A novembre Emotet è tornato all’azione, ma l’insidia maggiore per l’Italia è stato IcedID, che ha minacciato il 23% delle organizzazioni italiane.
Autore: Redazione SecurityOpenLab
AgentTesla, Emotet, Qbot: è questa la top 3 dei malware più diffusi nel mese di novembre, stilata dai ricercatori di Check Point Software Technologies nell’ultimo Global Threat Index. Tutti e tre non necessitano di presentazioni. AgentTesta è in circolazione dal 2014 ed è un RAT che fa breccia nei sistemi Windows e ruba dati, password e cookie all'insaputa degli utenti. Dal 2020 è in circolazione una versione rinnovata e potenziata in grado di monitorare e raccogliere l’input della tastiera della vittima, acquisendo screenshot, ed esfiltrando le credenziali da una varietà di software installati sulla macchina della vittima (tra cui Google Chrome, Mozilla Firefox e Microsoft Outlook).
A preoccupare maggiormente è ovviamente la scalata della classifica operata da Emotet, che era rimasto pressoché silente nel periodo estivo che successivamente ha riguadagnato quota a una serie di nuove campagne malspam progettate per distribuire i payload del banking trojan IcedID. Questo nome è importante per chi legge perché è stato il vero dominatore in Italia, considerando che nel mese di novembre il suo impatto locale è stato del 23%. Parliamo di un malware che utilizza tecniche evasive come l'iniezione di processi e la steganografia, e ruba dati finanziari tramite attacchi di reindirizzamento e di web injection. AgentTesla in Italia è secondo con un impatto sulle aziende del 14%, e al terzo posto nel Belpaese troviamo Blindingcan con il 7%.
Tornando alla classifica globale, al terzo posto si piazza Qbot, tornato ai valori di luglio 2021 con un impatto globale del 4%. Ricordiamo che Qbot, in circolazione dal 2008, è un trojan che sottrae credenziali bancarie e sequenze di tasti, ed è gettonato da parte di cyber criminali che perseguono obiettivi finanziari, rubando dati, credenziali e informazioni dai browser utilizzati. Spesso distribuito via email, impiega diverse tecniche anti-VM, anti-debug e anti-sandbox per eludere la detection. Una volta che Qbot riesce a infettare un sistema, gli hacker installano una backdoor per garantire l'accesso, creando così attacchi con doppia estorsione. A novembre Qbot ha sfruttato una vulnerabilità Zero-Day di Windows per fornire agli attaccanti pieno accesso alle reti infette.