Cover Image

Questa botnet è tornata in azione diffondendo una nuova campagna di ransomware tramite e-mail di phishing

13 Luglio 2020 - Tempo di lettura: 10 minuti

Una famosa campagna botnet è cresciuta in attività nell'ultimo mese, con i criminali informatici che la utilizzano per distribuire una campagna ransomware insieme ad altri malware.

I ricercatori del fornitore di sicurezza informatica Check Point hanno analizzato le più comuni minacce informatiche rivolte alle organizzazioni per il report Most Wanted Malware di giugno 2020 e hanno visto un enorme aumento degli attacchi provenienti dalla botnet Phorpiex.

Phorpiex è noto per la distribuzione di una serie di campagne antimalware e antispam, tra cui campagne e-mail di sextortion su larga scala, ma nel corso di giugno il numero di rilevamenti è aumentato in modo significativo rispetto a maggio.

L'aumento dei rilevamenti di Phorpiex è cresciuto a tal punto che è stata la seconda campagna di malware più rilevata nel mese di giugno, essendo stata classificata al 13 maggio a maggio. Il numero di tentativi di attacco è stato così elevato che il botnet ha preso di mira il 2% delle organizzazioni.

La botnet invia e-mail di spam che tentano di fornire un payload dannoso alle vittime. Nell'ultimo mese è stato utilizzato per alimentare una campagna di ransomware Avaddon.

Questa particolare famiglia di ransomware è apparsa solo a giugno e Phorpeix tenta di indurre le vittime ad aprire un allegato file zip in un'e-mail di phishing che utilizza un emoji occhiolino come oggetto. Potrebbe sembrare una forma base di attacco informatico, ma i criminali non lo userebbero se non funzionasse.

In precedenza, Phorpiex - noto anche come Trik - è stato utilizzato per distribuire campagne spam per altre forme di ransomware, tra cui GandCrab e Pony, oltre a essere utilizzato per estrarre criptovaluta su macchine infette.

"Le organizzazioni dovrebbero educare i dipendenti su come identificare i tipi di malspam che portano queste minacce, come l'ultima campagna indirizzata agli utenti con e-mail contenenti un wink emoji e assicurando che implementino una sicurezza che impedisca loro di infettare attivamente le loro reti", ha avvertito Check Point ricercatori in un post sul blog .

Mentre gli attacchi di Porpiex sono aumentati in modo significativo, il malware più comunemente rilevato durante il mese di giugno è stato Agent Tesla, un trojan avanzato di accesso remoto che è stato rilevato come target del 3% delle organizzazioni.

L'agente Tesla è un ladro di informazioni e un keylogger, che offre agli aggressori la possibilità di vedere assolutamente tutto sul computer infetto, inclusi nomi utente, password, cronologia del browser, informazioni di sistema e altro, tutto ciò che serve per compromettere notevolmente una rete.

Il terzo malware più rilevato di giugno è stato XMRig, un malware di mining di criptovaluta open source che utilizza la potenza della CPU delle macchine infette per generare Monero. È attivo da maggio 2017.

Il resto dei primi 10 malware più ricercati di giugno è composto da nomi familiari tra cui Dridex, Trickbot, Ramnit ed Emotet che sono stati a lungo elementi base dell'attività cyber-criminale, sia rubando informazioni da soli, sia essendo utilizzati come trampolino di lancio per campagne molto più distruttive. Ad esempio, Trickbot ed Emotet vengono spesso utilizzati come primo stadio degli attacchi ransomware su larga scala.

Molte delle forme più comuni di malware si basano su exploit e vulnerabilità conosciute da tempo, quindi possono essere protette dall'applicazione di patch di sicurezza, che in alcuni casi sono disponibili da anni.

intopic.it