Doctor Web: panoramica sull'attività di virus in III trimestre 2025
1 ottobre 2025
Gli utenti i cui file sono stati colpiti dai trojan ransomware di criptazione il più spesso affrontavano Trojan.Encoder.35534, Trojan.Encoder.35209, nonché Trojan.Encoder.35067.
A luglio gli esperti dell'azienda Doctor Web hanno parlato di una famiglia di trojan Trojan.Scavenger, creati per il furto di criptovalute e password. I malintenzionati li distribuivano con il pretesto di mod, cheat e patch per giochi. Questi trojan venivano avviati con l'utilizzo di applicazioni legittime, tra l'altro, tramite lo sfruttamento in esse delle vulnerabilità di classe DLL Search Order Hijacking.
Ad agosto i nostri analisti dei virus hanno avvertito della diffusione di un backdoor multifunzionale Android.Backdoor.916.origin per dispositivi mobili, il quale era mirato ai rappresentanti di imprese russe. I criminali informatici lo gestivano in remoto, rubando per il suo tramite dati riservati e spiando le vittime.
Nello stesso mese il laboratorio antivirus Doctor Web ha pubblicato una ricerca su un attacco mirato del gruppo Scaly Wolf a un'impresa metalmeccanica russa. I malintenzionati utilizzavano tutta una serie di strumenti malevoli, tra cui uno dei principali è stato un backdoor modulare Updatar. Per il suo tramite gli attaccanti cercavano di ottenere i dati riservati dai computer infetti.
Nel III trimestre gli analisti internet hanno individuato ennesimi siti falsificati del programma di messaggistica Telegram, nonché una serie di risorse fraudolente a tema finanziario. Inoltre durante gli ultimi tre mesi, i nostri specialisti hanno registrato la comparsa sullo store di app Google Play di decine di applicazioni malevole e indesiderate, tra cui i trojan Android.Joker, che iscrivono utenti a servizi a pagamento, e i programmi falsificazione Android.FakeApp.
Principali tendenze di III trimestre
- Diminuito il numero di minacce rilevate sui dispositivi protetti
- Aumentato il numero di minacce uniche che hanno attaccato gli utenti
- Comparsa di nuovi siti falsificati del programma di messaggistica Telegram e nuove risorse internet fraudolente a tema finanziario
- Distribuzione delle applicazioni malevole Trojan.Scavenger, che rubavano criptovalute e password
- Backdoor Android.Backdoor.916.origin utilizzato per spiare rappresentanti di imprese russe e rubare dati riservati
- Trojan pubblicitari Android.MobiDash sono la minaccia per dispositivi Android più diffusa
- Calo dell'attività dei trojan pubblicitari Android.HiddenAds per il secondo trimestre consecutivo
- Distribuzione di numerose minacce sullo store di app Google Play
Secondo i dati del servizio delle statistiche Doctor Web
Minacce più diffuse di III trimestre 2025:
- VBS.KeySender.7
- Script malevolo che in ciclo infinito cerca finestre con il testo mode extensions, разработчика e розробника e invia ad esse un evento di clic sul pulsante Escape, chiudendole forzatamente.
- Adware.Downware.20091
- Adware utilizzato come installer intermedio di software pirata.
- Trojan.Siggen31.34463
- Trojan scritto nel linguaggio di programmazione Go e studiato per caricare nel sistema di destinazione vari cryptominer e software pubblicitari. Il programma malevolo è un file DLL e si trova in %appdata%\utorrent\lib.dll. Per avviarsi, sfrutta la vulnerabilità di classe DLL Search Order Hijacking nel client torrent uTorrent.
- Adware.Ubar.20
- Un client torrent che installa software indesiderati sul dispositivo.
- JS.Siggen5.44590
- Codice malevolo aggiunto a una libreria JavaScript pubblica es5-ext-main. Visualizza un messaggio specifico se il pacchetto è installato su un server con un fuso orario di città russe.
Statistiche sulle applicazioni malevole nel traffico email
- W97M.DownLoader.2938
- Famiglia di trojan downloader che utilizzano vulnerabilità in documenti Microsoft Office. Sono studiati per scaricare altri programmi malevoli sul computer attaccato.
