Il malware è un termine generico che si riferisce a qualsiasi software dannoso o indesiderato, come virus, trojan, worm e ransomware. Questi programmi sono progettati per causare danni al sistema target o per raccogliere informazioni personali senza il consenso dell’utente.
I pericoli del malware sono molteplici e possono includere la perdita di dati, la violazione della sicurezza, il rallentamento del sistema, il furto di informazioni personali e il danneggiamento delle apparecchiature.
Inoltre, il malware può essere utilizzato per diffondere ulteriori minacce informatiche, come ad esempio il phishing, o per attaccare altri computer e reti.
I rischi connessi al malware dipendono dal tipo di minaccia e dalle conseguenze per l’utente o l’organizzazione. Ad esempio, il ransomware può bloccare l’accesso ai dati o al sistema fino a quando non viene pagato un riscatto, mentre il furto di informazioni personali può portare a truffe o violazioni della privacy.
Infine, il malware può causare danni finanziari diretti, come il costo della pulizia del sistema o il mancato guadagno a causa dell’interruzione delle attività.
Analisi del malware: metodologie e strumenti per capire gli attacchi informatici
Indice degli argomenti
Le minacce malware attualmente più attive
Zeus Gameover
Questo tipo di malware fa parte della famiglia dei malware “Zeus”. Zeus Gameover è un trojan (un malware camuffato da qualcosa di legittimo) che mira a ottenere informazioni finanziarie, con le quali rubare ciò che si trova in un conto bancario.
Gli esperti affermano che l’aspetto più difficile da contrastare di questo malware è il fatto che non richiede un server di “comando e controllo” centralizzato per completare le transazioni, rendendo quindi complicato per gli investigatori e le forze dell’ordine identificare i criminali dietro questi attacchi.
Zeus Gameover bypassa efficacemente i server centralizzati, creando server indipendenti con cui condividere i dati. In breve, risulta quasi impossibile determinare dove sono finiti i dati rubati.
Agent Tesla
Agent Tesla è uno spyware potente, “facile da usare” e proprio per questo motivo particolarmente diffuso negli ambienti del cyber crimine. In particolare, è un trojan ad accesso remoto (RAT) che esfiltra le credenziali, registra i tasti premuti, copia i dati della clipboard (quello che copiamo) e raccoglie le immagini dal computer di una vittima.
Negli ultimi anni, il malware Agent Tesla ha visto un enorme aumento di popolarità e sono più di 6.000 gli utenti con intenzioni malevole che pagano quote di abbonamento per ottenere la licenza di utilizzo di questo software.
Il malware include una vasta gamma di funzionalità progettate per aumentare il rischio di non essere rilevato dai sistemi di rete e spesso arriva sotto forma di allegato di posta elettronica.
Emotet
Allo stato attuale è sicuramente la minaccia più famosa. Fondamentalmente, è la botnet di maggior successo esistente.
Il suo compito è inviare campagne di malspam a miliardi di e-mail al giorno. Le macro sono il tipico vettore di infezione che richiede alla vittima di “abilitare il contenuto” nell’allegato del documento dell’ufficio.
Alla luce di questo particolare comportamento di Emotet e della sua diffusione, da quest’anno persino Microsoft ha previsto, negli ultimi aggiornamenti della suite Office, la disabilitazione delle macro come impostazione predefinita.
Qbot
Qbot (oppure Qakbot) è probabilmente il più vecchio trojan infostealing che riceve ancora aggiornamenti tutt’oggi. È stato identificato anche all’interno di campagne di malspam con allegati e collegamenti a siti Web compromessi, governate da Emotet.
Il suo lavoro è simile a Trickbot e Dridex nel spostarsi attraverso la rete e infettare l’intero ambiente. lo scopo è consentire l’accesso a quanti più dati possibile da esfiltrare per l’estorsione e per prepararsi alla fase finale dei payload del ransomware. Poiché il ransomware è la strategia di alto livello per monetizzare un ambiente infetto, Qbot è stato visto collaborare con molti gruppi ransomware di grandi nomi come Conti, ProLock ed Egregor.
FormBook
FormBook è stato il malware più utilizzato nelle attività criminali online durante il mese di agosto di quest’anno, battendo Emotet dal primo posto per la prima volta in nove mesi consecutivi. Il software per il furto di informazioni è disponibile per i criminali informatici di qualsiasi livello come malware-as-a-service ed è noto per le sue forti tecniche di evasione e il prezzo relativamente basso. Lo si noleggia e chiunque, anche con basse competenze informatiche, può adoperarlo.
Il malware prende di mira i computer Windows e, una volta distribuito, “può raccogliere credenziali, schermate, monitorare e registrare sequenze di tasti, nonché scaricare ed eseguire file in base ai suoi ordini di comando e controllo (C&C)”, secondo una ricerca portata avanti da Check Point.
AlienBot e Joker
AlienBot e Joker sono trojan bancari per il sistema operativo Android di Google. Venduti come malware-as-a-Service, hanno molte delle stesse funzionalità dei RAT, come il furto di credenziali e la registrazione dei touch. Inoltre hanno anche sviluppato capacità di registrazione audio e raccolta di SMS. Nello specifico Joker effettua iscrizioni a servizi SMS premium che fanno perdere denaro alle vittime con abbonamenti mensili.
IcedID
Popolare trojan bancario che utilizza tecniche evasive come l’iniezione di processi e la steganografia e ruba dati finanziari tramite attacchi di reindirizzamento e di web injection. IcedID è stato il vero dominatore in Italia per gran parte del 2022, secondo una recente ricerca di CheckPoint.
Consigli per difendersi dai malware
Per proteggersi dal malware è importante adottare delle buone pratiche di sicurezza, come:
- tenere il sistema e gli antivirus aggiornati: gli aggiornamenti di sistema e gli antivirus includono spesso patch per vulnerabilità note e possono aiutare a proteggere il sistema dalle minacce;
- fare attenzione alle email e ai siti Web sospetti: non aprire allegati o link sospetti provenienti da mittenti sconosciuti o non attendibili, e prestare attenzione ai siti Web che potrebbero essere stati creati con l’obiettivo di diffondere malware;
- utilizzare un firewall: un firewall aiuta a proteggere il sistema dalle connessioni indesiderate e a bloccare il traffico sospetto;
- utilizzare una password sicura e diversa per ogni account: le password deboli possono essere indovinate o crackate facilmente, quindi è importante utilizzare password sicure e diverse per ogni account;
- fare un backup regolare dei dati: in caso di attacco di ransomware o altre minacce che possono causare la perdita di dati, avere un backup può aiutare a ripristinare i file senza dover pagare il riscatto.