10 malware più pericolosi

Così come la tecnologia continua ad evolversi, di pari passo crescono le insidie del web.

Virus e malware diventano sempre più numerosi, aggressivi e sofisticati.

Per questo abbiamo deciso di stilare una classifica dei dieci malware più pericolosi in circolazione nel 2022.

Ma quali sono le caratteristiche che li rendono così dannosi?

Nei prossimi paragrafi ci occuperemo di approfondirne caratteristiche e modalità d’infezione.

Cosa sono i malware

Partiamo dal principio: cosa sono i malware?

I malware sono dei programmi dannosi che mettono a rischio un sistema informatico.

Lo scopo dei malware è

  • rubare,
  • criptare o eliminare i dati,
  • alterare o compromettere le funzioni fondamentali di un dispositivo
  • e spiare le attività degli utenti senza che questi se ne accorgano o forniscano un’autorizzazione.

Vediamo adesso quali sono i più temibili e come riconoscerli.

CLOP Ransomware

Il CLOP Ransomware è un pericoloso malware che crittografa i file salvandoli con l‘estensione .clop.

Il nome di questo ransomware proviene da “Klop” , che in russo significa “cimice dei letti”: un insetto che si nutre di sangue umano, di solito di notte.

Esso sfrutta l’AES (Advanced Encryption Standard) per

  • crittografare immagini, video, musica, articoli di database
  • e allegare l’estensione  .clop che impedisce alle vittime di accedere ai dati personali.

Ad esempio, un qualsiasi file di tipo “file.jpg”, una volta criptato in “file.jpg.clop”, viene reso inaccessibile all’utente. in questo modo, le vittime sono spinte a pagare un riscatto entro un limite di tempo per sbloccare i loro documenti.

Il ransomware CLOP è annoverato in questa classifica perché è in grado di infettare la maggior parte delle versioni dei sistemi operativi (anche i più recenti), riuscendo a

  • non essere intercettato da numerosi antivirus
  • e disabilitando centinaia di applicazioni.

Inoltre, grazie agli ultimi aggiornamenti, questa variante del ransomware CryptoMix, è in grado di disabilitare e crittografare anche intere reti, moltiplicando, quindi, gli introiti per ogni device collegato.

Trickbot

Trickbot è un Trojan di livello avanzato che si diffonde principalmente da campagne di spearphishing utilizzando e-mail personalizzate: queste contengono allegati o collegamenti dannosi che, se aperti, eseguono malware.

Le e-mail di phishing di solito contengono collegamenti che reindirizzano a un sito web compromesso: da qui la vittima è spinta a fare clic su una prova fotografica della violazione avvenuta.

Nell’aprire la foto, la vittima scarica inconsapevolmente un file JavaScript che comunica automaticamente con il server per scaricare Trickbot nel sistema operativo.

Questo malware, scoperto nel 2016, è un Trojan sviluppato e gestito da un sofisticato gruppo di cybercriminali.

Originariamente progettato come Trojan bancario per rubare dati finanziari, Trickbot si è evoluto per condurre svariate attività informatiche illegali, come reperire informazioni private (ad esempio dati di login).

Per difendersi contro Trickbot, la CISA (Cybersecurity and Infrastructure Security Agency) e l’FBI raccomandano di implementare misure come

  • il blocco di indirizzi IP sospetti
  • l’utilizzo di antivirus
  • e un’adeguata formazione del personale su ingegneria sociale e phishing.

Zeus Gameover

Zeus Gameover (Goz), è una variante peer-to-peer (P2P) della famiglia di malware Zeus identificato a settembre 2011.

Goz,  spesso distribuito attraverso messaggi di spam e phishing, viene utilizzato principalmente dai cybercriminali per raccogliere informazioni bancarie, come le credenziali di accesso al conto corrente, dal computer di una vittima.

Le varianti precedenti del malware Zeus utilizzavano un’infrastruttura botnet di tipo Command&Control centralizzata per eseguire i comandi.

Goz, invece, utilizza una rete P2P di host infetti per

  • comunicare
  • e distribuire dati

impiegando la crittografia per eludere il rilevamento.

Senza un punto debole evidente, questa rete di dispositivi infetti rende più difficili gli sforzi per individuarlo ed eliminarlo.

Formbook

Formbook è un malware  scoperto per la prima volta nel 2016.

Ruba vari tipi di dati dai sistemi infetti, comprese le credenziali memorizzate nella cache del browser.

Può anche essere utilizzato come downloader,

  • scaricando
  • ed eseguendo

ulteriori file dannosi.

