Tre loader di malware, QBot, SocGholish e Raspberry Robin, sono responsabili dell’80% degli attacchi osservati su computer e reti quest’anno. Questi loader sono diventati un punto focale per le squadre di sicurezza, poiché rappresentano una minaccia significativa per le organizzazioni e sono di interesse primario per il settore della cybersecurity.
QBot: l’agile
QBot, noto anche come QakBot, QuackBot e Pinkslipbot, è stato il loader più osservato tra il 1° gennaio e il 31 luglio, responsabile del 30% dei tentativi di intrusione registrati. Originariamente un trojan bancario di 16 anni, QBot si è evoluto per consegnare ransomware, rubare dati sensibili e consentire movimenti laterali attraverso ambienti organizzativi. Di recente, ha adottato nuovi metodi di consegna di malware e infrastrutture di comando e controllo, con un quarto di questi attivi solo per un giorno.
SocGholish: l’inganno
SocGholish, il secondo loader più diffuso, è un frammento di codice basato su JavaScript che prende di mira Windows. È stato collegato all’Evil Corp della Russia e all’access broker Exotic Lily. SocGholish viene generalmente distribuito tramite compromissioni drive-by e campagne di ingegneria sociale, presentandosi come un falso aggiornamento. Una volta scaricato, rilascia il codice dannoso sul dispositivo della vittima. Negli ultimi tempi, gli operatori di SocGholish hanno effettuato “attacchi watering hole aggressivi”, compromettendo e infettando siti web di grandi organizzazioni.
Raspberry Robin: l’evoluzione
Raspberry Robin, che completa la top tre, prende di mira i sistemi Windows ed è evoluto da un worm che si diffonde tramite unità USB. Queste unità USB infette contengono file .lnk dannosi che, quando eseguiti, comunicano con il server di comando e controllo, stabiliscono la persistenza e eseguono ulteriori malware sul dispositivo infetto. Raspberry Robin è stato utilizzato per consegnare ransomware come Clop e LockBit, nonché malware come TrueBot, Flawed Grace e Cobalt Strike.
Gli attacchi informatici continuano a evolversi, e i loader di malware come QBot, SocGholish e Raspberry Robin rappresentano una minaccia crescente per le organizzazioni. La capacità di riconoscere e fermare questi loader potrebbe prevenire gravi infezioni da malware all’interno delle organizzazioni. Le squadre di sicurezza devono rimanere vigili e aggiornate sulle ultime minacce per proteggere le loro reti e dati.