Gli ultimi quattro mesi sono stati il ​​periodo delle vacanze estive per molti di noi nell’emisfero settentrionale. Sembra che anche alcuni operatori di malware abbiano colto questo momento come un'opportunità per riposarsi, rifocalizzarsi e rianalizzare le loro attuali procedure e attività.

Secondo la nostra telemetria, agosto è stato un mese di ferie per gli operatori di Emotet, il ceppo di downloader più influente. Il gruppo dietro questo attacco si è adattato anche alla decisione di Microsoft di disabilitare le macro VBA nei documenti provenienti da Internet e si è concentrato su campagne basate su file Microsoft Office e file LNK trasformati in armi.

Nel secondo trimestre del 2, abbiamo assistito alla continuazione del forte calo degli attacchi Remote Desktop Protocol (RDP), che probabilmente hanno continuato a perdere vigore a causa della guerra Russia-Ucraina, insieme al ritorno post-COVID negli uffici e al miglioramento generale della sicurezza delle aziende. ambienti aziendali.

Anche se i numeri sono in calo, gli indirizzi IP russi continuano a essere responsabili della maggior parte degli attacchi RDP. Nel primo trimestre del 1, la Russia è stata anche il paese maggiormente preso di mira dai ransomware, con alcuni attacchi motivati ​​politicamente o ideologicamente dalla guerra. Tuttavia, come leggerete nel report ESET sulle minacce T2022 2, questa ondata di hacktivismo è diminuita nel T2022 e gli operatori di ransomware hanno rivolto la loro attenzione verso Stati Uniti, Cina e Israele.

In termini di minacce che colpiscono soprattutto gli utenti domestici, abbiamo riscontrato un aumento di sei volte nei rilevamenti di esche di phishing a tema di spedizione, che nella maggior parte dei casi presentano alle vittime false richieste DHL e USPS per verificare gli indirizzi di spedizione.

Uno skimmer web noto come Magecart, che ha visto un aumento di tre volte nel primo trimestre del 1, ha continuato a essere la principale minaccia che perseguita i dettagli delle carte di credito degli acquirenti online. Il crollo dei tassi di cambio delle criptovalute ha influito anche sulle minacce online: i criminali si sono rivolti al furto delle criptovalute invece che al mining, come si è visto in un duplice aumento delle esche di phishing a tema criptovaluta e in un numero crescente di cryptostealer.

Gli ultimi quattro mesi sono stati interessanti anche dal punto di vista della ricerca. I nostri ricercatori hanno scoperto qualcosa precedentemente sconosciuto backdoor di macOS e in seguito lo attribuirono a ScarCruft, scoprì una versione aggiornata del gruppo APT Sandworm Caricatore di malware ArguePatch, scoprì Lazzaro payload in app con trojan, e analizzò un esempio del Lazzaro Campagna Operazione In(ter)ception prendere di mira i dispositivi macOS durante lo spearphishing nelle acque crittografiche. Hanno anche scoperto vulnerabilità del buffer overflow nel firmware Lenovo UEFI e una nuova campagna utilizzando a falso aggiornamento di Salesforce come un'esca.

Negli ultimi mesi, abbiamo continuato a condividere le nostre conoscenze alle conferenze sulla sicurezza informatica Virus Bulletin, Black Hat USA, RSA, CODE BLUE, SecTor, REcon, LABSCon e BSides Montreal, dove abbiamo divulgato i nostri risultati sulle campagne implementate da OilRig, APT35, Agrius, Sandworm, Lazarus e POLONIUM. Abbiamo anche parlato del futuro delle minacce UEFI, analizzato il caricatore unico che abbiamo chiamato Wslink e spiegato come ESET Research esegue l'attribuzione di minacce e campagne dannose. Per i prossimi mesi, saremo lieti di invitarvi alle conferenze ESET presso AVAR, Ekoparty e molti altri.

Ti auguro una lettura approfondita.

Segui Ricerca ESET su Twitter per aggiornamenti regolari sulle tendenze chiave e sulle principali minacce.