FakeUpdates, Remcos e AgentTesla in cima alle classifiche dei malware nell'ondata di attacchi stealth

Il report di Check Point sul malware di aprile 2025 rivela attacchi sempre più sofisticati e nascosti che utilizzano malware noti come FakeUpdates, Remcos e AgentTesla. Il settore dell'istruzione rimane il più preso di mira. Scopri le ultime minacce informatiche e come proteggerti.

Check Point Research (CPR) ha pubblicato i suoi risultati di aprile 2025, che descrivono una preoccupante tendenza degli aggressori a utilizzare metodi più complessi e subdoli per diffondere software dannoso. Sebbene alcune famiglie di malware note rimangano diffuse, i metodi utilizzati per infettare i sistemi stanno diventando più sofisticati, rendendoli più difficili da rilevare.

Secondo il CPR, la maggior parte degli attacchi scoperti ad aprile riguardava email di phishing camuffate da conferme d'ordine. Queste email contenevano un file 7-Zip nascosto che rilasciava istruzioni criptate, consentendo l'installazione di malware comuni come AgentTesla, Remcos e XLoader.

Gli attacchi sono stati particolarmente preoccupanti per la loro natura ben nascosta, che prevedeva l'utilizzo di script codificati e l'iniezione di software dannoso in processi Windows legittimi. I ricercatori hanno inoltre notato una "pericolosa convergenza tra strumenti di uso comune e tattiche avanzate da parte di attori di minacce", che significa che anche malware di base vengono ora utilizzati in operazioni altamente sofisticate, si legge nel post sul blog di CPR.

Nonostante questi nuovi metodi subdoli, alcuni nomi noti sono rimasti in cima alla lista dei malware più diffusi ad aprile, tra cui i seguenti:

Questo malware è rimasto il più diffuso, colpendo il 6% delle organizzazioni a livello globale. Induce gli utenti a installare falsi aggiornamenti del browser da siti web compromessi ed è stato collegato al gruppo hacker russo Evil Corp. e viene utilizzato per distribuire ulteriore software dannoso.

Questo strumento di accesso remoto, spesso diffuso tramite documenti dannosi nelle e-mail di phishing, è in grado di aggirare le funzionalità di sicurezza di Windows, offrendo agli aggressori un controllo di alto livello sui sistemi infetti.

AgentTesla, uno strumento avanzato , può registrare le sequenze di tasti premuti, rubare password, acquisire screenshot e rubare le credenziali di accesso per varie applicazioni. È venduto online senza problemi.

L'analisi delle famiglie di malware ha rivelato un aumento dell'utilizzo di Androxgh0st, che prende di mira le applicazioni web per rubare informazioni sensibili, mentre l'uso dello strumento di accesso remoto AsyncRat è diminuito. Tra le altre famiglie degne di nota nella top ten figurano Formbook , Lumma Stealer , Phorpiex, Amadey e Raspberry Robin .

Ad aprile, SatanLock è emerso come un nuovo gruppo ransomware, elencando numerose vittime sul suo sito di fuga di dati. Tuttavia, la maggior parte di queste vittime era già stata rivendicata da altri gruppi, a indicare un ambiente potenzialmente competitivo all'interno della comunità dei criminali informatici. Inoltre, Akira è risultato il gruppo ransomware più diffuso, seguito da SatanLock e Qilin.

I dispositivi mobili rimangono un obiettivo significativo, con Anubis , AhMyth e Hydra in cima alla lista dei malware per dispositivi mobili di aprile. La cosa più preoccupante è che questi malware stanno diventando sempre più sofisticati, offrendo accesso remoto, funzionalità ransomware e intercettazioni tramite autenticazione a più fattori.

Inoltre, per il terzo mese consecutivo, il settore dell'istruzione è rimasto il più vulnerabile a livello globale, probabilmente a causa dell'ampia base di utenti e della debolezza delle infrastrutture di sicurezza informatica. I settori governativo e delle telecomunicazioni hanno seguito da vicino. L'analisi regionale ha invece mostrato tendenze diverse per quanto riguarda i malware: in America Latina e nell'Europa orientale si sono verificati più attacchi FakeUpdates e Phorpiex, mentre in Asia si è assistito a un aumento dell'attività di Remcos e AgentTesla.

Considerato questo ambiente di minacce informatiche sempre più complesso e persistente, il CPR raccomanda alle organizzazioni di adottare una strategia di "prevenzione prima di tutto", che comprenda la formazione dei dipendenti sul phishing, aggiornamenti software regolari e l'implementazione di soluzioni avanzate di prevenzione delle minacce per rilevare e bloccare questi attacchi sofisticati prima che possano causare danni.