Funziona con un malware come servizio (MAAS), che i criminali informatici possono acquistare a un prezzo relativamente basso, quasi come acquistassero un normale software da internet.

Secondo il Rapporto sulla Sicurezza Informatica del 2022 di Check Point, Formbook era il terzo malware più prolifico nel 2021, con ben il 5% delle reti aziendali compromesse.

Agent Tesla

L’Agent Tesla è un Trojan estremamente popolare scritto per il framework  .NET e scoperto nel 2014.

Gli allegati dannosi nelle e-mail di phishing sono il metodo di distribuzione più comune per la sua diffusione.

Viene utilizzato come gli altri per rubare dati sensibili dal dispositivo di una vittima, ad esempio

  • credenziali dell’utente,
  • sequenze di digitazione dei tasti,
  • dati degli appunti ecc.

Queste informazioni estratte vengono poi inviate ad un server di Command & Control attraverso un protocollo SMTP (Simple Mail Transfer Protocol) e FTP (File Transfer Protocol), per poter essere

  • scambiate
  • o utilizzate per ricattare.

È inoltre venduto e distribuito su forum e piattaforme di hacking a disposizione di chiunque, il che ha contribuito a renderlo  estremamente popolare.

Fleeceware

Fleeceware è un tipo di applicazione mobile malware che attiva spese di abbonamento nascoste ed eccessive.La traduzione dell’inglese “to fleece”, infatti, corrisponde proprio al verbo “spennare”

E’ bene sottolineare che l’appellativo app fleeceware non si riferisce ad uno specifico applicativo mobile, ma a tutta una gamma di applicazioni presenti sugli app-store che presentano le medesime modalità di funzionamento. Tra queste si possono annoverare a titolo di esempio: Selfie Art – Photo Editor, Palmistry Decoder, ecc.

Questa tipologia di applicazioni, solitamente gratis o a bassissimo costo, sfrutta le dimenticanze degli utenti nell’annullare le prove gratuite di abbonamento. Spesso, infatti, gli utenti credono erroneamente che disinstallando l’applicazione venga meno anche la sottoscrizione, ma in realtà il malware continua ad addebitare denaro anche molto tempo dopo la disinstallazione.

A differenza delle app progettate appositamente per rubare informazioni personali o infettare dispositivi con malware, le applicazioni fleeceware

  • funzionano apparentemente come app legittime,
  • non contengono codice dannoso
  • forniscono brevi prove gratuite del servizio,
  • dopodiché addebitano all’utente esosi abbonamenti con rinnovo automatico.

Poiché questa tipologia di app non è tecnicamente illegale, supera facilmente i processi di controllo di Google Play e AppleStore: pertanto, gli utenti sono indotti a pensare che queste app siano sicure e non si rendono conto della truffa fino a quando non ricevono l’addebito indesiderato.

Data questa sua caratteristiche a metà tra il legale e l’illegale, non è difficile immaginare come, a partire dal 2020, si siano registrati oltre 600 milioni di download.

Dorkbot

Dorkbot è un malware già ampiamente noto sin dal 2012.

Funge essenzialmente da

  • downloader
  • e launcher

per condurre attacchi informatici o rubare dati.

Una volta infettato il device, Dorkbot

  • interrompe le normali attività
  • e blocca l’accesso ai server di aggiornamento.

Oltre a sottrarre le password di social come Facebook e Instagram, questo malware installa uno script dannoso appartenente a una delle numerose famiglie di malware esistenti, così da ottenere il pieno controllo di un dato sistema.

Spesso Dorkbot rilascia nei sistemi corrotti anche delle varianti di Kasidet, un malware utilizzato per sferrare attacchi DDoS, e Lethic, una famosa spambot.

AlienBot

AlienBot (o semplicemente Alien) è il nome di uno dei malware che mira principalmente agli utenti Android.

Di solito, i pirati informatici che lo utilizzano tentano di ottenere informazioni riservate associate ad applicazioni finanziarie e conti correnti.

AlienBot infetta tramite un dropper (un virus progettato per installare il suo payload) che si diffonde su Google Play Store.

Se il dispositivo Android infetto interrompe le installazioni di app scaricate da fonti sconosciute, il dropper fa visualizzare una falsa richiesta di servizi di Google Play che chiede di avviare l’installazione. Se installato, AlienBot prende di mira le applicazioni finanziarie e cerca di rubare le credenziali di accesso e i codici 2FA (autenticazione a due fattori).

Questo malware Android può rubare le credenziali di accesso da oltre 200 applicazioni (e-mail, social media e altre app).

