Nonostante il successo dell’operazione internazionale di smantellamento, Qbot risorge dalle sue ceneri e torna in una campagna di phishing contro l’hospitality.
In Italia e nel panorama globale delle minacce informatiche, il mese di dicembre 2023 è stato caratterizzato da due eventi: uno è la persistenza del malware FakeUpdates come principale pericolo. La seconda è invece la rinascita di Qbot, dato per spacciato dopo l’azione congiunta delle Forze dell’Ordine internazionali. Questi sviluppi emergono dall'appuntamento tradizionale con l’analisi mensile del Global Threat Index pubblicato da Check Point Software Technologies.
Partiamo proprio da Qbot, che si è rifatto vivo in tentativi di phishing mirati al settore dell'hospitality. Il mese scorso, Qbot è stato utilizzato in un attacco di phishing mirato al settore alberghiero, dimostrando la resilienza e la capacità di adattamento degli attaccanti. Non è stato un ritorno devastante, ma è un segnale abbastanza chiaro sul fatto che non si possa darlo per spacciato.
FakeUpdates invece continua a guadagnare terreno, scalando la classifica globale fino a raggiungere la prima posizione. Si tratta di un downloader scritto in JavaScript ha la capacità di scrivere i payload su disco prima di lanciarli, causando ulteriori attacchi attraverso varie minacce informatiche. La minaccia è attiva anche in Italia, dove a dicembre ha avuto un impatto del 5,03%, e ha fatto registrare un aumento dell’1,6% rispetto al mese precedente. Da notare che nel Belpaese l’impatto è oltre il 2,7% più alto rispetto a quello globale.
Secondo classificato è l’arcinoto trojan Blindingcan, di origine nord coreana, che ha registrato un notevole incremento, con un impatto del 3,95%, in crescita rispetto a novembre. Al terzo posto troviamo un’altra vecchia conoscenza: il malware Formbook, con un impatto del 2,8%.
Come tutti i mesi, Chack Point fornisce anche un elenco delle vulnerabilità più sfruttate. A dicembra la prima classificata è stata nuovamente "Apache Log4j Remote Code Execution (CVE-2021-44228)", seguito da "Web Servers Malicious URL Directory Traversal", che ha fatto registrare un impatto sul 46% delle organizzazioni globali. Segue in terza piazza "Zyxel ZyWALL Command Injection (CVE-2023-28771)" con un impatto del 43%.