Top malware di dicembre 2033 di Check Point : FakeUpdates la maggiore minaccia in Italia e nel mondo

Check Point Software Technologies ha pubblicato il Global Threat Index per il mese di dicembre 2023. I ricercatori hanno identificato la resurrezione di Qbot, quattro mesi dopo che le forze dell'ordine statunitensi e internazionali ne hanno smantellato l’infrastruttura nell'operazione Duck Hunt ad agosto 2023. Nel frattempo, il downloader in JavaScript FakeUpdates è balzato al primo posto e il settore dell’istruzione è rimasto quello più colpito a livello mondiale.

In Italia, a dicembre si confermano le minacce che già a novembre avevano insidiato il nostro Paese. La minaccia più importante rimane, infatti, FakeUpdates (un downloader JavaScript in grado di scrivere i payload su disco prima di lanciarli, che ha portato a ulteriori attacchi tramite numerose altre minacce informatiche, tra cui GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult), con un impatto del 5,03%, +1,6% rispetto a novembre e oltre il 2,7% in più rispetto all’impatto globale. La seconda minaccia più importante nel nostro Paese si conferma essere Blindingcan (trojan ad accesso remoto di origine nord coreana) che in Italia ha avuto un impatto del 3,95%, anch’esso in crescita rispetto a novembre (+0,7%) e ancora notevolmente più alto rispetto a quanto rilevato a livello mondiale (0,20%). Il malware Formbook (Infostealer che colpisce il sistema operativo Windows), risulta essere la terza minaccia nel nostro Paese con un impatto del 2,8% (-0,39% rispetto a novembre), anch’esso superiore all’impatto globale, che è del 2,02%.

Il mese scorso, il malware Qbot è stato utilizzato dai criminali informatici come parte di un attacco di phishing su scala limitata che ha preso di mira le organizzazioni del settore alberghiero. Nella campagna, i ricercatori hanno scoperto che gli hacker si sono spacciati per l'Internal Revenue Service, parte del Dipartimento del Tesoro degli Stati Uniti, e hanno inviato e-mail malevole contenenti allegati PDF con URL collegati a un programma di installazione Microsoft. Una volta attivato, il programma attivava una versione non visibile di Qbot che sfruttava una Dynamic Link Library (DLL) incorporata. Prima dell'eliminazione ad agosto, Qbot dominava la classifica delle minacce, posizionandosi tra i primi tre malware più diffusi per 10 mesi consecutivi. Sebbene non sia rientrato nell'elenco, i prossimi due mesi determineranno se riacquisterà la notorietà che ha avuto in passato.

Nel frattempo, FakeUpdates ha continuato la sua ascesa dopo essere riemerso alla fine del 2023, raggiungendo il primo posto con un impatto globale del 2%. Anche Nanocore ha mantenuto una posizione nella top five per sei mesi consecutivi, conquistando il terzo posto a dicembre, e ci sono infine state nuove entrate con i malware Ramnit e Glupteba.

Check Point Research ha inoltre rivelato che "Apache Log4j Remote Code Execution (CVE-2021-44228) e "Web Servers Malicious URL Directory Traversal" sono state le vulnerabilità più sfruttate che hanno interessato il 46% delle organizzazioni in tutto il mondo. Segue subito dopo "Zyxel ZyWALL Command Injection (CVE-2023-28771)" con un impatto globale del 43% e la notorietà precedente.