Report Malware di Check Point: in Italia cresce l'impatto del trojan Blindingcan

Check Point ha pubblicato i dati del proprio Global Threat Index per il mese di giugno 2023. Secondo i rilevamenti effettuati dai ricercatori, il malware più diffuso nel corso del 2023 è finora il trojan Qbot, affermatosi al primo posto per ben cinque mesi su sei. Il mobile trojan SpinOk è salito per la prima volta al vertice della classifica dopo essere stato rilevato inizialmente lo scorso mese, mentre il ransomware ha continuato a far parlare di sé grazie alla vulnerabilità zero-day scoperta nel software di file sharing MOVEIt.

Qbot, apparso originariamente nel 2008 sotto forma di trojan bancario, è stato oggetto di un costante sviluppo acquisendo ulteriori funzionalità per la sottrazione di password, email e dati di carte di credito. Questo malware si propaga normalmente attraverso messaggi spam adottando svariate tecniche come metodi anti-VM, anti-debug e anti-sandbox per impedire l'analisi e aggirare i rilevamenti. Allo stato attuale il suo ruolo principale è quello di agire da loader per altri malware e stabilire una presenza all'interno delle organizzazioni prese di mira, rappresentando un trampolino di lancio per ulteriori attività dei gruppi specializzati in ransomware.

Nel frattempo i ricercatori hanno scoperto anche un malware mobile molto prolifico che ha accumulato sinora 421 milioni di download. Lo scorso mese, infatti, al vertice del malware mobile si è affermato per la prima volta SpinOk, un SDK (Software Development Kit) trojanizzato. Adoperato da numerose app per scopi di marketing, questo pericoloso software si è infiltrato all'interno di applicazioni e giochi di grande popolarità, alcuni dei quali disponibili su Google Play Store. In grado di sottrarre informazioni sensibili dai dispositivi e di osservare le informazioni che passano attraverso la clipboard usata per il copia-incolla, SpinOk costituisce una seria minaccia per la privacy e la sicurezza degli utenti, sottolineando la necessità di misure preventive per proteggere i dati personali e i dispositivi mobili. Questo tipo di malware serve anche a ricordare le potenzialità devastanti degli attacchi che prendono di mira le supply chain software.

Lo scorso mese ha anche visto il lancio di una campagna di ransomware su vasta scala, che ha colpito obiettivi in tutto il mondo. Nel maggio 2023, Progress Software Corporation aveva annunciato l'esistenza di una vulnerabilità all'interno di MOVEit Transfer e MOVEit Cloud (CVE-2023-34362) dalla quale si poteva ottenere accesso non autorizzato all'ambiente circostante. Nonostante la relativa patch sia stata rilasciata entro 48 ore dalla disclosure, i cybercriminali affiliati al gruppo ransomware russo Clop hanno sfruttato la vulnerabilità e lanciato un attacco supply chain contro gli utenti MOVEIt. A oggi vi sono 108 vittime pubblicamente note, comprese sette università statunitensi, con centinaia di migliaia di record di informazioni sottratte.

“L'exploit di MOVEit dimostra come il 2023 sia già un anno significativo nella storia del ransomware. Gruppi di spicco come Clop non agiscono tatticamente per infettare un singolo obiettivo, ma aumentano l'efficienza delle loro azioni sfruttando software ampiamente diffusi all'interno degli ambienti aziendali. Questo approccio permette loro di colpire centinaia di vittime con un solo attacco”, ha dichiarato Maya Horowitz, VP Research di Check Point Software. “Questo schema di attacco evidenzia l'importanza per le aziende di implementare una strategia di cybersicurezza stratificata e di prioritizzare la rapida applicazione delle patch non appena vengono annunciate delle vulnerabilità”.

Nel mese di giugno 2023, in Italia la minaccia più grande è stata rappresentata dal malware Qbot, con un impatto dell’8,1% rispetto al 6,69% a livello globale, seguita dal Blindingcan (nuovo trojan ad accesso remoto di origine nord coreana) che in Italia ha registrato un impatto del 5,25%, notevolmente più alto rispetto a quanto si è rilevato a livello mondiale (0,22%). Formbook si è un po’ ridimensionato (-0,9% ripetto a maggio) e fa registrare un impatto nel nostro Paese del 3,1%. Stesso risultato per Guloader (downloader utilizzato dal 2019) e Lokibot (infostealer di prodotti di base).