I ricercatori di Check Point hanno scoperto che Dridex è stato aggiornato e diffuso attraverso molteplici campagne di spam per fornire ransomware mirati, aumentando il rischio del trojan di lunga data
Il nostro ultimo Global Threat Index di marzo 2020 mostra che il noto trojan bancario Dridex, apparso per la prima volta nel 2011, è entrato nella lista dei primi dieci malware per la prima volta, come terzo malware più diffuso a marzo. Dridex è stato aggiornato e ora viene utilizzato nelle prime fasi di attacco per scaricare ransomware mirati, come BitPaymer e DoppelPaymer.
Il forte aumento nell’uso di Dridex è stato guidato da diverse campagne di spam contenenti un file Excel dannoso che scarica il malware Dridex nel computer della vittima. Questa impennata del malware Dridex evidenzia quanto velocemente i criminali informatici cambino i temi dei loro attacchi per cercare di massimizzare i tassi di infezione.
Dridex è un ceppo sofisticato di malware bancario che prende di mira la piattaforma Windows, fornendo campagne di spam per infettare i computer e rubare credenziali bancarie e altre informazioni personali per facilitare il trasferimento fraudolento di denaro. Il malware è stato sistematicamente aggiornato e sviluppato negli ultimi dieci anni. XMRig rimane al 1° posto nell’indice delle migliori famiglie di malware, impattando il 5% delle organizzazioni a livello globale, seguito da Jsecoin e Dridex che hanno impattato rispettivamente il 4% e il 3% delle organizzazioni in tutto il mondo.
Dridex può essere molto redditizio per i criminali data la sua sofisticazione, ed è ora utilizzato come un downloader ransomware, che lo rende ancora più pericoloso delle varianti precedenti. Gli individui devono diffidare delle e-mail con allegati, anche se sembrano provenire da una fonte affidabile – soprattutto con l’esplosione del lavoro a domicilio nelle ultime settimane. Le organizzazioni devono educare i dipendenti su come identificare lo spam dannoso, e implementare misure di sicurezza che aiutano a proteggere i loro team e le reti contro tali minacce.
Il rapporto di marzo avverte anche che “MVPower DVR Remote Code Execution” è rimasta la vulnerabilità più comunemente sfruttata, con un impatto del 30% delle organizzazioni a livello globale, seguita da vicino da “PHP php-cgi Query String Parameter Code Execution” con un impatto globale del 29%, seguita da “OpenSSL TLS DTLS Heartbeat Information Disclosure” con un impatto del 27% delle organizzazioni a livello mondiale.
Le principali famiglie di malware
*Le frecce si riferiscono al cambiamento di posizione rispetto al mese precedente.
Questo mese XMRig rimane al 1° posto, con un impatto sul 5% delle organizzazioni a livello globale, seguito da Jsecoin e Dridex che impattano rispettivamente il 4% e il 3% delle organizzazioni nel mondo.
- ↔ XMRig – XMRig è un software open-source per il mining della CPU utilizzato per il processo di estrazione della criptovaluta Monero, visto per la prima volta in natura nel maggio 2017.
- Jsecoin – Jsecoin è un cryptominer web-based, progettato per eseguire il mining online della criptovaluta Monero quando un utente visita una particolare pagina web. Il JavaScript impiantato utilizza una grande quantità di risorse computazionali dell’utente finale per estrarre le monete, con conseguente impatto sulle prestazioni del sistema.
- Dridex – Dridex è un trojan bancario che prende di mira la piattaforma Windows, ed è fornito da campagne di spam e kit di exploit, che si basano su WebInjects per intercettare e reindirizzare le credenziali bancarie a un server controllato dall’attaccante. Dridex contatta un server remoto, invia informazioni sul sistema infetto e può anche scaricare ed eseguire moduli aggiuntivi per il controllo remoto.
- ↔ Trickbot – Trickbot è un trojan bancario dominante costantemente aggiornato con nuove capacità, caratteristiche e vettori di distribuzione. Questo permette a Trickbot di essere un malware flessibile e personalizzabile che può essere distribuito come parte di campagne multi-purpose.
- ↓ Emotet – Emotet è un Trojan avanzato, auto-propagante e modulare. Emotet era una volta impiegato come trojan bancario, e recentemente è usato come distributore di altri malware o campagne maligne. Utilizza molteplici metodi per mantenere la persistenza e tecniche di evasione per evitare il rilevamento. Inoltre, può essere diffuso attraverso e-mail di phishing spam contenenti malware.
- ↔ Agent Tesla – Agent Tesla è un RAT avanzato, che funziona come un keylogger e un ruba password. Agent Tesla è in grado di monitorare e raccogliere gli input della tastiera della vittima, gli appunti di sistema, fare screenshot ed esfiltrare le credenziali da una varietà di software installati sulla macchina della vittima (tra cui Google Chrome, Mozilla Firefox e il client di posta elettronica Microsoft Outlook).
- Formbook – Formbook è un Info Stealer che raccoglie credenziali da vari browser web, raccoglie screenshot, monitora e registra le sequenze di tasti, e può scaricare ed eseguire file secondo i suoi ordini C&C.
