Top Malware dicembre 2024: FakeUpdates

Aggiungi ai preferiti

Check Point Software Technologies Ltd., pioniere e leader globale nelle soluzioni di sicurezza informatica ha pubblicato il suo Global Threat Index per il mese di dicembre 2024, sottolineando la crescente sofisticazione dei criminali informatici.

L’attenzione si concentra sull’ascesa di FunkSec, un operatore emergente di ransomware-as-a-service (RaaS) che sfrutta l’intelligenza artificiale, insieme alle minacce persistenti di famiglie di malware come FakeUpdates e AgentTesla.

Pubblicando oltre 85 vittime nel solo mese di dicembre 2024, FunkSec ha superato i suoi concorrenti in termini di volume. Tuttavia, Check Point Research (CPR) ha segnalato molte di queste richieste come riciclate o non verificate, sollevando dubbi sulla credibilità del gruppo. Legato all’Algeria, FunkSec sembra guidato da guadagni finanziari e ideologie hacktiviste, con le sue tattiche assistite dall’intelligenza artificiale che indicano l’uso crescente di tecnologie avanzate nel crimine informatico.

In Italia, anche nel mese di dicembre 2024 FakeUpdate risulta essere la minaccia più presente, anche se con un impatto inferiore. Androxgh0st scende al terzo posto fortemente ridimensionato. Al secondo posto torna a farsi vedere Remcos.

Nello specifico, la minaccia più importante risulta essere ancora FakeUpdates (downloader JavaScript in grado di scrivere i payload su disco prima di lanciarli, che ha portato a ulteriori attacchi tramite numerose altre minacce informatiche, tra cui GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult), con un impatto del 6,79%, (-0,91% rispetto a novembre ma sempre superiore all’impatto rilevato a livello globale: +1,77%).

La seconda minaccia nel nostro Paese risulta essere il malware Remcos (Remote Access Trojan apparso per la prima volta nel 2016) che torna dopo oltre un anno tra le principali minacce con un impatto del 3,61% (+1,67% rispetto al dato globale).

In terza posizione scende Androxgh0st (botnet che colpisce le piattaforme Windows, Mac e Linux e ruba informazioni sensibili), con un impatto del 3,3%, notevolmente meno rispetto al dato del novembre 2024 (-4,1%), ma sempre superiore al dato globale (+0,76%).

Tra le minacce malware più diffuse a livello globale, FakeUpdates ha recuperato il primo posto a livello globale, colpendo il 5% delle organizzazioni in tutto il mondo, seguito da vicino da AgentTesla (3%) e Androxgh0st (3%). FakeUpdates, noto anche come SocGholish, rimane un downloader versatile che introduce ulteriori payload dannosi, mentre AgentTesla continua a colpire le credenziali sensibili.

“Le ultime tendenze del crimine informatico sottolineano l’importanza della vigilanza e dell’innovazione nella sicurezza informatica. Le organizzazioni devono sfruttare misure avanzate di prevenzione delle minacce per proteggersi dall’evoluzione del panorama degli attacchi sofisticati”.

Maya Horowitz – VP of Research di Check Point Software

Famiglie di malware più diffuse

*Le frecce si riferiscono alla variazione di posizione rispetto al mese precedente.

FakeUpdates (SocGholish) ha riconquistato la posizione di malware più diffuso, con un impatto del 5% delle organizzazioni in tutto il mondo, seguito da AgentTesla e Androxgh0st entrambe con un impatto del 3%.

