Check Point Research mette in guardia dalla nuova campagna ChromeLoader denominata “Shampoo” che colpisce gli utenti di Chrome con annunci falsi pieni di malware. Il settore delle comunicazioni è salito al secondo posto nella classifica dei settori più colpiti a livello globale.
Milano – 12 settembre 2023 — Check Point® Software Technologies Ltd. (NASDAQ: CHKP), il principale fornitore di soluzioni di cybersecurity a livello globale, ha pubblicato il suo Global Threat Index per il mese di agosto 2023. I ricercatori hanno segnalato una nuova variante del malware ChromeLoader, che prende di mira gli utenti del browser Chrome con annunci falsi e con estensioni dannose. Nello stesso periodo, il settore delle comunicazioni è risultato essere il secondo più colpito a livello globale, scalzando, per la prima volta quest’anno, la sanità dalla lista.
ChromeLoader è un hijacker pervasivo e persistente del browser Google Chrome, scoperto per la prima volta nel 2022. Classificato al decimo posto nella classifica delle famiglie di malware più diffuse ad agosto, è progettato per installare segretamente estensioni dannose attraverso pubblicità fasulle sui browser. Nel caso della campagna “Shampoo”, le vittime vengono indotte a eseguire file VBScript che installano estensioni Chrome dannose. Una volta installate, possono raccogliere dati personali e disturbare la navigazione con annunci indesiderati.
In agosto, l’FBI ha annunciato un’importante vittoria nella sua operazione globale contro Qbot (alias Qakbot). Nell’operazione “Duck Hunt” l’FBI ha, infatti, preso il controllo della botnet, ha rimosso il malware dai dispositivi infetti e ha identificato un numero considerevole di dispositivi colpiti. Qbot si è evoluto in un servizio di distribuzione di malware utilizzato per varie attività criminali informatiche, compresi gli attacchi ransomware. In genere si diffonde attraverso campagne di phishing e collabora con altri software malevoli. Sebbene sia rimasto il malware più diffuso ad agosto, Check Point ha osservato una diminuzione significativa del suo impatto dopo l’operazione.
Il mese scorso, inoltre, il settore delle comunicazioni, a livello globale, ha conquistato il secondo posto tra i comparti più colpiti, superando per la prima volta nel 2023 quello della sanità. Quest’anno sono stati numerosi gli esempi di organizzazioni del settore che hanno subito attacchi informatici. A marzo, il gruppo di cyber-spionaggio APT41, sponsorizzato dallo Stato cinese, ha preso di mira il settore delle telecomunicazioni in Medio Oriente. Gli attori della minaccia si sono infiltrati nei server Microsoft Exchange rivolti a Internet per eseguire comandi, condurre ricognizioni, rubare credenziali ed eseguire attività di movimento laterale e di esfiltrazione dei dati.
“L’eliminazione di QBot è stata una svolta significativa nella lotta contro la criminalità informatica. Tuttavia, non possiamo compiacerci perché quando uno cade, un altro poi sorgerà per prenderne il posto“, ha dichiarato Maya Horowitz, VP Research di Check Point Software. “Dobbiamo tutti rimanere vigili, collaborare e continuare a praticare una buona prevenzione di sicurezza su tutti i vettori di attacco“.
Anche ad agosto 2023 in Italia la minaccia più grande è rappresentata dal malware Qbot, con un impatto del 5,7% (si conferma il trend di riduzione con -0,4% rispetto a luglio 2023) rispetto al 5,34% a livello globale, seguito da Blindingcan (trojan ad accesso remoto di origine nord coreana) che in Italia ha avuto un impatto del 3,73%, in calo di -1,16% ma ancora notevolmente più alto rispetto a quanto rilevato a livello mondiale (0,21%). Il malware FromBrook (Infostealer che colpisce il sistema operativo Windows) scalza Remcos dal terzo posto e fa registrare nel nostro Paese un impatto del 3,04% abbassando anche in questo caso il suo impatto (-0,18%). Si registra una importante riduzione della minaccia di Remcos, che dal 4,33% è scesa a 1,58%.
CPR ha anche rilevato che “HTTP Headers Remote Code Execution” è stata la vulnerabilità più sfruttata, con un impatto sul 40% delle organizzazioni a livello globale, seguita da “Command Injection Over HTTP” che ha avuto un impatto sul 38% delle organizzazioni a livello mondiale. “MVPower CCTV DVR Remote Code Execution” si è piazzata al terzo posto con un impatto globale del 35%.