WatchGuard Technologies: due terzi del malware è crittografato e invisibile senza l’ispezione HTTPS

watchguard

WatchGuard Technologies ha appena rilasciato il suo nuovo Internet Security Report riferito a Q1 2020. Per la prima volta in assoluto, questo report include dati sulla percentuale di malware che viene distribuito attraverso connessioni HTTPS crittografate.

Lo studio mostra che il 67% di tutto il malware di Q1 è stata diffusa tramite HTTPS, pertanto le organizzazioni prive di soluzioni di sicurezza in grado di ispezionare il traffico crittografato non riusciranno a individuare i due terzi delle minacce in arrivo.

Inoltre, il 72% del malware crittografato è stato classificato come zero day (ossia non esiste alcuna firma antivirus per bloccarlo). Questi risultati confermano che l’ispezione HTTPS e le soluzioni avanzate di rilevamento e risposta alle minacce basate sul comportamento sono oramai requisiti fondamentali per aumentare la sicurezza aziendale. Il rapporto include anche una sezione speciale che illustra in dettaglio l’impatto del Covid-19 sul panorama delle minacce.

«Alcune organizzazioni sono riluttanti a impostare l’ispezione HTTPS a causa del lavoro aggiuntivo richiesto, ma i nostri dati sulle minacce mostrano chiaramente che la maggior parte del malware viene distribuito attraverso connessioni crittografate e lasciare che il traffico non venga ispezionato non è più un’opzione possibile» ha affermato Corey Nachreiner, chief tecnology officer di WatchGuard.

L’Internet Security Report di WatchGuard ci dice inoltre che aumentano di popolarità i cryptominer Monero. Cinque dei primi dieci domini che hanno distribuito malware nel primo trimestre (identificati dal servizio di DNS filtering di WatchGuard, DNSWatch) hanno ospitato o controllato cryptominer Monero. Questo improvviso salto potrebbe essere semplicemente dovuto alla loro utilità; l’aggiunta di un modulo di crittografia al malware è un modo semplice per i criminali online di generare reddito passivo.

Inoltre, le varianti di malware Flawed-Ammyy e Cryxos entrano a far parte delle top list. Il trojan Cryxos è risultato terzo nella lista di WatchGuard dei cinque principali malware crittografati e terzo nella lista dei primi cinque rilevamenti di malware più diffusi, indirizzati principalmente verso Hong Kong. Viene consegnato come allegato di posta elettronica mascherato come una fattura e chiede all’utente di inserire la propria e-mail e password, che quindi poi memorizza.

Flawed-Ammyy è una truffa in cui l’attaccante utilizza il software di supporto Ammyy Admin per ottenere l’accesso remoto al computer della vittima. Oltre a ciò, la vulnerabilità di Adobe che compie tre anni appare nei principali attacchi alla rete. Un exploit di Adobe Acrobat Reader, che è stato corretto nell’agosto 2017, è apparso nell’elenco degli attacchi alla rete di WatchGuard per la prima volta nel primo trimestre di quest’anno. Questa vulnerabilità riemersa diversi anni dopo essere stata scoperta e risolta illustra l’importanza di applicare patch e aggiornare regolarmente i sistemi.

Per quanto riguarda la pandemia, il primo trimestre del 2020 è stato l’inizio dei grandi cambiamenti nel panorama delle minacce informatiche provocati dal Covid-19. Nei primi tre mesi del 2020, abbiamo assistito a un massiccio aumento dei lavoratori in remoto e degli attacchi contro singoli individui.

Complessivamente ci sono stati il 6,9% in meno di attacchi malware e l’11,6% in meno di attacchi di rete nel primo trimestre, nonostante un aumento del 9% nel numero di firewall WatchGuard Firebox che contribuiscono a fornire dati. Ciò potrebbe essere attribuito a un minor numero di potenziali obiettivi che operano all’interno del tradizionale perimetro della rete con policy di “lavoro da casa”. Ad ogni modo, l’elenco dei malware più diffusi mostra che Germania e Gran Bretagna sono stati i principali obiettivi nel Q1 2020.

L’Internet Security Report di WatchGuard si basa sui dati in forma anonima provenienti dai Firebox Feed di appliance WatchGuard attive, i cui proprietari hanno acconsentito alla condivisione dei dati per supportare gli sforzi di ricerca del Threat Lab di WatchGuard. Oggi, oltre 44 mila appliance in tutto il mondo forniscono dati di intelligence sulle minacce per questo report.