1. ↑ FakeUpdates (AKA SocGholish) è un downloader scritto in JavaScript. Scrive i payload su disco prima di lanciarli. FakeUpdates ha portato a ulteriori compromissioni tramite molti altri malware, tra cui GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.
2. ↑ AgentTesla è un RAT avanzato che funziona come keylogger e ruba informazioni. È in grado di monitorare e raccogliere gli input dalla tastiera della vittima, di scattare screenshot e di esfiltrare le credenziali di una serie di software installati sul computer (tra cui Google Chrome, Mozilla Firefox e il client e-mail Microsoft Outlook).
3. ↓ Androxgh0st è una botnet che colpisce le piattaforme Windows, Mac e Linux e sfrutta diverse vulnerabilità, in particolare quelle di PHPUnit, Laravel Framework e Apache Web Server. Il malware ruba informazioni sensibili come i dati dell’account Twilio, le credenziali SMTP, l’accesso a AWS, ecc. Utilizza i file Laravel per raccogliere le informazioni richieste e ha molteplici varianti che scansionano diverse informazioni.
4. ↑ Remcos è un RAT apparso per la prima volta nel 2016. Remcos si distribuisce attraverso documenti Microsoft Office dannosi, allegati a e-mail SPAM, ed è progettato per aggirare la protezione UAC di Microsoft Windowss ed eseguire il malware con privilegi di alto livello.
5. ↑ Asyncrat è un trojan che colpisce la piattaforma Windows. Questo malware invia informazioni di sistema sul sistema preso di mira a un server remoto. Riceve comandi dal server per scaricare ed eseguire plugin, uccidere processi, disinstallarsi/aggiornarsi e catturare schermate del sistema infetto.

Principali malware per dispositivi mobili

1. ↑ Anubis è un trojan bancario progettato per smartphone Android. Da quando è stato rilevato inizialmente, ha acquisito ulteriori funzioni, tra cui la funzionalità di Trojan ad accesso remoto (RAT), e di keylogger, ovvero la capacità di registrazione audio e varie funzionalità ransomware. È stato rilevato in centinaia di differenti applicazioni disponibili su Google Store.
2. ↑ Necro è un Trojan Dropper per Android. È in grado di scaricare altri malware, di mostrare annunci invadenti e di rubare denaro attraverso l’addebito di abbonamenti a pagamento.
3. ↑ Hydra è un Trojan bancario che ruba le credenziali sfruttando autorizzazioni pericolose sui dispositivi Android.

I settori più attaccati a livello globale

Per il quinto mese consecutivo, il settore dell’istruzione/ricerca si è classificato come il più attaccato a livello globale, seguito dai settori delle comunicazioni e governativo/militare. Queste tendenze sottolineano la persistente vulnerabilità dei settori che si basano fortemente su sistemi interconnessi e dati sensibili.

1. Istruzione/Ricerca
2. Comunicazioni
3. Governo/Militare

I gruppi di ransomware maggiormente rilevati

L’aumento dei gruppi di ransomware continua a dominare il panorama della sicurezza informatica. I dati dei “siti della vergogna” del ransomware rivelano che FunkSec è il gruppo più attivo a dicembre, responsabile del 14% di tutti gli attacchi pubblicati. Seguono RansomHub e LeakeData, con il 9% ciascuno.

1. FunkSec è un gruppo ransomware emergente, apparso per la prima volta nel dicembre 2024, noto per l’utilizzo di tattiche a doppia estorsione. Alcuni rapporti suggeriscono che abbia iniziato le sue operazioni nel settembre 2024. Il loro DLS (Data Leak Site) combina le segnalazioni di incidenti ransomware con quelle di violazioni di dati, contribuendo a un numero insolitamente alto di vittime segnalate.
2. RansomHub è un’operazione di Ransomware-as-a-Service (RaaS) che è emersa come versione ribrandizzata del ransomware Knight, precedentemente noto. Emerso all’inizio del 2024 nei forum clandestini di criminalità informatica, RansomHub ha rapidamente guadagnato notorietà per le sue campagne aggressive rivolte a vari sistemi, tra cui Windows, macOS, Linux e in particolare agli ambienti VMware ESXi. Questo malware è noto per l’impiego di sofisticati metodi di crittografia.
3. LeakedData è un’entità recentemente identificata che gestisce un Data Leak Site (DLS). Il sito elenca i dati delle presunte vittime e presenta un conto alla rovescia per i rilasci futuri. Nonostante si presenti come un gruppo di estorsione, il sito manca di canali di comunicazione, lasciando poco chiari la natura effettiva dell’entità, le vittime dichiarate e le intenzioni.

Il Global Threat Index di dicembre 2024 e ulteriori approfondimenti, sono disponibili nel