NEWS

Report 3° trimestre minacce Windows: trend per il 2019


VENERDÌ 28 DICEMBRE 2018 - 14:50


Il report trimestrale fornisce una panoramica dei rischi informatici più pericolosi e diffusi del secondo trimestre del 2018, per home user e aziende. Si divide in due sezioni, una per Windows e una per Android. Presenta statistiche di individuazione, i ransomware più pericolosi, la top 10 degli exploit per Windows, la top 10 dei malware e PUA ecc...

Nel terzo Trimestre del 2018 (Luglio-Settembre) la media delle individuazioni di malware è stata circa di 201 al minuto solo su macchine aziendali. Il numero totale di rilevazioni malware ammonta a oltre 26 milioni: in Agosto si è registrato il tasso di rilevamento più alto. Abbiamo individuato circa 17 miner di criptovaluta ogni minuto, evento che ribadisce la crescita esponenziale della diffusione di questo tipo di minaccia. La famiglia dei Trojan registra il record di individuazioni anche in questo trimestre, ribadendo il trend annuale. Oltre il 40% dei malware è stato individuato su endpoint aziendali. 

In questo articolo approfondiamo le tendenze rispetto ai rischi informatici riguardanti i sistemi aziendali Windows, utili proiezioni per comprendere quali minacce potrebbero arrivare nel 2019.

  1. Campagna malware Emotet;
  2. vulnerabilità 0-day CVE-2018-8440; 
  3. nuove campagne malware ransom-miner.
Il report completo è disponibile qui in lingua inglese.

1. Campagna malware Emotet
La campagna di distribuzione del malware Emotet esiste già da un lungo periodo. Ha degli intervalli, nei quali si manifesta con tecniche e varianti diverse: Emotet si è sopratutto specializzato nelle tecniche per evitare l'individuazione. All'inizio del 2017 abbiamo studiato una campagna Emotet nella quale il malware era diffuso tramite email contenenti allegati PDF e file JS. Attualmente sono invece in un uso documenti MS Office Word contenenti macro altamente offuscate. 

Catena di attacco:
 

Per saperne di più >>  Ripercorrendo la storia del trojan bancario Emotet

2. vulnerabilità 0-day CVE-2018-8440 
La vulnerabilità 0-day CVE-2018-8440 Windows Task Scheduler consente ad un attaccante di eseguire un "privilege elevation" sulla macchina bersaglio. Microsoft ha pubblicato a riguardo l'avviso di sicurezza CVE-2018-8440 l'11 Settembre 2018 per risolvere il problema: stando a Microsoft un eventuale exploit di questa vulnerabilità consentirebbe l'esecuzione di codice arbitrario nel contesto della sicurezza del sistema locale. 

Nel dettaglio CVE-2018-8440 è una vulnerabilità di "local privilege esclation" nell'interfaccia Local Procedure Call (ALPC) di Windows Task Scheduler's. L'endpoint ALPC in Windows Task Scheduler esporta la funzione SchRpcSetSecurity,  che permette di impostare un DACL (discretionary access control list) senza verifica delle permissioni. In ultima istanza, un exploit riuscito consente ad un utente locale senza privilegi di modificare le permissioni su qualsiasi file nel sistema. Il codice di exploit è stato pubblicato su Twitter da un ricercatore di sicurezza che si fa chiamare "SandboxEscaper". Pochi giorni dopo l'exploit è stato trovato in uso nel malware PowerPool, usato in the wild per attaccare utenti reali. 


3. nuove campagne malware ransom-miner
I Quick Heal Labs hanno osservato una serie interessante di malware bloccati sui computer dei nostri clienti. Ulteriori analisi del malware "t.exe" hanno rivelato che pare che il malware in questione sia un trojan dropper. La particolarità però è il fatto che questo malware pare avere molteplici finalità,  dato che il malware scarica diverse componenti: una ransomware, una per il miner di criptovaluta e altre con finalità diverse, in base alle indicazioni ricevute dal proprio server C&C. Attualmente è in corso una campagna che colpisce utenti finali con il ransomware GandCrab e il malware per il malware Monero Cryptominer. 

Non è possibile affermare con certezza quale sia il vettore iniziale del file "t.exe", ma sospettiamo fortemente che siano usate email di phishing per la diffusione di questo malware. La maggior parte delle email analizzate contenevano URL o allegati dannoso, entrambi finalizzati al download del malware sul sistema della vittima. 

Le ultime news

Chi siamo

Risorse

Supporto

Area informativa

 





Distributore ufficiale per l'Italia
S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482




© 2017     |     Privacy Policy     |     Cookie Policy     |     Login