Può anche essere utilizzato per

  • registrare gli SMS,
  • raccogliere informazioni sul dispositivo,
  • controllare i contatti e l’elenco delle app installate,
  • effettuare richieste USSD,
  • ascoltare chiamate in entrata, e molto altro.

xHelper

Xhelper è stato scoperto nel marzo 2019 e si è subito dimostrato difficile da identificare ed eliminare. Malwarebytes ha aggiunto questo Android Trojan nella sua lista di malware mobili più rilevati.

Xhelper fa parte della famiglia di Trojan Droppers che distribuisce malware su dispositivi mobili. Ha rapidamente infettato oltre 45.000 dispositivi durante un periodo di sei mesi nel 2019. Quel numero da allora ha incessantemente continuato ad aumentare.

Una delle sue caratteristiche è la resistenza a qualsiasi forma di

  • rilevamento
  • e cancellazione.

Gli utenti possono persino eseguire il reset di fabbrica, ma il malware ricompare e rimane nel dispositivo.

Pare essere anche in grado di modificare una libreria di sistema (libc.so) per evitare che gli utenti lo reinstallino.

Altra caratteristica sono i pop-up invadenti e lo spam, con pubblicità e promozioni di altri siti e servizi che generano entrate pay-per-click. Questi sono tutti esempi della versione “visibile” di Xhelper che, una volta installato, crea un’icona nelle notifiche denominata appunto “Xhelper”.

Esiste anche una variante più furtiva. Questa è considerata la più pericolosa, in quanto non solo può infettare dispositivi con minacce più dannose, ma addirittura compromettere le impostazioni del dispositivo infetto.

È una versione invisibile perché con l’installazione non vengono create icone tra le notifiche. Questo malware, infatti, è progettato per rimanere nascosto non apparendo nel launcher di sistema.

FluBot

Flubot è un malware che infetta solo i telefoni Android ed è mascherato da app. Nonostante abbia fatto la sua prima apparizione nel gennaio 2020, l’inizio del 2022 ha visto un forte aumento dei casi di flubot.

La radice del suo nome “flu” in inglese significa influenza e, proprio come l’influenza umana,  si diffonde rapidamente e ampiamente.

Flubot può diffondersi in diversi modi: il metodo più comune è rappresentato dai messaggi di testo.

Le vittime del virus ricevono un messaggio in varie lingue che indica ad esempio di fare clic su un link per tracciare il proprio pacco in consegna.

Le versioni alternative del messaggio chiedono agli utenti di fare clic su un link per

  • controllare la posta vocale
  • o scaricare un importante aggiornamento di sicurezza tramite un link di phishing.

Successivamente la vittima viene reindirizzata ad una pagina web.

A seconda del contenuto del messaggio, la pagina chiede all’utente di scaricare

  • un’app di tracciamento per i servizi di consegna,
  • un’app di posta vocale
  • o un aggiornamento di sicurezza.

Addirittura, in caso di aggiornamento di sicurezza falso, il malware comunica agli utenti di essere stati infettati da flubot e che l’aggiornamento aiuterà a rimuoverlo!

Se l’utente accetta, un file APK infettato da flubot viene scaricato e installato sul proprio dispositivo. Durante il processo di installazione, l’applicazione richiede diverse autorizzazioni per

  • accedere agli elenchi di contatti,
  • leggere e scrivere messaggi di testo
  • e avviare chiamate telefoniche.

In sintesi, l’app ottiene il controllo delle funzioni più importanti di un dispositivo Android. In questo, Flubot è abbastanza simile ad un Trojan in quanto si maschera come un’applicazione legittima per infettare un dispositivo.

Conclusioni

Al giorno d’oggi, vista la sempre maggiore sofisticazione degli attacchi informatici  è importante che le aziende si affidino a consulenti esperti in sicurezza informatica.

Fare affidamento solo sulle proprie forze, infatti, potrebbe rivelarsi del tutto controproducente se non si dispone di personale in grado di far fronte alle sempre nuove minacce del web.

Cyberment Srl

Cyberment è un’azienda specializzata in consulenza di sicurezza informatica. Il nostro red team è composto da hacker etici e specialisti in cybersecurity che operano in questo settore da oltre 20 anni.

Ci occupiamo di identificare le vulnerabilità informatiche nei sistemi e nelle applicazioni web tramite servizi di Vulnerability Assessment e Penetration Test.

Siamo un’azienda di sicurezza informatica certificata ISO 9001, ISO 27001, nonché azienda etica. Abbiamo sede legale a Milano e sede operativa a Porto Mantovano, mentre Londra è il cuore del nostro reparto ricerca e sviluppo.

Se desideri conoscere in modo approfondito i nostri servizi di prevenzione dalle minacce informatiche, contattaci!