A settembre sempre più malware criptomining contro Apple
Check Point Software ha pubblicato il Global Threat Index di settembre, rivelando un aumento di quasi il 400% di malware criptomining contro gli iPhone tramite il malware Coinhive, che continua a occupare la prima posizione di questa speciale classifica dal dicembre 2017. Coinhive ha colpito il 19% delle organizzazioni di tutto il mondo, mentre in Italia ha interessato il 17% delle organizzazioni, con un aumento del 4% rispetto al mese precedente.
I ricercatori di Check Point hanno inoltre osservato un significativo aumento di questa tipologia di attacco contro PC macOS e dispositivi mobile che utilizzano Safari, browser principale utilizzato dai dispositivi Apple. Cryptoloot invece è salito al terzo posto del Global Threat Index, diventando il secondo criptominer più diffuso; inoltre, mira al primato di Coinhive chiedendo ai siti web una percentuale di ricavo inferiore rispetto a Coinhive.
“Il criptomining continua a essere la minaccia dominante a livello globale che le organizzazioni devono affrontare ogni giorno” ha commentato Maya Horowitz, Threat Intelligence Group Manager di Check Point. “La cosa più interessante è l’aumento quadruplo degli attacchi contro iPhone e i dispositivi che utilizzano il browser Safari, durante le ultime due settimane di settembre. Attacchi come questi servono a ricordare che i dispositivi mobile sono un elemento spesso trascurato nella linea di difesa di un’organizzazione; quindi è fondamentale che questi siano protetti con una soluzione completa di prevenzione dalle minacce, per evitare che diventino il punto debole delle difese di sicurezza aziendale.”
Nel mese di settembre Dorkbot, un trojan bancario, con lo scopo principale di rubare informazioni sensibili e lanciare attacchi denial-of-service, è rimasto al secondo posto con un impatto globale del 7%. I tre malware più diffusi a settembre 2018 sono stati così Coinhive, Dorkbot e Cryptoloot. Ancora una volta Lokibot, un trojan bancario che colpisce i sistemi Android e che ruba informazioni, è stato il malware più utilizzato per attaccare le proprietà mobile delle organizzazioni, seguito da Lotoor e Triada.
I ricercatori di Check Point hanno anche analizzato le vulnerabilità informatiche più sfruttate dai criminali informatici. Al primo posto si è classificata CVE-2017-7269, con un impatto globale del 48%. Al secondo posto si è classificata CVE-2017-5638 con un impatto del 43%, seguita da vicino dai server Web PHPMyAdmin Misconfiguration Code Injection che ha interessato il 42% delle organizzazioni.
La Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) è una vulnerabilità a causa della quale, inviando una richiesta a una rete Microsoft Windows Server 2003 R2 tramite Microsoft Internet Information Services 6.0, un hacker potrebbe eseguire un codice arbitrario o causare una negazione delle condizioni del servizio sul server di destinazione. Ciò è dovuto principalmente a una vulnerabilità di overflow del buffer causata da una errata convalida di un header lungo nella richiesta HTTP.
La OpenSSL tls_get_message_body Function init_msg Structure Use After Free (CVE-2016-6309) è invece una vulnerabilità use-after-free riprodotta nella funzione tls_get_get_message_body di OpenSSL. Un attacco remoto, non autenticato, potrebbe sfruttare questa vulnerabilità inviando un messaggio personalizzato al server vulnerabile. Lo sfruttamento permette all’aggressore di eseguire un codice arbitrario sul sistema. La vulnerabilità Web servers PHPMyAdmin Misconfiguration Code Injection è infine dovuta a un errore di configurazione di PHPMyAdmin. Un aggressore remoto può sfruttare questa vulnerabilità inviando una richiesta HTTP appositamente creata per il target da colpire.