Nel primo trimestre del 2020, le appliance WatchGuard hanno bloccato 32.148.519 varianti di malware in totale (730 sample per dispositivo) e più di 1.600.000 attacchi di rete (38 attacchi per dispositivo). Il report completo è disponibile a questo indirizzo.

Contatta Assitech.net: possiamo infatti distribuire e configurare questa protezione per mettere in sicurezza tutti i dispositivi della tua azienda.

Installer di Zoom compromesso da malware

zoom
zoom

Fai attenzione a cosa scarichi: oggi ci occupiamo dell’installer di Zoom.

I cybercriminali stanno cercando di approfittare della necessità di alcune persone di lavorare da casa e di aver bisogno di mettersi in contatto con i colleghi tramite videochiamate di gruppo. Stanno infatti circolando in rete alcuni installer modificati di Zoom, piattaforma esplosa in popolarità con l’arrivo dell’emergenza sanitaria, corredati di diversi tipi di malware in grado di mettere in pericolo la sicurezza degli utenti.

L’allarme di Trend Micro

Due versioni modificate del file di installazione di Zoom contengono malware decisamente pericolosi. Uno di essi installa sul PC vittima dell’attacco una backdoor in grado di permettere agli aggressori di eseguire routine dannose da remoto, l’altro compromette i computer delle vittime rendendoli parte della botnet Devil Shadow.

I malintenzionati, secondo Trend Micro, stanno probabilmente eseguendo alcuni test, una specie di ricerca e sviluppo nel mondo della sicurezza informatica, per provare a nascondere codice malevolo all’interno di applicazioni considerate sicure. Tale soluzione permetterebbe di aggirare i controlli di sicurezza e riuscire ad infiltrarsi in sistemi di alto valore come i PC aziendali.

Malware nell’installer di Zoom: come notarlo

Uno dei primi segni distintivi che preannuncia di aver a che fare con una versione modificata dell’installer originale si ha per via della lentezza nell’avvio e nell’installazione di Zoom. Questo perché l’eseguibile estrae i file pericolosi prima dell’effettiva installazione del programma di videoconferenza rallentando quindi l’operazione nel complesso. Un altro campanello d’allarme è dato dalla dimensione del file stesso: il file originale dell’installer di Zoom pesa all’incirca 11650KB mentre le varianti iniettate di codice malevolo hanno tutte dimensioni maggiori.

Per evitare questo tipo di attacco informatico è giusto ricordare che è sempre consigliato il download di programmi e app solamente dai siti ufficiali o da negozi software sicuri quali Google Play Store e Apple App Store.

Hai bisogno di assistenza? Assitech.Net può aiutarti: per ulteriori informazioni contattaci via mail a info@assitech.net

Microsoft Excel: come viene installato il nuovo Malware?

Microsoft Excel
Microsoft Excel

Bisogna sempre fare molta attenzione ai malware, che possono intrufolarsi in qualsiasi momento nei dispositivi che utilizziamo abitualmente. Nonostante le misure di sicurezza sempre all’avanguardia, gli hacker trovano sempre il modo di aggirare le protezioni e installare malware.

Il nuovo metodo per installare malware sui computer dei malcapitati prevede l’utilizzo di Microsoft Excel, in modo da cercare di aggirare le misure di sicurezza.

In particolare, stando anche a quanto riportato da MSPowerUser e come scritto dalla società di Redmond sul profilo Twitter Security Intelligence, il gruppo di criminali TA505, noto anche come SectorJo4, sta sfruttando un file legato al programma di Microsoft per diffondere dei trojan RAT, in grado di accedere da remoto ai computer delle vittime. L’obiettivo è chiaramente quello di ottenere dati sensibili.

Il metodo è il seguente: i malintenzionati inviano alla vittima un messaggio di posta elettronica contenente un file HTML in allegato. Quest’ultimo è in grado di scaricare e aprire automaticamente Dudear, un file Excel dannoso che dichiara di essere protetto e chiede all’utente di mettere in atto delle semplice azioni per essere “sbloccato”. Tuttavia, una volta premuto il pulsante “Abilita modifica”, il file dannoso è in grado di installare dei malware.

Oltre al succitato trojan RAT, il computer della vittima viene infettato anche tramite i malware bancari Dridex e Trick. Sembra inoltre che i malintenzionati stiano diffondendo dei trojan che tengono traccia dell’indirizzo IP e stiano sfruttando GraceWire, un malware noto per la sua capacità di rubare informazioni sensibili.

Insomma, i criminali si stanno servendo di Microsoft Excel per cercare di ottenere i permessi per installare miriadi di programmi dannosi sul computer della vittima. Se vi trovate dinanzi ad un allegato del genere, cestinatelo immediatamente!