La perturbazione malware continua a imperversare su scala globale. Secondo le ultime rilevazioni di Check Point le tendenze attuali evidenziano una rivisitazione di malware in circolazione da tempo. È proprio questo il caso di Kelihos, il programma nocivo più popolare del mese di febbraio, rilevato nel 12% delle organizzazioni colpite durante il periodo in esame. Si tratta di una botnet nata addirittura nel 2010 (all’epoca, come semplice campagna di spam) e apparentemente debellata l’anno successivo e poi, ancora, riemersa e nuovamente sconfitta solo in apparenza. Oggi, a detta di Check Point, Kelihos è una delle principali fonti di spam al mondo, operante attraverso una rete di 300mila macchine infette, ciascuna in grado di inviare più di 200mila messaggi al giorno. I suoi scopi variano dal semplice intasamento caselle di posta al furto di bitcoin.

La medaglia d’argento di febbraio spetta a HackerDefender, un rootkit per sistemi Windows, che ha colpito il 5% delle organizzazioni monitorate da Check Point. Questa infezione può essere usate per nascondere file, procedure e chiavi di registro, nonché per eseguire backdoor e reindirizzare le porte. Al terzo posto il ransomware Cryptowall, erede del famigerato Cryptolocker: questa minaccia ha mietuto vittime tra il 4,5% delle aziende, diffondendosi principalmente attraverso exploit kit, malvertising e campagne di phishing, e trasmettendo comunicazioni sulla rete anonima Tor. Tra i pericoli in ascesa, Check Point segnala invece il downloader Hancitor, salito di 22 posti nella classifica mondiale nel corso del mese di febbraio. Questa infezione solitamente si diffonde tramite documenti di Office contenenti delle macro e inviati come allegati di email che pretendono di comunicare messaggi importanti, fax o fatture; una volta approdato sul Pc della vittima, installa payload malevoli, come trojan bancari e ransomware.  

Per quanto riguarda i malware mobile, le varianti più attive sono state, nell’ordine, Hiddad, Hummingbad e Triada. Il primo è un malware Android che riconfeziona app legali e poi le consegna a un marketplace; il prodotto risultante può limitarsi a mostrare pubblicità non gradita o, nel peggiore dei casi, può ottenere accesso a dati custoditi nello smartphone o tablet della vittima. Altrettanto rivolto al sistema operativo del robottino, Hummingbad stabilisce un rootkit persistente sui dispositivi, installa applicazioni fraudolente, e, con poche modifiche, può consentire altre attività malevole, come l’installazione di key-logger, il furto di credenziali e la de-crittografia dei file. Terzo gradino del podio per Triada, una backdoor modulare per Android, capace di ottenere permessi di gestione del dispositivo superiori al livello utente, e dunque di scaricare malware.