Fortgale & Malware

Emotet, attivo dal 2014, è fra i malware più utilizzati dai criminali per la     compromissione delle postazioni di lavoro delle Aziende italiane.

Dopo l’installazione nel sistema vittima ne   ruba le password salvate nei Browser (   accessi bancari, posta elettronica  , portali aziendali ).  Viene spesso utilizzato come “cavallo di troia” per l’installazione di altre tipologie di Malware ( Trickbot o IcedID ).

Trickbot, attivo dal 2016, è un Trojan bancario modulare sviluppato da WIZARD SPIDER con il principale scopo di sottrarre le credenziali delle vittime. Nel corso degli anni sono state colpite le aziende e i privati su scala globale.

A seguito dell’infezione (solitamente tramite spearphishing) consente l’implementazione di funzionalità aggiuntive, come la raccolta dei dati, la ricognizione e il movimento laterale nella rete locale della vittima.

Spesso viene utilizzato come accesso iniziale che poi può essere venduto ad altri gruppi criminali.

Ursnif è uno dei malware più diffusi in Italia, ogni anno si registrano diverse campagne con target le aziende italiane.

I primi samples sono stati rilevati nel 2015 e in questi anni le sue funzionalità hanno subito delle variazioni, ma il metodo di propagazione e infezione è rimasto uguale. Solitamente sfrutta un allegato malevolo all’interno delle mail di phishing  per installarsi nei sistemi delle vittime.

Le sue funzionalità principali consistono nel rubare le informazioni relative a banche, wallets e delle cryptomonete; inoltre, può anche eseguire ulteriori operazioni come: prelevare altre informazioni relative all’utente, creare screenshot e web injections.

Agent Tesla è uno spyware capace di rubare le informazioni relative alle credenziali dei browser, dei servizi FTP, di Windows, delle mail e delle VPN.

Nel corso del tempo sono state sviluppate anche altre funzionalità come: raccolta informazioni riguardo l’hardware dei sistemi della vittima, creazione di screenshot, download ed esecuzione di ulteriori eseguibili, log dei tasti premuti e della clipboard.

Formbook è un Data Stealer distribuito come Maas (Malware as a Services) attivo dal 2016, che ha l’obbiettivo di esfiltrare credenziali e informazioni personali delle vittime. Fornisce ai malintenzionati meno esperti la possibilità di  eseguire campagne d’attacco in pochi click affittandolo a prezzi relativamente bassi (qualche centinaio di euro).

Nel corso del tempo il malware ha subito numerosi aggiornamenti, spesso viene distribuito tramite campagne malspam e allegati malevoli. 

QakBot è un trojan bancario modulare attivo dal 2007.

Nel corso del tempo ha subito diverse modifiche passando dall’essere un “semplice” info stealer fino a diventare un dropper per alcuni ransomware come ProLock ed Egregor.

Tuttavia, il sistema di infezione è rimasto pressochè invariato, sfruttando campagne di malspam con allegati o link malevoli.