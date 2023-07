Il malware più diffuso nel 2023 è un trojan che ha 15 anni In circolazione già nel 2008, Qbot è il programma malevolo più rilevato dalla rete di sensori di Check Point nel primo semestre. Può spiare le email e rubare password e dettagli di carte di credito. Pubblicato il 14 luglio 2023 da Redazione

Il trojan Qbot è il perfetto esempio di come le vecchie minacce cyber continuino spesso a circolare per anni, a volte per più di un decennio, sviluppando nuove capacità e caratteristiche per risultare ancora efficaci e per sfuggire ai rilevamenti. Nella mensile classifica di Check Point Research sui malware più diffusi, Qbot è al primo posto in cinque mesi su sei nella prima parte di questo 2023, pur trattandosi di un programma in circolazione almeno dal 2008.



Così dicono i rilevamenti dei centinaia di milioni di sensori di Check Point presenti all'interno di reti, endpoint e dispositivi mobili, dati poi riassunti nel report mensile “Global Threat Impact Index”. Nelle quattro settimane di giugno Qbot ha rappresentato il 6,69% delle minacce rilevate a livello globale ma in Italia la sua incidenza sale all’8,1%.

Da semplice trojan bancario, negli anni ha sviluppato capacità ulteriori per sottrarre password, dati di account di posta elettronica o dettagli di carte di pagamento usate online. Qbot viaggia soprattutto su messaggi di spam e utilizza diverse tecniche anti-debugging e anti-sandbox per evitare di essere analizzato e smascherato come minaccia. Attualmente la principale funzione di questo trojan è quella di fare da loader per altri malware e stabilire una prima presenza all’interno di una rete aziendale, aprendo la strada a ulteriori attacchi (e in particolare a operazioni ransomware).

Un altro protagonista della scena attuale è SpinOk, anch’esso un trojan ma sviluppato per colpire smartphone e tablet Android: è lui la minaccia mobile più rilevata nel mese di giugno e finora, complessivamente, ha accumulato più di 421 milioni di download. Si tratta di un Sdk (Software Development Kit) trojanizzato, che si è infiltrato all’interno di applicazioni e giochi popolari, anche presenti su Google Play Store, e permette dunque di realizzare attacchi sfruttando la supply chain del software. SpinkOk è una minaccia per la privacy, dato che può sottrarre informazioni sensibili dai dispositivi e osservare le informazioni che passano attraverso la clipboard usata per il copia-incolla.



Un fenomeno emergente del mese scorso è stato il lancio da parte del collettivo russo Clop di una campagna ransomware su vasta scala, che ha sfruttato una vulnerabilità presente nelle applicazioni MOVEit Transfer e MOVEit Cloud. Vulnerabilità già scoperta e segnalata a maggio da Progress Software Corporation, con conseguente rilascio di patch entro 48 ore dalla comunicazione: ciononostante, gli hacker hanno potuto colpire centinaia di vittime (108 quelle pubblicamente note), tra cui anche sette università statunitensi, a cui sono stati rubati centinaia di migliaia di record di dati.

“L'exploit di MOVEit dimostra come il 2023 sia già un anno significativo nella storia del ransomware”, ha commentato Maya Horowitz, vice president research di Check Point Software. “Gruppi di spicco come Clop non agiscono tatticamente per infettare un singolo obiettivo, ma aumentano l'efficienza delle loro azioni sfruttando software ampiamente diffusi all'interno degli ambienti aziendali. Questo approccio permette loro di colpire centinaia di vittime con un solo attacco. Questo schema di attacco evidenzia l'importanza per le aziende di implementare una strategia di cybersicurezza stratificata e di prioritizzare la rapida applicazione delle patch non appena vengono annunciate delle vulnerabilità”.

A proposito di exploit, la vulnerabilità più sfruttata nel mese di giugno è stata la Web Servers Malicious Url Directory Traversal, e anche in questo caso si tratta di un problema comune nei web server e noto da un decennio. La vulnerabilità si deve a un errore nella validazione degli input, che impedisce di sanificare adeguatamente l’Uri (Uniform Resource Identifier) nei pattern di attraversamento delle directory. In parole semplici, consente agli attaccanti di eseguire codice arbitrario sul server colpito. A detta di Check Point, potenzialmente questa vulnerabilità impatta più della metà delle aziende del mondo.