Netskope ha pubblicato una ricerca secondo cui i download di phishing hanno registrato un forte aumento del 450% negli ultimi 12 mesi, alimentato dagli aggressori che utilizzano tecniche di ottimizzazione dei motori di ricerca (SEO) per migliorare il posizionamento dei file PDF dannosi sui motori di ricerca più diffusi, tra cui Google e Bing.
Motori di ricerca PDF dannosi
Le principali categorie di referrer web contengono alcune categorie tradizionalmente associate al malware, in particolare shareware/freeware, ma sono dominate da categorie non convenzionali. L’ascesa dell’uso dei motori di ricerca per diffondere il malware negli ultimi 12 mesi fornisce un’idea di quanto alcuni aggressori siano diventati abili nel SEO. I download di malware inviati dai motori di ricerca erano prevalentemente file PDF dannosi, tra cui molti CAPTCHA falsi che reindirizzavano gli utenti a siti web di phishing, spam, truffe e malware.
Il rapporto ha anche rilevato che la maggior parte del malware negli ultimi 12 mesi è stato scaricato dalla stessa regione della vittima, una tendenza in crescita che indica la crescente sofisticazione dei criminali informatici, che più spesso mettono in scena il malware per evitare i filtri di geofencing e altre misure di prevenzione tradizionali.
I risultati rivelano che gli aggressori tendono a colpire le vittime situate in una regione specifica con malware ospitati nella stessa regione. Nella maggior parte delle regioni, la maggior parte dei download di malware proviene dalla stessa regione della vittima. Ciò è particolarmente vero per il Nord America, dove l’84% di tutti i download di malware da parte di vittime nordamericane è stato scaricato da siti web ospitati in Nord America.
“Il malware non è più confinato nelle tradizionali categorie di siti web a rischio. Ora si annida ovunque, dalle applicazioni cloud ai motori di ricerca, mettendo le organizzazioni più a rischio che mai“, ha dichiarato Ray Canzanese, Threat Research Director di Netskope. “Per evitare di cadere vittima di queste tecniche di social engineering e di metodi di attacco mirati, i responsabili della sicurezza devono rivedere regolarmente la loro strategia di protezione dalle minacce informatiche e assicurarsi che tutti i possibili punti di ingresso siano presi in considerazione“.
Altri risultati chiave
I trojan continuano a dimostrarsi efficaci:
- I trojan rappresentano il 78% di tutti i download di malware dal cloud e dal web, in quanto gli aggressori utilizzano tecniche di social engineering per ottenere un punto d’appoggio iniziale e per fornire una serie di payload successivi, tra cui backdoor, infostealer e ransomware. Non esiste una singola famiglia di Trojan che sia dominante a livello globale. Le 10 principali famiglie di Trojan rappresentano solo il 14% di tutti i download, mentre il restante 86% proviene da famiglie meno comuni.
- Il cloud e il web sono la coppia perfetta per gli aggressori: Il 47% dei download di malware proviene da applicazioni cloud rispetto al 53% dei siti web tradizionali, poiché gli aggressori continuano a utilizzare una combinazione di cloud e web per colpire le loro vittime.
- Le app di archiviazione cloud più diffuse continuano a essere la fonte della maggior parte dei download di malware cloud. Tra i principali referenti di app cloud figurano anche le app di collaborazione e webmail, dove gli aggressori possono inviare messaggi direttamente alle vittime in molte forme diverse, tra cui e-mail, messaggi diretti, commenti e condivisioni di documenti.
- I file di malware di Microsoft Office sono scesi ai livelli precedenti all’emorragia: I file EXE e DLL rappresentano quasi la metà di tutti i download di malware, poiché gli aggressori continuano a prendere di mira Microsoft Windows, mentre i file dannosi di Microsoft Office sono in calo e sono tornati ai livelli pre-Emotet. Ciò è dovuto in gran parte agli avvisi e ai controlli di sicurezza proattivi introdotti nell’ultimo anno da fornitori di tecnologia come Google e Microsoft.
