Check Point Software ha pubblicato il Global Threat Index di dicembre rivelando che SmokeLoader, un second-stage downloader noto ai ricercatori dal 2011, è salito di 11 posti piazzandosi al nono posto della Top 10 delle minacce informatiche. Dopo un’impennata in Ucraina e Giappone, il suo impatto globale è cresciuto del 20%, arrivando anche in Italia con una percentuale maggiore (1.91 vs 2.09). SmokeLoader viene utilizzato principalmente per caricare altri malware, come Trickbot Banker, AZORult Infostealer e Panda Banker.

Il cryptomining malware continua a guidare la classifica, con Coinhive che mantiene la prima posizione per il 13esimo mese di fila e con un impatto del 12% sulle organizzazioni mondiali (8% in Italia). XMRig è stato invece il secondo malware più diffuso con una portata globale dell’8%, seguito da vicino dal miner JSEcoin al terzo posto, con un impatto globale del 7%. Le organizzazioni continuano a essere bersaglio dei cryptominer, nonostante un calo complessivo del valore di tutte le criptovalute nel 2018.

Il report ha anche mostrato trojan bancari in aumento, come Ramnit, un trojan bancario che ruba le credenziali di login e altri dati sensibili, tornato nella Top 10 di questo mese e piazzatosi all’ottavo posto.

“L’improvvisa impennata di SmokeLoader rafforza la crescente tendenza verso il malware malevolo e multiuso, con i primi 10 divisi equamente tra criptominer e malware che utilizzano diversi metodi per distribuire numerose minacce. La diversità dei malware presenti nel report significa che è fondamentale che le imprese utilizzino una strategia di sicurezza informatica multi-livello che protegga sia da malware già noti, sia da nuove minacce” ha commentato Maya Horowitz, Threat Intelligence and Research Group Manager di Check Point.

1088_Cryptocurrency3

Triada, malware modulare per Android, ha mantenuto il suo primo posto tra i malware mobile. Guerilla si è piazzato al secondo posto sostituendosi a Hiddad, mentre Lotoor ha rimpiazzato, al terzo posto, Lokibot, trojan bancario che colpisce i sistemi Android e che ruba informazioni.

I ricercatori di Check Point hanno anche analizzato le vulnerabilità informatiche più sfruttate. Al primo posto si è classificato CVE-2017-7269, il cui impatto globale è aumentato leggermente, al 49%, rispetto al 47% di novembre. Al secondo posto si è classificato OpenSSL TLS DTLS Heartbeat Information Disclosure, con un impatto globale del 42%, seguito da PHPMyAdmin Misconfiguration Code Injection con un impatto del 41%.

Queste le tre vulnerabilità in dettaglio.

1 – Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269). Inviando una richiesta a una rete Microsoft Windows Server 2003 R2 tramite Microsoft Internet Information Services 6.0, un hacker potrebbe eseguire un codice arbitrario o causare una negazione delle condizioni del servizio sul server di destinazione. Ciò è dovuto principalmente a una vulnerabilità di overflow del buffer causata da una errata convalida di un header lungo nella richiesta HTTP.

2 – OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346). In OpenSSL esiste una vulnerabilità che diffonde informazioni a causa di un errore durante la gestione dei pacchetti TLS/DTLS heartbeat. Un aggressore può sfruttare questa vulnerabilità per rivelare il contenuto della memoria di un client o server collegato.

3 – Web servers PHPMyAdmin Misconfiguration Code Injection. La vulnerabilità di iniezione di codice è dovuta a un errore di configurazione di PHPMyAdmin. Un aggressore remoto può sfruttare questa vulnerabilità inviando una richiesta HTTP appositamente creata per il target da colpire.