Per la prima volta il Trojan bancario IcedID è entrato nella classifica globale dei malware più diffusi al mondo, conquistando il secondo posto dopo aver sfruttato la pandemia di COVID-19 per attirare nuove vittime. 

Questo il risultato del Check Point’s Global Threat Index di marzo di quest'anno. Secondo i ricercatori della società, mentre Icedid è entrato nell'indice per la prima volta, il Trojan Dridex si è confermato il malware più virulento del mese di marzo. 

Osservato per la prima volta nel 2017, Icedid si è diffuso a macchia d'olio durante il mese di marzo attraverso diverse campagne di spam e ha colpito l'11% delle aziende in tutto il mondo.  

Queste campagne di spam utilizzavano come tema il COVID-19 per attirare le vittime ad aprire allegati dannosi. 

Icedid fa anche uso di altri malware per proliferare ed è stato utilizzato come fase iniziale di infezione in diverse operazioni di ransomware. 

Maya Horowitz, direttore di Threat Intelligence & Research, Products di Check Point, ha affermato che questo Trojan gira già da alcuni anni e che ora viene ampiamente utilizzato, dimostrando così che gli hacker adottano costantemente nuove tecniche per sfruttare le aziende utilizzando ultimamente anche la pandemia come esca per le vittime. 

"Icedid è un trojan particolarmente evasivo che utilizza una serie di tecniche per rubare dati finanziari, quindi le aziende devono necessariamente avere sistemi di sicurezza solidi per evitare che le loro reti siano compromesse e al tempo stesso minimizzare i rischi", ha aggiunto. "Una formazione completa per tutti i dipendenti è fondamentale, in modo che tutti siano dotati delle competenze necessarie per identificare i tipi di email dannose che diffondono Icedid e altri malware." 

Le vulnerabilità più sfruttate 

Check Point Research ha anche messo in guardia sul fatto che "HTTP Headers Remote Code Execution (CVE-2020-13756)" è la vulnerabilità sfruttata più comune e colpisce il 45% delle aziende a livello globale, seguita da "Mvpower DVR Remote Code Execution" che ha colpito il 44% delle organizzazioni. 

Dasan GPON Router Authentication Bypass (CVE-2018-10561) è al terzo posto nella lista delle vulnerabilità più sfruttate, con un impatto mondiale del 44%. 

Il Global Threat Impact Index di Check Point e la sua Threatcloud Map sono supportati dall'intelligence Threatcloud di Check Point, una rete collaborativa finalizzata alla lotta al cyber crime, che fornisce dati sulle minacce e le tendenze di attacco. Il database Threatcloud ispeziona oltre 3 miliardi di siti Web e 600 milioni di file al giorno e identifica più di 250 milioni di attività di malware quotidianamente. 

Trojan Icedid: La nuova Emotet? 

IcedID sembra quindi aver preso il posto del famoso trojan Emotet recentemente interrotto, secondo i ricercatori. 

Icedid (alias Bokbot) somiglia molto ad Emotet, in quanto si tratta di un malware modulare utilizzato inizialmente come trojan bancario per rubare informazioni finanziarie, per poi diventare un “contagocce” per altri malware, esattamente come Emotet. 

Il malware si è diffuso a ritmi crescenti, grazie ad una serie di campagne e-mail con allegati fogli di calcolo Microsoft Excel. 

Infatti, nei primi tre mesi dell'anno, la telemetria di Uptyc ha segnalato più di 15.000 richieste HTTP da più di 4.000 documenti dannosi, la maggior parte dei quali (il 93 per cento) fogli di calcolo Microsoft Excel con estensioni .XLS o .XLSM. 

Una volta aperto l’allegato, alle vittime viene chiesto di "abilitare il contenuto" per visualizzare il messaggio. Abilitare il contenuto consente di eseguire le formule macro di Excel 4 incorporate. 

Gli attaccanti sfruttano questa funzionalità per incorporare dei comandi che di solito comportano scaricare un payload dannoso dall'URL utilizzando le formule nel documento." Gli URL generalmente appartengono a siti legittimi ma compromessi. 

Guardando più in profondità, gli esperti sono stati in grado di vedere somiglianze tra tutti gli attacchi, suggerendo una campagna coordinata. Ad esempio, tutti i documenti avevano nomi relativi ad urgenze lavorative, come ad esempio "in ritardo", "reclamo" o "reclamo e richiesta di risarcimento", insieme a una serie casuale di numeri.  

Le macro utilizzavano tre tecniche per rimanere nascoste: "Dopo l'indagine, abbiamo identificato tre tecniche interessanti utilizzate per ostacolare l'analisi", hanno osservato i ricercatori. "Nascondere le formule macro in tre fogli diversi; mascherare la formula macro utilizzando un carattere bianco su sfondo bianco; e restringere il contenuto della cella e rendere invece invisibile il contenuto originale." 

Tweet