Report ESET sulle minacce informatiche, l’intelligenza artificiale utile per i ladri di informazioni e il malware bancario

● ESET pubblica il suo ultimo report sulle tendenze delle minacce informatiche, basato sui dati da dicembre 2023 a maggio 2024.

● Il malware che ruba informazioni si maschera da strumenti di intelligenza artificiale generativa come Midjourney, Sora e Gemini.

● Il nuovo malware mobile GoldPickaxe è in grado di rubare dati di riconoscimento facciale per creare video deepfake.

● RedLine Stealer ha registrato diversi picchi di rilevamento nella prima metà del 2024, in particolare in Spagna, Giappone e Germania

● Balada Injector, un gruppo che sfrutta le vulnerabilità nei plugin di WordPress, ha compromesso più di 20.000 siti Web e generato più di 400.000 contatti nella telemetria ESET nella prima metà del 2024.

Furto dei dati di riconoscimento facciale

“GoldPickaxe ha versioni Android e iOS e prende di mira le vittime nel sud-est asiatico attraverso app dannose localizzate. Durante le indagini su questa famiglia di malware, i ricercatori ESET hanno scoperto che una versione Android precedente di GoldPickaxe, denominata GoldDiggerPlus, si è diffusa anche in America Latina e Sud Africa. », spiega Jean-Ian BOUTIN, Direttore della Cyber ​​Threat Intelligence presso ESET.

Rinascita dei software per il furto d’identità

Negli ultimi mesi, i malware infostealer hanno iniziato a mascherarsi da strumenti di intelligenza artificiale generativa. Nel 2024, Rilide Stealer ha utilizzato in modo improprio i nomi di assistenti IA come Sora di OpenAI e Gemini di Google per attirare le vittime. In un’altra campagna dannosa, Vidar, un ladro di informazioni, si è presentato come un’applicazione desktop del generatore di immagini AI Midjourney, sebbene il modello AI di Midjourney fosse accessibile solo tramite Discord. Dal 2023, ESET Research ha osservato un aumento dei criminali informatici che sfruttano il tema dell’intelligenza artificiale, una tendenza che dovrebbe continuare.

Gli appassionati di giochi che hanno lasciato gli app store ufficiali sono stati presi di mira dai ladri di informazioni. Perché i giochi compromessi e gli strumenti cheat utilizzati nei giochi multiplayer online contenevano malware come Lumma Stealer e RedLine Stealer. RedLine Stealer ha registrato diversi picchi di rilevamento nella prima metà del 2024, in particolare in Spagna, Giappone e Germania, con rilevamenti che hanno superato di un terzo quelli della seconda metà del 2023.

Sfruttamento massiccio delle vulnerabilità di WordPress

Balada Injector, un gruppo che sfrutta le vulnerabilità dei plugin di WordPress, ha compromesso oltre 20.000 siti Web e generato oltre 400.000 visite secondo la telemetria ESET nella prima metà del 2024.

Attività del gruppo ransomware Lockbit

Nel campo dei ransomware, LockBit è stato rovesciato dall’operazione Chronos, condotta dalle forze dell’ordine nel febbraio 2024. Le due importanti campagne attribuite a LockBit nella prima metà del 2024 sono state in realtà portate avanti da altre bande utilizzando il suo arsenale.

Server Linux presi di mira

Il rapporto di ESET esplora una complessa campagna malware mirata ai server condotta dal gruppo Ebury. Questo gruppo ha utilizzato Ebury come backdoor per compromettere circa 400.000 server Linux, FreeBSD e OpenBSD nel corso degli anni. Alla fine del 2023 risultavano ancora compromessi più di 100.000 server.