FakeUpdate: malware duro a morire

Il malware si conferma come la principale minaccia sia in Italia che a livello globale. Nel frattempo, si registra il ritorno di Remcos, che ha soppiantato Androxgh0st, ormai notevolmente ridotto. FunkSec emerge come una minaccia ransomware controversa, potenziata dall'uso dell'intelligenza artificiale The post FakeUpdate: malware duro a morire first appeared on Hackerjournal.it.

Gen 26, 2025 - 13:00

Check Point Software Technologies ha pubblicato il suo Global Threat Index per dicembre 2024, evidenziando l’aumento della sofisticazione dei criminali informatici. In particolare, si segnala l’ascesa di FunkSec, un gruppo di ransomware-as-a-service (RaaS) che sfrutta l’intelligenza artificiale e ha registrato oltre 85 vittime nel mese di dicembre. Nonostante ciò, Check Point Research ha messo in dubbio la credibilità di molte delle richieste, definendole riciclate o non verificate. FunkSec, legato all’Algeria, sembra motivato sia da guadagni finanziari che da ideologie hacktiviste.

In Italia, FakeUpdates continua a essere la minaccia principale, seppur con un impatto ridotto, mentre Remcos risale al secondo posto e Androxgh0st scende al terzo. A livello globale, FakeUpdates rimane la minaccia più diffusa, seguito da AgentTesla e Androxgh0st. FakeUpdates, un downloader JavaScript, è responsabile di numerosi attacchi, mentre AgentTesla è focalizzato sul furto di credenziali.

Famiglie di malware più diffuse

*Le frecce si riferiscono alla variazione di posizione rispetto al mese precedente.

FakeUpdates (SocGholish) ha riconquistato la posizione di malware più diffuso, con un impatto del 5% delle organizzazioni in tutto il mondo, seguito da AgentTesla e Androxgh0st entrambe con un impatto del 3%.

↑ FakeUpdates (AKA SocGholish) è un downloader scritto in JavaScript. Scrive i payload su disco prima di lanciarli. FakeUpdates ha portato a ulteriori compromissioni tramite molti altri malware, tra cui GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.
↑ AgentTesla è un RAT avanzato che funziona come keylogger e ruba informazioni. È in grado di monitorare e raccogliere gli input dalla tastiera della vittima, di scattare screenshot e di esfiltrare le credenziali di una serie di software installati sul computer (tra cui Google Chrome, Mozilla Firefox e il client e-mail Microsoft Outlook).
↓ Androxgh0st è una botnet che colpisce le piattaforme Windows, Mac e Linux e sfrutta diverse vulnerabilità, in particolare quelle di PHPUnit, Laravel Framework e Apache Web Server. Il malware ruba informazioni sensibili come i dati dell’account Twilio, le credenziali SMTP, l’accesso a AWS, ecc. Utilizza i file Laravel per raccogliere le informazioni richieste e ha molteplici varianti che scansionano diverse informazioni.
↑ Remcos è un RAT apparso per la prima volta nel 2016. Remcos si distribuisce attraverso documenti Microsoft Office dannosi, allegati a e-mail SPAM, ed è progettato per aggirare la protezione UAC di Microsoft Windowss ed eseguire il malware con privilegi di alto livello.
↑ Asyncrat è un trojan che colpisce la piattaforma Windows. Questo malware invia informazioni di sistema sul sistema preso di mira a un server remoto. Riceve comandi dal server per scaricare ed eseguire plugin, uccidere processi, disinstallarsi/aggiornarsi e catturare schermate del sistema infetto.

Principali malware per dispositivi mobili

↑ Anubis è un trojan bancario progettato per smartphone Android. Da quando è stato rilevato inizialmente, ha acquisito ulteriori funzioni, tra cui la funzionalità di Trojan ad accesso remoto (RAT), e di keylogger, ovvero la capacità di registrazione audio e varie funzionalità ransomware. È stato rilevato in centinaia di differenti applicazioni disponibili su Google Store.
↑ Necro è un Trojan Dropper per Android. È in grado di scaricare altri malware, di mostrare annunci invadenti e di rubare denaro attraverso l’addebito di abbonamenti a pagamento.
↑ Hydra è un Trojan bancario che ruba le credenziali sfruttando autorizzazioni pericolose sui dispositivi Android.