Secondo il Global Threat Index di novembre 2022, è allarme trojan.
Check Point Research (CPR) segnala che IcedID spadroneggia in Italia, mentre Emotet e Qbot tornano in attività. “I dati pubblicati”, commenta Pierguido Iezzi, Ceo di Swascan, “ci permettono di formulare alcune interessanti osservazioni sul continuo imperversare dei trojan”. Ecco quali e come difendersi.
Indice degli argomenti
Global Threat Index di novembre 2022: allarme trojan
Check Point Software ha stilato la classifica delle minacce del momento. AgentTesla, con un impatto del 6% sulle organizzazioni globali, rimane il malware più diffuso, ma seguono a ruota due new entry che sono due vecchie conoscenze.
Emotet è infatti tornato nella Top10 con un impatto del 4% (come Qbot), mentre il 23% delle aziende italiane è nel mirino di IcedID. In Italia questo trojan è al primo posto del Global Threat Index di novembre 2022 a livello locale.
Emotet è un trojan che, pur avendo tagliato le sue attività nel corso della pausa estivo, è tornato alla ribalta.
Per la prima volta da luglio 2021, Qbot si piazza al terzo posto con un impatto globale del 4%. Invece ha aumentato gli attacchi Raspberry Robin, un worm sofisticato che infetta i dispositivi, in genere, tramite unità USB malevole.
“Il primo punto di attenzione”, mette in guarda Iezzi, “è sicuramente il “ritorno” di Emotet. Dopo il massiccio contraccolpo subito nel 2021, dopo un’operazione coordinata dell’Europol, questo trojan era riapparso in maniera flebile via via, ma mai senza la frequenza osservata lo scorso novembre. La conferma di come, per quanto efficaci possano essere le attività di contrasto, i Criminal Hacker non smettono mai d’innovare le proprie soluzioni con nuove funzionalità e metodi per evitare la detection nei sistemi bersaglio”.
“Lo stesso Qbot, inizialmente meno popolare di emotet – pare per problemi di diffusione – sembra aver raggiunto una stabile popolarità nelle sue ultime versioni. Una piccola parentesi va fatta anche su IcedID, mai in cima alle classifiche dei trojan, ma pur sempre molto diffuso nel nostro Paese. Una peculiarità già riscontrata da Swascan nel marzo del 2021, che aveva permesso di analizzare questo banking trojan”, continua Iezzi.
Nel mondo, a novembre, i settori più colpiti sono stati: Education/Ricerca, governi/mondo militare, settore sanitario.
Invece, in Italia, al primo posto si piazza Education/Ricerca, seguito dai vendor del software e settore finanziario e bancario.
I dettagli
AgentTesla è un RAT avanzato che funge da keylogger che ruba informazioni, monitorando e raccogliendo sequenze di tasti delle vittime: acquisisce screenshot ed esfiltra credenziali a una molteplicità di software installati sulla macchina della vittima (compresi Google Chrome, Mozilla Firefox e Microsoft Outlook).
Emotet è invece un trojan avanzato. Segni particolari: auto-propagante e modulare. Un tempo spopolava come banking trojan, ora distribuisce altri malware o campagne malevole. Sfrutta vari metodi per dominare e tecniche di evasione per evitare la detection. Inoltre, può diffondersi attraverso mail spam contenenti allegati o link malevoli.
Qbot è il banking trojan, datato 2008, ideato per trafugare credenziali bancarie e input da tastiera delle vittime. Distribuito via mail spam, sfrutta più tecniche anti-VM, anti-debug e anti-sandbox per eludere la detection.
Nel mondo Mobile, sul podio ci sono Anubis (banking trojan per Android), Hydra (banking trojan per rubare credenziali finanziarie) e il Malware-as-a-Service (MaaS) AlienBot.
Le tre falle più sfruttate
Le tre vulnerabilità più sfruttate sono:
- Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260);
- Web Server Exposed Git Repository Information Disclosure;
- HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756).
La prima è un errore di convalida dell’input in un server web che non sanifica in maniera corretta l’URL per pattern directory traversal. La seconda è una falla di diffusione delle informazioni segnalata in Git Repository. Il terzo bug sono http reader che permettono al client e al server di comunicare informazioni aggiuntive con una richiesta HTTP.
Come proteggersi
“Ciò che accomuna sicuramente tutti questi malware è il vettore di diffusione, ovvero il phishing”, avverte Iezzi. “Una peculiarità che comunque ci permette di formulare un piano di difesa efficace. L’utilizzo delle mail come ‘carriere’ infatti lascia intuire come gli utenti con credenziali esposte possano essere i più a rischio”.
Quindi, la priorità è la consapevolezza, unita a buone pratiche: evitare di scaricare ed aprire allegati da mittenti non solo sconosciuti, ma anche di cui non si sia verificato l’invio di posta elettronica con attachment.
“L’impiego della Threat Intelligence, come pilastro di sicurezza predittiva, può quindi darci importanti informazioni sul possibile rischio di attacco e può fornirci indicatori cruciali per porre rimedio a questa falla”, evidenzia Iezzi.
“Il secondo step per scongiurare il pericolo è sicuramente quello di agire sul piano della sicurezza proattiva, unendo la tecnologia antispam ed EDR con l’insostituibile apporto di un SoC. L’ultimo tassello per spezzare la Kill Chain degli operatori di questo trojan è quello d’intervenire sul piano preventivo, mettendo in atto regolari programmi di formazione e awareness regolari”, conclude l’esperto di cyber security.
