Italiano
English
Français
Deutsch
Español
Português
日本語
한국어
Русский
Il malware più ricercato di maggio 2023: la nuova versione di Guloader fornisce cloud crittografato
Il nostro ultimo Global Threat Index di maggio 2023 ha visto i ricercatori segnalare una nuova versione del downloader basato su shellcode GuLoader, che era il quarto malware più diffuso. Con payload completamente crittografati e tecniche anti-analisi, la forma più recente può essere archiviata senza essere rilevata in noti servizi cloud pubblici, incluso Google Drive. Nel frattempo, Qbot e Anubis occupano il primo posto nelle rispettive classifiche, e l’Istruzione/Ricerca rimane il settore più sfruttato.
GuLoader è uno dei downloader più importanti utilizzati dai criminali informatici per eludere il rilevamento antivirus. Con oltre tre anni di attività e sviluppo continuo, l'ultima versione utilizza una tecnica che sostituisce il codice in un processo legittimo, consentendogli di eludere il rilevamento da parte degli strumenti di sicurezza di monitoraggio del processo. Utilizzando un VBScript per scaricare lo shellcode crittografato dal cloud, le vittime ricevono un file meno sospetto, riducendo la probabilità di attivare avvisi. L'uso della crittografia, del formato binario non elaborato e della separazione dal caricatore rende i payload invisibili agli antivirus, consentendo agli autori delle minacce di aggirare la protezione antivirus e sfruttare Google Drive per l'archiviazione. In alcuni casi, questi payload dannosi possono rimanere attivi per lunghi periodi di tempo.
Il mese scorso anche Qbot e Anubis hanno conquistato il primo posto nelle rispettive liste. Nonostante gli sforzi volti a rallentare la distribuzione del malware bloccando le macro nei file di Office, gli operatori Qbot si sono affrettati ad adattare la loro distribuzione e consegna. Recentemente è stato visto abusare di un difetto di dirottamento della libreria di collegamento dinamico (DLL) nel programma WordPad di Windows 10 per infettare i computer.
Molto spesso vediamo i criminali informatici sfruttare gli strumenti a disposizione del pubblico per archiviare e distribuire campagne malware. Non possiamo più fidarci ciecamente che i servizi che utilizziamo saranno completamente sicuri, non importa quanto affidabile possa essere la fonte. Ecco perché dobbiamo essere informati su come si presentano le attività sospette. Non divulgare informazioni personali né scaricare allegati a meno che tu non abbia verificato che la richiesta è legittima e non vi è alcun intento dannoso.
CPR ha inoltre rivelato che "Web Servers Malicious URL Directory Traversal" è stata la vulnerabilità più sfruttata, colpendo il 49% delle organizzazioni a livello globale, seguita da "Apache Log4j Remote Code Execution", colpendo il 45% delle organizzazioni in tutto il mondo. L'"esecuzione di codice remoto degli header HTTP" è stata la terza vulnerabilità più utilizzata, con un impatto globale del 44%.
Principali famiglie di malware
*Le frecce si riferiscono alla variazione di posizione rispetto al mese precedente.
Qbotè stato il malware più diffuso lo scorso mese con un impatto del 6% sulle organizzazioni a livello mondiale, seguito daModulocon un impatto globale del 5% eAgente Teslacon un impatto globale del 3%.
Principali settori attaccati a livello globale
Lo scorso mese,Istruzione/Ricercaè rimasta al primo posto come l’industria più sfruttata a livello globale, seguita daGoverno/militareEAssistenza sanitaria.
Principali vulnerabilità sfruttate
Lo scorso mese,"Traversamento directory URL dannosi per server Web"è stata la vulnerabilità più sfruttata e impattante49%delle organizzazioni a livello globale, seguito da"Esecuzione codice remoto Apache Log4j"impattante45%delle organizzazioni in tutto il mondo."Esecuzione codice remoto intestazioni HTTP"è stata la terza vulnerabilità più utilizzata, con un impatto globale di44%.
I principali malware per dispositivi mobili
Lo scorso meseAnubiè salito al primo posto come malware mobile più diffuso, seguito daAhMitoEHiddad.
Il Global Threat Impact Index di Check Point e la sua ThreatCloud Map si basano sull'intelligence ThreatCloud di Check Point. ThreatCloud fornisce informazioni sulle minacce in tempo reale derivate da centinaia di milioni di sensori in tutto il mondo, su reti, endpoint e dispositivi mobili. L'intelligence è arricchita con motori basati sull'intelligenza artificiale e dati di ricerca esclusivi di Check Point Research, il ramo di intelligence e ricerca di Check Point Software Technologies.