Anche nel mese di giugno il malwareTrickbot si è riconfermato la peggiore minaccia informatica per l'Italia. La percentuale delle imprese nostrane colpite è pari al 12 percento, pari al doppio della media di contagi globale. Dato per spacciato a ottobre 2020 e risorto dalle sue ceneri il mese successivo, Trickbot sembra destinato a proseguire la sua scia di attacchi ancora per molto tempo.

Per i pochi che non fossero al corrente di questa minaccia, si tratta una botnet e un banking trojan che può rubare informazioni finanziarie, credenziali e informazioni personali. Viene costantemente aggiornato con nuove funzionalità, caratteristiche e vettori di distribuzione, per continuare ad essere un malware flessibile e personalizzabile che può essere distribuito come parte di campagne multiuso.

Viene spesso impiegato anche per il rilascio di ransomware all'interno delle reti target. È proprio quest'ultima l'opzione che desta le maggiori preoccupazioni, considerato che il numero medio settimanale di attacchi ransomware è aumentato del 93% negli ultimi 12 mesi. Attacchi che spesso non prendono il via con il ransomware stesso, ma con malware come Trickbot o l'ormai defunto Emotet, di cui Trikbot ha preso il posto. Di recente quest'ultimo è stato anche collegato a un nuovo gruppo ransomware chiamato Diavol.
I dettagli sui malware più diffusi sono contenuti nel report mensile Global Threat Index stilato da Check Point Research, la divisione Threat Intelligence di Check Point Software Technologies. La top 3, oltre che da Trickbot, è completata da altre due vecchi conoscenze: XMRig e Formbook. Il primo è un mining software open-source utilizzato per il mining della valuta criptata Monero. Formbook è invece un info stealer che raccoglie le credenziali da vari browser web e screenshot, monitora e registra i tasti premuti e può scaricare ed eseguire i file in base ai suoi ordini C&C.

Le vulnerabilità più sfruttate del mese

Check Point Research usa diffondere anche l'elenco delle vulnerabilità più sfruttate. Quella più gettonata a giugno è stata HTTP Headers Remote Code Execution, monitorata con le sigle CVE-2020-10826, CVE-2020-10827, CVE-2020-10828 e CVE-2020-13756. Consente al client e al server di passare informazioni aggiuntive con una richiesta HTTP. Un attaccante remoto può utilizzare un header HTTP vulnerabile per eseguire codice arbitrario sulla macchina della vittima.

Al secondo posto troviamo MVPower DVR Remote Code Execution, una vulnerabilità di esecuzione del codice da remoto nei dispositivi MVPower DVR. Un attaccante può sfruttare questa falla da remoto per eseguire codice arbitrario nel router interessato tramite una richiesta creata appositamente.

In terza e ultima posizione troviamo Dasan GPON Router Authentication Bypass (CVE-2018-10561), una vulnerabilità di bypass dell'autenticazione nei router GPON Dasan. Uno sfruttamento efficace di questa vulnerabilità permetterebbe agli attaccanti remoti di ottenere informazioni sensibili e conquistare l'accesso non autorizzato nel sistema interessato.