio per i criminali. In questo particolare momento, la sua versatilità e il fatto che possa essere utilizzato per scaricare ransomware lo rende uno strumento perfetto.
La prima difesa, come sempre in questi casi, è la diffidenza. Meglio tenersi alla larga dalle email con allegati, anche se sembrano provenire da una fonte affidabile, soprattutto in un contesto di smart working. Le aziende che non l'hanno ancora fatto, faranno a bene a organizzare dei corsi di formazione per spiegare ai dipendenti come identificare lo spam dannoso e come comportarsi davanti a casi sospetti.
Infine, Check Point Research allerta su un'altra minaccia: MVPower DVR Remote Code Execution. Si riconferma la vulnerabilità più sfruttata, con un impatto sul 30% delle organizzazioni a livello globale. Seguono PHP php-cgi Query String Parameter Code Execution, con un impatto globale del 29%, e OpenSSL TLS DTLS Heartbeat Information Disclosure, con un impatto del 27%.