Sicurezza, ecco i malware più diffusi in Italia ad aprile: attenti a FakeUpdates

La cybersicurezza italiana continua a fare i conti con FakeUpdates, confermato come il malware più diffuso anche nel mese di aprile 2025. Secondo l'ultimo rapporto Global Threat Index pubblicato da Check Point Software Technologies, la minaccia ha registrato un impatto del 10,79% sulle organizzazioni italiane, con un incremento dell'1,7% rispetto al mese precedente. Un dato preoccupante che supera la media globale del 6,37%, dove invece FakeUpdates ha mostrato una flessione del 26,3%.

Mantiene la seconda posizione Androxgh0st, con un impatto del 3,98% in aumento del 14% rispetto a marzo, mentre Remcos ha scalzato Formbook salendo al terzo posto con una crescita straordinaria del 202,5%, raggiungendo un impatto del 3,6%. Da segnalare il crollo di Formbook che scende al sesto posto con una diminuzione del 55% del suo impatto.

La nuova tendenza degli attacchi informatici in Italia, e non solo

Gli esperti di Check Point hanno individuato una tendenza decisamente evidente in Italia: l'integrazione di malware base con tecniche avanzate tipiche degli attori statali. Durante il mese di aprile, i ricercatori hanno scoperto una sofisticata campagna che distribuisce contemporaneamente AgentTesla, Remcos e Xloader attraverso una complessa catena di infezione multi-stadio: gli attacchi iniziano con email di phishing camuffate da conferme d'ordine che inducono le vittime ad aprire archivi 7-Zip contenenti file JSE (JScript Encoded). Questi file attivano script PowerShell codificati in Base64, eseguendo successivamente componenti di secondo livello basati su .NET o AutoIt. La fase finale prevede l'iniezione del malware in processi Windows legittimi come RegAsm.exe o RegSvcs.exe, aumentando così la capacità di eludere i sistemi di rilevamento.

"Gli aggressori stanno stratificando script codificati, processi legittimi e catene di esecuzione oscure per non essere individuati", ha spiegato Lotem Finkelstein, Director of Threat Intelligence di Check Point Software. "Quello che una volta era considerato un malware di basso livello è ora un'arma nelle operazioni avanzate". FakeUpdates, noto anche come SocGholish, rappresenta un downloader JavaScript particolarmente pericoloso in grado di scrivere payload su disco prima di eseguirli. Il malware, spesso collegato al gruppo di hacking russo Evil Corp, ha aperto la strada ad ulteriori attacchi tramite numerose altre minacce come GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.

Remcos è invcece il trojan per l'accesso remoto che ha mostrato la crescita più significativa nel nostro paese, e si caratterizza per la capacità di aggirare i meccanismi di sicurezza come il controllo dell'account utente (UAC), mentre Androxgh0st opera come botnet multi-piattaforma colpendo sistemi Windows, Mac e Linux per sottrarre informazioni sensibili. Il rapporto di Check Point evidenzia anche l'evoluzione del panorama ransomware globale, una delle minacce notoriamente più temute fra gli utenti. Akira guida la classifica con l'11% degli attacchi pubblicati sui siti che nel comunicato Check Point definisce "della vergogna", seguito dai gruppi SatanLock e Qilin, entrambi con il 10%.

Emerso all'inizio del 2023, Akira rappresenta una minaccia per sistemi Windows e Linux, utilizzando crittografia simmetrica con CryptGenRandom() e Chacha 2008. La sua distribuzione avviene attraverso vari canali, tra cui allegati email infetti ed exploit negli endpoint VPN. SatanLock costituisce una novità nel panorama, essendo apparso solo all'inizio di aprile 2025. Nonostante la sua recente comparsa, conta già 67 vittime, sebbene oltre il 65% di esse fossero state precedentemente colpite da altri gruppi. Qilin, conosciuto anche come Agenda, opera secondo il modello ransomware-as-a-service e prende di mira principalmente organizzazioni di alto valore nei settori della sanità e dell'istruzione. Questo malware si infiltra tipicamente tramite email di phishing per stabilire l'accesso alle reti e sottrarre informazioni sensibili.

Per quanto riguarda i dispositivi mobili, Anubis mantiene la leadership tra le minacce più diffuse, seguito da AhMyth, salito al secondo posto, e Hydra al terzo. Il primo, in particolare, è un trojan bancario che può aggirare l'autenticazione a più fattori intercettando one-time password basate su SMS, oltre a funzionare come keylogger e ransomware; il secondo è un trojan ad accesso remoto (RAT), anch'esso con funzionalità di keylogging e intercettazione di SMS, oltre che accesso a fotocamera e microfono; il terzo, infine, è un trojan bancario che può rubare credenziali chiedendo alle vittime di abilitare permessi sensibili. A livello settoriale, il comparto dell'istruzione risulta il più bersagliato nel mese di aprile, principalmente a causa della sua ampia base di utenti e delle difese informatiche generalmente più deboli. Il settore governativo è salito al secondo posto superando quello delle telecomunicazioni, scivolato al terzo.