Vecchie conoscenze tornano a colpire l’Italia: il malware Qbot ed Emotet, questa volta diffuso tramite email di spam con allegati OneNote per aggirare il blocco delle macro di Office.
Autore: Redazione SecurityOpenLab
Nel mese di marzo Qbot si è confermato il malware più pericoloso in Italia, con un impatto del 14% sulle aziende. Al secondo posto si è classificato Blindingcan con l’8%. Continua a preoccupare Emotet, che si è classificato al quarto posto con una percentuale di impatto (5%), che è maggiore rispetto a quella globale (4%). Sono questi i dati salienti per l’Italia inclusi nel Global Threat Index di marzo redatto da Check Point Software Technologies.
Anche a livello globale Qbot è stato il malware più diffuso il mese scorso, con un impatto di oltre il 10% sulle organizzazioni, seguito da Emotet e Formbook con un impatto globale del 4%. In tutti i casi parliamo di vecchie conoscenze. Qbot è già stato primo in classifica nel passato recente. Noto anche come Qakbot, è un banking trojan apparso per la prima volta nel 2008, progettato per rubare le credenziali bancarie e le sequenze di tasti dell'utente. Spesso distribuito tramite email di spam, e impiega diverse tecniche anti-VM, anti-debug e anti-sandbox per ostacolare l’analisi ed eludere la detection.
Emotet non ha certo bisogno di presentazioni, è un trojan avanzato, auto-propagante e modulare. In passato veniva sfruttato come banking trojan, ora viene utilizzato come distributore di altri malware o per campagne malevole. Utilizza diversi metodi per mantenere la persistenza e tecniche di evasione per evitare la detection. Inoltre, può diffondersi attraverso email di spam contenenti allegati o link dannosi.
Fra le opzioni esplorate dagli attaccanti per diffondere Emotet e distribuire file malevoli sembra stia andando per la maggiore quella di spedire email contenenti un file OneNote malevolo. Ovviamente l’esigenza è legata alla decisione di Microsoft di bloccare le macro di Office. Nell'ultima campagna tracciata da Check Point una volta aperta l’email viene visualizzato un messaggio che induce la vittima a cliccare sull’allegato, scaricando Emotet.
Gli autori del report hanno come sempre completato il report con i dati relativi ai settori più interessati dagli attacchi e alle vulnerabilità più sfruttate. Quanto ai vertical, in Italia sono finiti nel mirino i comparti Education/Research, Government/Military e Finance/Banking.
Quanto alle falle, “Apache Log4j Remote Code Execution” è stata la vulnerabilità più sfruttata, con un impatto sul 44% delle organizzazioni a livello globale, seguita da “HTTP Headers Remote Code Execution” con il 43% e “MVPower DVR Remote Code Execution” con un impatto globale del 40%.