Nel mese di febbraio 2025 FakeUpdates ha riconfermato la sua preoccupante persistenza in qualità di malware più diffuso in Italia. La classifica, redatta dagli esperti di Check Point Research, vede questa minaccia in prima posizione da sei mesi consecutivi e, nonostante un lieve calo rispetto a gennaio, continua a mantenersi superiore rispetto al dato globale.

I dati provengono dal Global Threat Index di Check Point Software Technologies, che inserisce al secondo posto AsyncRat, un trojan ad accesso remoto che colpisce i sistemi Windows e che negli ultimi mesi ha avuto una diffusione significativa. Spesso distribuito attraverso campagne di phishing che utilizzano link a servizi cloud legittimi per eludere i controlli di sicurezza, AsyncRat permette agli attaccanti di eseguire operazioni come il furto di credenziali, la cattura di screenshot e l'installazione di ulteriori componenti dannosi.

In terza posizione troviamo un’altra vecchia conoscenza: Formbook, un infostealer attivo dal 2016 che ha ripreso quota nel panorama italiano grazie alla sua capacità di sottrarre credenziali, dati sensibili e altre informazioni utili agli attaccanti. La sua diffusione avviene prevalentemente tramite documenti allegati alle email di phishing.

A livello globale la classifica delle minacce presenta alcune differenze rispetto a quella italiana. FakeUpdates resta il malware più diffuso, confermandosi una minaccia significativa su scala mondiale, ma è seguito in seconda posizione da Androxgh0st, un malware basato su Python che prende di mira le applicazioni Laravel, sfruttando file di configurazione esposti per esfiltrare dati sensibili. La diffusione di questo malware rispetto al mese precedente evidenzia una tendenza crescente alla compromissione di ambienti cloud.

Al terzo posto a livello globale si mantiene Remcos, un trojan ad accesso remoto che continua a essere sfruttato nelle campagne di phishing per ottenere il controllo sui dispositivi compromessi. È apprezzato dagli attaccanti per la sua capacità di bypassare le protezioni di sicurezza, soprattutto nelle situazioni in cui sono assenti adeguate misure di protezione contro le email malevole.

La classifica ransomware

Da qualche tempo CPR si occupa anche di aggiornare mensilmente la classifica dei ransomware più diffusi. In quest’ambito, il gruppo più attivo a febbraio è risultato Clop, responsabile del 35% degli attacchi documentati. Segue RansomHub, che sfrutta tecniche avanzate di crittografia per compromettere i sistemi, inclusi ambienti virtualizzati come VMware ESXi. In terza posizione si colloca il gruppo Akira, specializzato nell'attacco a sistemi Windows e Linux, che ha dimostrato un'elevata capacità di adattamento.