venerdì 8 giugno 2018

Per la prima volta dal 2016 i trojan bancari superano i ransomware ( e Trickbot torna alla carica)


Proofpoint ha pubblicato il Report del primo Trimestre del 2018, con i dati relativi alle minacce informatiche rilevate a partire dal Gennaio 2018. Il primo dato rilevante è che c'è stata una forte riduzione dei ransomware, che si erano mantenuti saldamente sul primo gradino del podio delle minacce informatiche più diffuse nel 2016/2017. Riddotte quindi le massicce campagne finalizzate alla distribuzione di Ransomware, sono i trojan bancari, i data stealer e i RAT (remote access trojan) a farla da padroni nel 2018. Si è notata anche una forte crescita di frodi online basate su tecniche di ingegneria sociale, ma anche frodi legati a falsi supporti tecnici. 

Trojan bancari vs Ransomware
Per la prima volta dal secondo trimestre 2016 i trojan bancari superano i ransomware, risultando così il tipo di malware più presente nelle email truffaldine: i trojan bancari sono stati circa il 59% di tutti i payload pericolosi individuati a partire da quest anno. Il più distribuito è stato Emotet. Gli stealer per il furto delle credenziali si sono attestati al 19%, i downloader al 18%. 

Exploit kit e attacchi web-based
Il traffico Exploit kit ha subito un drastico calo rispetto al precedente trimestre: -71%. Il dominio degli exploit kit è stato rovesciato dagli attacchi basati sul web con schemi di ingegneria sociale.

Frodi via email
Tra le aziende colpite, il 40% ha ricevuto tra i 10 e 50 attacchi solo nel primo trimestre 2018. Le aziende che hanno subito più di 50 attacchi sono cresciute del 20% rispetto allo scorso anno. 

La novità
Sono letteralmente esplose in questo 2018 le truffe avvenute tramite falso supporto social media: +200% rispetto al trimestre precedente. 

Trickbot di nuovo in diffusione: 
Trickbot è un trojan bancario (ne abbiamo parlato qui) molto diffuso e in continua evoluzione. E' stato individuato recentemente un nuovo modulo che consente al malware di nascondersi nello schermo del PC della vittima e prenderne il controllo: utilizza la tecnica "Hidden VNC" (virtual network computer) che consente appunto all'attaccante di visualizzare e controllare da remoto il desktop della vittima. Questa volta però, e qui sta la novità, il malware riesce a operare senza bisogno di ottenere le credenziali. Il malware crea prima di tutto un desktop virtuale: una funzionalità che è presente su Windows da molto tempo, ma poco nota. E' stato infatti solo con Windows 10 che è stata introdotta un'app integrata per gestire questa funzionalità. 


Trickbot riesce quindi a intercettare "l'impronta digitale" del browser delle vittime, ovvero il sistema di riconoscimento tramite il quale i siti bancari e finanziari verificano l'identità dell'utente: dalla geolocalizzazione dell'indirizzo IP, impostazioni del browser ecc... è quel meccanismo tramite il quale i siti riconoscono come "trusted device" il dispositivo usato per l'accesso con credenziali. Con queste operazioni l'attaccante riesce quindi ad avere accesso agli account bancari e finanziari senza che la vittima ne abbia consapevolezza. 

Nessun commento:

Posta un commento