Trojan bancari alla riscossa, ma i criptominer dominano ancora

I trojan bancari ritornano nella classifica dei dieci malware più diffusi al mondo, almeno per quanto riguarda il mese di aprile. Lo ha rivela Check Point Software Technologies, alla luce delle statistiche dei suoi monitoraggi (“Global Threat Index”), eseguiti su un database contenente più di 250 milioni di indirizzi. Sulle varianti di malware, milioni, individuate ogni giorno, i trojan che mirano al furto di denaro diretto hanno avuto un’impennata nel mese di aprile, complice la ricorrenza del “tax day” cioè il giorno di scadenza per l’invio delle dichiarazioni dei redditi dei cittadini statunitensi.

Molto popolari, in particolare, sono stati i trojan bancari “polivalenti” Trickbot. Creata nel 2016, questa tipologia di cavallo di Troia negli anni ha già colpito clienti di numerose banche nordamericane, australiane, britanniche e di altri Paesi. Esiste in diverse varianti ed evoluzioni, che si distinguono per l’impiego di differenti moduli software, ed è solitamente diffuso attraverso campagne di spam. Nel mese di aprile Check Point ha notato, in particolare, ondate di messaggi contenenti allegati di Excel che, se aperti, scaricavano Trickbot sui computer delle vittime con l’obiettivo di raccogliere dati bancari e sottrarre documenti fiscali. Nella top-10 di aprile, in effetti, ben sette delle dieci minacce più diffuse sono trojan polivalenti.  E questo, a detta di Check Point, è in parte la conseguenza della chiusura di numerosi servizi di criptomining e della riduzione dei valori delle criptovalute avvenuta nell'ultimo anno, fatti che hanno spinto i cybercriminali ha rispolverare altri metodi di attacco e monetizzazione.

Va detto però che i cryptominer, uno tra i fenomeni più in ascesa nel 2018, anche quest’anno restano popolari: occupano, infatti, i tre posti della classifica non occupati dai trojan bancari, cioè i tre del podio. Al primo posto c’era Cryptoloot, un malware che sfrutta la potenza della Cpu o della Gpu della vittima e le risorse esistenti per il mining di criptovalute aggiungendo transazioni alla blockchain e rilasciando nuova valuta. Si tratta di un “concorrente” di Coinhive, rispetto al quale però chiede una percentuale di profitto minore per puntare sui grandi numeri. L’argento è andato a XMRig, un programma in circolazione da un paio di anni, che sfrutta le Cpu colonizzate per estrarre Monero. Terzo posto per Jsecoin, un miner JavaScript che può essere inserito all’interno di siti Web.

La classifica cambia se si considera non la sola diffusione, ma il livello di "utilizzo" della vulnerabilità. Quella più sfruttata nel mese di aprile riguardava il protocollo OpenSSL (un’implementazione open source dei protocolli SSL e TLS), grazie alla quale un aggressore può accedere al contenuto della memoria di un client o server collegato. Check Point indica questo bug come OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346).

Al secondo posto è emerso un problema di overflow del buffer causata da una errata convalida di un header lungo nella richiesta HTTP, indicato come Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269): inviando una richiesta a una rete Microsoft Windows Server 2003 R2 tramite Microsoft Internet Information Services 6.0, un hacker potrebbe eseguire un codice arbitrario od ostacolare un servizio sul server di destinazione.

La terza vulnerabilità più diffusa ad aprile riguardava, infine,  Apache Struts2, un framework open source usato per creare applicazioni Web in Java EE. Il problema indicato come Apache Struts2 Content-Type Remote Code Execution (CVE-2017-5638) permette a un malintenzionato di inviare un tipo di contenuto non valido come parte di una richiesta di caricamento file. Se sfruttato in modo efficace, questo bug potrebbe comportare l'esecuzione di codice arbitrario sul sistema preso di mira.