Il rapporto sulle minacce malware del primo trimestre 2020 di Avira aveva evidenziato minacce informatiche ed exploit che comprendevano campagne di phishing e malspam, oltre a un’impennata di attacchi legati a Emotet.
Questo rapporto di metà anno sulle minacce malware fornisce invece informazioni utili più approfondite sulla sofisticatezza degli attacchi, che includono le categorie di minacce PE (Portable Executable) e non PE e quelle rivolte ad Android e macOS. Analizzeremo anche più da vicino gli attacchi sempre maggiori indirizzati a Office e i malware per i dispositivi IoT osservati da Avira Protection Labs.
Gli hacker sono passati da attacchi di grandi dimensioni a strategie più sofisticate
Nel secondo trimestre del 2020 abbiamo assistito a un calo molto modesto dei rilevamenti totali. Questa riduzione complessiva dei rilevamenti può essere attribuita al fatto che gli autori di malware sono passati da attacchi di grande portata a metodologie più complesse e sofisticate, sfruttando MS Office e le minacce basate su script. Sebbene i dispositivi mobili abbiano subito meno attacchi rispetto al primo trimestre del 2020, gli adware e le PUA continuano a crescere.
Il termine PE, abbreviazione di “Portable Executable”, è comunemente usato per descrivere file eseguibili binari all’interno del sistema operativo Windows. Tra i PE rientrano i tipi di file .exe e .dll e formati meno noti come .scr. I PE sono di gran lunga la struttura dati più utilizzata per gli attacchi malware sulla piattaforma Windows.
In generale, l’insieme di categorie di malware resta abbastanza invariato e vede i trojan in testa seguiti dai file infector.
Smart working durante il coronavirus: nuove opportunità per gli hacker
A causa della pandemia, nel secondo trimestre del 2020 molte più persone hanno lavorato da casa. Gli autori di malware e i criminali informatici hanno individuato l’opportunità offerta dagli utenti che lavorano fuori dal proprio ufficio e hanno adattato gli attacchi di conseguenza.
In questo trimestre abbiamo osservato non solo un’impennata di campioni non PE allo stato brado, ma anche un aumento degli attacchi (sventati) alla nostra base clienti. Le minacce non PE, come suggerisce il nome, non sono eseguibili di Windows, ma un altro mezzo per infettare le macchine. In questa categoria troviamo file Office, script, PDF e altri exploit.
Abbiamo assistito a un aumento significativo dei rilevamenti di minacce basate su script (73,55%) e degli attacchi che sfruttano le macro di Office (30,43%). Possiamo inoltre notare una tendenza mensile ad allontanarsi dai PDF e un forte aumento degli attacchi JavaScript.
Esaminando in dettaglio le prime 10 minacce non PE, riscontriamo lo stesso andamento. I rilevamenti di Office e basati sul web occupano le prime posizioni:
l’aumento di gran lunga più significativo è stato osservato nei documenti Office che utilizzano tecniche con macro Excel 4.0 o XLM. Nell’ultimo anno, questa strategia ha guadagnato popolarità tra gli autori di malware. Come illustrato nella figura di seguito, il picco è stato raggiunto a maggio, seguito da una tendenza al ribasso nel mese di giugno.
In breve, si tratta di una tecnica antica e ben nota, ma questa nuova campagna ha utilizzato alcuni trucchi per confondere gli utenti: alcuni sfruttavano proprietà nascoste o ben nascoste per camuffare i fogli che contenevano il codice della macro, mentre altri erano protetti da password.
Romania, Italia e Francia tra i paesi europei più attaccati
La media europea per numero medio di attacchi rilevati si colloca più in basso e, tra questi, la Romania è lo stato membro più colpito, con 436 attacchi ogni 10 000 clienti. Altri paesi degni di nota: USA e Francia (117), Italia (109), Regno Unito (100), Germania (71), Canada (65).
Nel trimestre precedente si è assistito a un’aggressione a tutto campo della pandemia di COVID-19, che ha lasciato il segno nell’ecosistema Android. Gli autori di malware hanno sfruttato questo caos insieme al bisogno di informazioni e protezione degli utenti Android.
Tutti i tipi di malware, dagli spyware e adware fino ai più sofisticati trojan bancari ed SMS stealer, sono stati distribuiti sotto la bandiera delle app correlate alla COVID-19. In precedenza, avevamo analizzato il ciclo di infezione del trojan bancario Cerberus.
I dispositivi Apple sono più sicuri, ma non a prova di hacker
Sebbene sia ancora credenza comune che macOS non venga toccato da malware, in realtà il sistema Apple si trova spesso ad affrontare attacchi basati su Office e script, comprese le minacce adware.
Nel grafico a torta qui sopra vediamo un insieme di minacce che colpiscono i dispositivi Apple. Per quanto riguarda le categorie di minacce, gli adware sono in cima alla lista, seguiti da HTML (file in grado di infettare il sistema utilizzando uno script HTML), Office (malware pronti a infettare il sistema utilizzando trucchi come macro e script VBA all’interno del file Office) ed exploit (questi file sfruttano le vulnerabilità presenti nel sistema preso di mira o in specifiche applicazioni installate sullo stesso). La categoria Altro include file dannosi rilevati come macOS (malware che utilizzano binari specifici di macOS), file che utilizzano estensioni di file false o nascoste, phishing e PUA.
Figura 11: categorie di minacce macOS nel secondo trimestre 2020
