I nuovi malware: agiscono anche senza sessione attiva del browser web

(da LineaEDP – 26/04/2018)
Lo rivela l’ultimo Global Threat Index di Check Point.
I dati di marzo 2018 del Global Threat Impact Index di Check Point Software Technologies, fornitore di soluzioni di cybersecurity a livello globale, rivelano un’impennata nella diffusione di malware per il mining di criptovalute – in particolare, derivanti dal malware endpoint noto come la variante di XMRig. L’Italia ha subìto in primo luogo il dominio di Coinhive, uno script di mining che utilizza la CPU degli utenti online per minare la criptovaluta Monero; di Cryptoloot, malware che utilizza la potenza della CPU o della GPU della vittima e le risorse esistenti per il mining di criptovalute; e di Rig EK, che diffonde exploit per Flash, Java, Silverlight e Internet Explorer.

A livello globale, il Global Threat Impact Index ha rilevato un’impennata degli attacchi derivanti dal malware per il mining di criptovalute noto come la variante di XMRig. Visto inizialmente nel maggio 2017, XMRig è entrato nella top ten dei malware più diffusi di Check Point (in 8° posizione) per la prima volta nel marzo 2018, dopo un aumento del 70% del suo impatto a livello globale. Lavorando sul device endpoint anziché nel browser stesso, XMRig è in grado di estrarre la criptovaluta Monero senza nemmeno dover attivare una sessione del browser del computer colpito.

“I malware di cryptomining si sono rivelato un vero e proprio successo per i cyber criminali, e l’ascesa di XMRig indica che sono attivamente partecipi nel miglioramento dei loro metodi per essere sempre all’avanguardia”, ha dichiarato Maya Horowitz, Threat Intelligence Group Manager di Check Point. “Oltre a rallentare PC e server, il malware di cryptomining può diffondersi lateralmente, una volta all’interno della rete, minacciando la sicurezza degli utenti. È quindi fondamentale che le imprese adottino una strategia di cybersecurity multilivello che protegga sia dalle famiglie di malware conosciute sia dalle nuove minacce”.

A marzo, Coinhive è rimasto il malware più diffuso per il quarto mese consecutivo, colpendo il 18% delle organizzazioni; seguito subito dopo dall’exploit kit Rig EK (17%); mentre il miner Cryptoloot è salito al terzo posto (con un impatto del 15%). Infine, XMRig si è rivelata come l’ottava variante di malware più comune, colpendo il 5% delle organizzazioni.

I tre malware più diffusi a marzo 2018 sono stati:

*La freccia si riferisce al cambio di posizione rispetto alla classifica del mese precedente

↔ Coinhive – uno script di mining che utilizza la CPU degli utenti che visitano determinati siti web per minare la criptovaluta Monero.
↑ Rig EK – diffonde exploit per Flash, Java, Silverlight e Internet Explorer.
↑ Cryptoloot – malware che utilizza la potenza della CPU o della GPU della vittima e le risorse esistenti per il mining di criptovalute aggiungendo transazioni alla blockchain e rilasciando nuova valuta.

Lokibot, trojan bancario che colpisce i sistemi Android, è stato il malware più diffuso e utilizzato per attaccare i dispositivi mobile delle organizzazioni, seguito da Triada e Hiddad.

I tre malware per dispositivi mobili più diffusi a marzo 2018:

Lokibot – trojan bancario che colpisce i sistemi Android e che ruba informazioni, può anche trasformarsi in un ransomware che blocca il telefono rimuovendo i privilegi dell’amministratore.
Triada – malware modulare per Android che sferra l’attacco tramite una backdoor che concede privilegi amministrativi a malware scaricati.
Hiddad – malware Android che riconfeziona app legali e poi le consegna a uno store di terze parti.

Per la prima volta, i ricercatori di Check Point hanno analizzato anche le vulnerabilità più sfruttate dai criminali informatici. CVE-2017-10271 si è piazzata al primo posto con un impatto globale del 26%, mentre al secondo troviamo la vulnerabilità SQL injection (impatto del 19%) e al terzo posto la CVE-2015-1635, che ha coinvolto il 12% delle organizzazioni.

Le tre vulnerabilità più diffuse nel marzo 2018 sono state:

Oracle WebLogic WLS Security Component Remote Code Execution (CVE-2017-10271) – all’interno di Oracle WebLogic WLS esiste una vulnerabilità legata all’esecuzione di un codice in modalità remota. Ciò è dovuto al modo in cui Oracle WebLogic gestisce i decodificatori xml. Un attacco ben riuscito potrebbe portare a un’esecuzione di codice in modalità remota.
SQL Injection – consiste nell’inserimento di query SQL, in input, dal client all’applicazione, sfruttando al contempo una vulnerabilità di sicurezza nel software di un’applicazione.
Microsoft Windows HTTP.sys Remote Code Execution (MS15-034: CVE-2015-1635) – legata all’esecuzione di codice in modalità remota in Windows. La vulnerabilità è dovuta a un errore nel modo in cui HTTP.sys gestisce un’intestazione HTTP malevola. Lo sfruttamento riuscito comporterebbe l’esecuzione di codice in modalità remota.

Il Global Threat Impact Index e la ThreatCloud Map di Check Point si avvalgono dell’intelligence ThreatCloudTM dell’azienda, la più grande rete che collabora contro i cybercriminali. ThreatCloud attinge a un’ampia varietà di feed di intelligence provenienti da ricerche avanzate di malware e minacce, algoritmi AI e processi automatizzati, partnership e risorse open per fornire dati sulle minacce e tendenze di attacco. Essendo la più grande rete di intelligence sulle minacce del mondo, ThreatCloud rileva centinaia di milioni di eventi malevoli al giorno, raccogliendo informazioni da oltre centomila gateway e milioni di endpoint in tutto il mondo.