- ↓ Lokibot – Lokibot è un Info Stealer distribuito principalmente da email di phishing e viene utilizzato per rubare vari dati come le credenziali email, così come le password dei portafogli CryptoCoin e dei server FTP.
- ↓ Ramnit – Ramnit è un trojan bancario che ruba credenziali bancarie, password FTP, cookie di sessione e dati personali.
- RigEK- RigEK fornisce exploit per Flash, Java, Silverlight e Internet Explorer. La catena di infezione inizia con un reindirizzamento a una pagina di destinazione che contiene JavaScript che controlla i plug-in vulnerabili e fornisce l’exploit.
Vulnerabilità più sfruttate
Questo mese la “MVPower DVR Remote Code Execution” rimane la vulnerabilità sfruttata più comune, con un impatto del 30% delle organizzazioni a livello globale, seguita da vicino da “PHP php-cgi Query String Parameter Code Execution” con un impatto globale del 29%. Al terzo posto “OpenSSL TLS DTLS Heartbeat Information Disclosure” ha un impatto sul 27% delle organizzazioni in tutto il mondo.
- ↔ MVPower DVR Remote Code Execution – Una vulnerabilità di esecuzione di codice da remoto che esiste nei dispositivi MVPower DVR. Un attaccante remoto può sfruttare questa debolezza per eseguire codice arbitrario nel router interessato tramite una richiesta artigianale.
- PHP php-cgi Query String Parameter Code Execution – Una vulnerabilità di esecuzione di codice remoto che è stata segnalata in PHP. La vulnerabilità è dovuta all’improprio parsing e filtraggio delle stringhe di query da parte di PHP. Un attaccante remoto può sfruttare questo problema inviando richieste HTTP artigianali. Uno sfruttamento riuscito permette ad un attaccante di eseguire codice arbitrario sul bersaglio.
- ↓ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Una vulnerabilità di divulgazione delle informazioni che esiste in OpenSSL. La vulnerabilità è dovuta a un errore durante la gestione dei pacchetti TLS/DTLS heartbeat. Un utente malintenzionato può sfruttare questa vulnerabilità per divulgare il contenuto della memoria di un client o server collegato.
- Web Server Exposed Git Repository Information Disclosure – Una vulnerabilità di divulgazione delle informazioni è stata segnalata in Git Repository. Uno sfruttamento riuscito di questa vulnerabilità potrebbe consentire una divulgazione involontaria di informazioni sull’account.
- ↓ Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Una vulnerabilità di bypass dell’autenticazione esiste nei router GPON Dasan. Uno sfruttamento riuscito di questa vulnerabilità permetterebbe agli aggressori remoti di ottenere informazioni sensibili e ottenere l’accesso non autorizzato nel sistema interessato.
- Huawei HG532 Router Remote Code Execution – Una vulnerabilità di esecuzione di codice remoto esiste nei router Huawei HG532. Un attaccante remoto può sfruttare questa debolezza per eseguire codice arbitrario nel router interessato tramite una richiesta artigianale.
- D-Link DSL-2750B Remote Command Execution – Una vulnerabilità di bypass dell’autenticazione esiste in WordPress portable-phpMyAdmin Plugin. Lo sfruttamento di successo di questa vulnerabilità permetterebbe agli aggressori remoti di ottenere informazioni sensibili e ottenere l’accesso non autorizzato nel sistema interessato.
- ↓PHP DIESCAN information disclosure – Una vulnerabilità di divulgazione delle informazioni che è stata segnalata nelle pagine PHP. Uno sfruttamento riuscito potrebbe portare alla divulgazione di informazioni sensibili dal server.
- ↓SQL Injection (diverse tecniche) – Inserire un’iniezione di query SQL in input dal client all’applicazione, sfruttando una vulnerabilità di sicurezza nel software di un’applicazione.
- OpenSSL Padding Oracle Information Disclosure – Una vulnerabilità di divulgazione di informazioni esiste nell’implementazione AES-NI di OpenSSL. La vulnerabilità è dovuta a un calcolo errato dell’allocazione della memoria durante un certo controllo del padding. Un aggressore remoto può sfruttare questa vulnerabilità per ottenere informazioni sensibili in chiaro tramite un attacco padding-oracle contro una sessione AES CBC.
Top famiglie di malware – Mobile
Questo mese xHelper ha mantenuto il 1° posto nel malware mobile più diffuso, seguito da AndroidBauts e Lotoor.
- xHelper – Un’applicazione dannosa vista in natura da marzo 2019, usata per scaricare altre app dannose e visualizzare pubblicità. L’applicazione può nascondersi all’utente e reinstallarsi in caso di disinstallazione.
- AndroidBauts – Adware rivolto agli utenti Android che esfiltra IMEI, IMSI, posizione GPS e altre informazioni sul dispositivo e consente l’installazione di app e collegamenti di terze parti sui dispositivi mobili.
- Lotoor – Uno strumento di hacking che sfrutta le vulnerabilità dei sistemi operativi Android per ottenere privilegi di root sui dispositivi mobili compromessi.