Trojan Bancari

Trojan Bancari all’attacco in tutto il mondo, compresa l’Italia

Check Point® Software Technologies Ltd, il principale fornitore di soluzioni di cybersecurity a livello globale, ha pubblicato il Global Threat Index del mese di agosto, che ha rivelato una significativa presenza dei trojan bancari Ramnit. Protagonista di una campagna su larga scala, il trojan ha raddoppiato il proprio impatto globale negli ultimi mesi, trasformando i computer delle vittime in server proxy malevoli.

Trojan Bancari, ad Agosto Italia a forte rischio

Durante il mese di agosto, Ramnit, giunto al sesto posto nel Threat Index, è diventato così il trojan bancario più diffuso, ripetendo il trend di giugno, mese che aveva visto raddoppiare questa tipologia di attacchi.

“Questa è stata la seconda estate in cui abbiamo registrato un uso massiccio dei trojan bancari da parte dei criminali con lo scopo di ottenere un rapido profitto”, ha commentato Maya Horowitz, Threat Intelligence Group Manager di Check Point. “Non dobbiamo ignorare questi trend che ci fanno vedere come le abitudini di navigazione nel web degli utenti, durante i mesi estivi, li rendano più esposti ai trojan bancari: gli hacker, infatti, sanno bene quali sono i vettori d’attacco che hanno più probabilità di successo in un momento preciso. Questo fenomeno dimostra come i criminali siano sofisticati e tenaci nell’estorcere denaro.”

Horowitz ha poi aggiunto: “Per impedire il diffondersi dei trojan bancari e di altri tipi di attacchi, è fondamentale che le aziende adottino una strategia di sicurezza informatica multilivello, che protegga sia da famiglie di malware già note, sia dalle nuove minacce”.

Per tutto agosto, Coinhive è rimasto il malware più diffuso, colpendo il 17% delle organizzazioni a livello globale. Dorkbot e Andromeda sono al secondo e terzo posto, ciascuno con un impatto globale del 6%.

Anche in Italia, Conhive si mantiene al primo posto per l’ottavo mese consecutivo con un impatto di quasi il 14% sulle imprese locali, seguito da Conficker e Cryptoloot.

Trojan Bancari

I tre malware più diffusi ad agosto 2018 sono stati:

*La freccia si riferisce al cambio di posizione rispetto alla classifica del mese precedente

 ↔ Coinhive – uno script di mining che utilizza la CPU degli utenti che visitano determinati siti web per minare la criptovaluta Monero. Il JavaScript installato utilizza una grande quantità di risorse computazionali delle macchine degli utenti finali per estrarre monete e potrebbe causare l’arresto anomalo del sistema.

  1. ↑Dorkbot – IRC-worm progettato per consentire l’esecuzione di codice da remoto da parte del proprio operatore, nonché il download di ulteriori malware sul sistema infetto. Si tratta di un trojan bancario, con lo scopo principale di rubare informazioni sensibili e lanciare attacchi denial-of-service.
  2. ↑ Andromeda – bot modulare utilizzato principalmente come backdoor per recapitare un malware aggiuntivo agli host infetti, e può essere modificato per creare diversi tipi di botnet.

Lokibot, un trojan bancario che colpisce i sistemi Android e che ruba informazioni, è stato il malware per mobile più diffuso e utilizzato per attaccare i dispositivi delle organizzazioni, seguito da Lotoor e Triada.

I tre malware per dispositivi mobili più diffusi ad agosto 2018:

  1. Lokibot – trojan bancario che colpisce i sistemi Android e che ruba informazioni, può anche trasformarsi in un ransomware che blocca il telefono rimuovendo i privilegi dell’amministratore.
  2. Lotoor – tecnica di hackeraggio in grado di sfruttare le vulnerabilità dei sistemi Android con lo scopo di ottenere i permessi di root sui dispositivi mobile infettati
  3. Triada – malware modulare per Android che sferra l’attacco tramite una backdoor che concede privilegi amministrativi a malware scaricati e gli permette di essere integrato all’interno di processi di sistema. Triada viene utilizzato anche per compiere attacchi di tipo spoofing.

I ricercatori di Check Point hanno analizzato anche le vulnerabilità più sfruttate dai criminali informatici. CVE-2017-7269 si è piazzata al primo posto con un impatto globale del 47%. Al secondo posto troviamo OpenSSL TLS DTLS Heartbeat Information Disclosure con un impatto del 41%; mentre al terzo posto si posiziona, invece, la vulnerabilità CVE-2017-5638 che ha interessato il 36% delle organizzazioni.

Le tre vulnerabilità più diffuse nel mese di agosto 2018 sono state:

  1. ↔ Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) – inviando una richiesta a una rete Microsoft Windows Server 2003 R2 tramite Microsoft Internet Information Services 6.0, un hacker potrebbe eseguire un codice arbitrario o causare una negazione delle condizioni del servizio sul server di destinazione. Ciò è dovuto principalmente a una vulnerabilità di overflow del buffer causata da una errata convalida di un header lungo nella richiesta HTTP.
  2. ↑ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – si tratta di una vulnerabilità legata all’intercettazione di informazioni personali in OpenSSL. La vulnerabilità è dovuta a un errore durante la gestione dei pacchetti heartbeat TLS / DTLS. Un hacker può sfruttare questa vulnerabilità per divulgare il contenuto della memoria di un client o server connesso.
  3. ↑ D-Link DSL-2750B Remote Command Execution – Una vulnerabilità legata all’esecuzione remota di un codice, segnalata nei router D-Link DSL-2750B. Lo sfruttamento di questa falla porterebbe all’esecuzione di un codice illegittimo sul dispositivo.

Trojan Bancari

La ThreatCloud Map e il Global Threat Impact Index di Check Point si avvalgono dell’intelligence ThreatCloudTM dell’azienda, la più grande rete che collabora contro i cybercriminali e fornisce dati sulle minacce e sull’andamento degli attacchi, attraverso una rete globale di sensori delle minacce. Il database di ThreatCloud contiene più di 250 milioni di indirizzi, che vengono analizzati per scoprire bot, più di 11 milioni di firme di malware e più di 5 milioni e cinquecentomila siti web infetti, e ogni giorno individua milioni di varianti di malware.

La lista completa delle 10 famiglie di malware più attive nel mese di agosto è disponibile sul blog di Check Point: http://blog.checkpoint.com/2018/09/11/augusts-most-wanted-malware-banking-trojan-attacks-turn-up-the-heat/

Le risorse per la Threat Prevention di Check Point sono disponibili al seguente link:  http://www.checkpoint.com/threat-prevention-resources/index.html

Autore dell'articolo: Luigi Marra

Il mio nome è Luigi, nella vita sono un Ragioniere. Nel tempo libero coltivo la mia passione per la tecnologia e i motori che risale a quando ero bambino.