- Exploit.CVE-2017-11882.123
- Exploit.CVE-2018-0798.4
- Exploit per l'utilizzo di vulnerabilità nel software Microsoft Office, che consentono di eseguire codice arbitrario.
- JS.Phishing.745
- Script malevolo nel linguaggio JavaScript che genera una pagina web di phishing.
- JS.Muldrop.371
- Script malevolo nel linguaggio JavaScript che installa nel sistema un payload.
Ransomware di criptazione
Nel III trimestre 2025 è aumentato del 3,02% rispetto al II trimestre il numero di richieste per la decriptazione di file interessati da trojan ransomware di criptazione.
Dinamica del numero di richieste di decriptazione pervenute al servizio di supporto tecnico Doctor Web:
Ransomware di criptazione più diffusi di III trimestre 2025:
- Trojan.Encoder.35534 — 26,99% di richieste utente
- Trojan.Encoder.35209 — 3,07% di richieste utente
- Trojan.Encoder.35067 — 2,76% di richieste utente
- Trojan.Encoder.41542 — 2,15% di richieste utente
- Trojan.Encoder.29750 — 1,84% di richieste utente
Frode online
Nel III trimestre 2025 gli analisti internet Doctor Web continuavano a registrare la comparsa dei siti falsificati del programma di messaggistica Telegram — anche di quelli tramite cui i truffatori cercavano di ottenere l'accesso agli account degli utenti:
Inoltre, di nuovo erano diffusi i siti fraudolenti a tema finanziario. Uno di essi cercava di attirare gli utenti verso una "piattaforma di investimento del futuro" Apple Trade AI, presumibilmente creata dalla corporation Apple. I cybercriminali promettevano alle potenziali vittime la possibilità di guadagnare più di $4000 al mese, e per "l'accesso" al servizio web chiedevano di registrarsi fornendo le informazioni personali.
Altre risorse internet invitavano a partecipare a una "nuova piattaforma di investimento da Meta" e "creare una fonte di un reddito permanente da $4000 al mese". Per ottenere l'accesso alla "piattaforma", i visitatori di tali siti dovevano partecipare a un sondaggio e registrarsi.
I nostri esperti hanno individuato anche ennesime varianti delle false piattaforme di investimento che presumibilmente consentirebbero di guadagnare tramite bot di trading su WhatsApp.
Per "l'utilizzo" dei servizi web promessi, alle potenziali vittime venivano chiesti i dati personali:
Una serie di siti fraudolenti era rivolta a un pubblico in determinati paesi. Alcuni di essi erano mirati agli utenti dai paesi CSI, a cui i malintenzionati suggerivano di "aprire un mercato di investimento privato" e ottenere l'accesso a certi investimenti esclusivi attraverso un servizio web finanziario INSIDER X. Per fare questo, i visitatori dovevano "lasciare una richiesta" indicando i dati personali.
In uno degli schemi destinati agli utenti russi, i malintenzionati suggerivano di partecipare a un sondaggio e ottenere l'accesso a una "piattaforma di investimento" presumibilmente legata a grandi compagnie petrolifere e del gas e al portale web dei servizi statali Gosuslugi:
Altri siti i truffatori spacciavano per veri servizi web di banche russe, e suggerivano di registrarsi per "guadagnare da 50.000 rubli alla settimana":
Gli abitanti di una serie di altri paesi di nuovo affrontavano tali falsificazioni. Su uno dei siti, agli utenti in Kirghizistan i truffatori suggerivano di partecipare a un programma del popolo e investire nella maggiore, secondo loro, azienda del paese:
Un altro sito presumibilmente sarebbe legato a una delle banche di Georgia e consentirebbe di aderire alla sua "piattaforma di investimento":
I truffatori spacciavano un simile falso sito per quello appartenente a una delle banche di Kazakistan e promettevano agli utenti un reddito di 60.000 tenge al mese:
Su una delle risorse internet, i malintenzionati, presumibilmente a nome di una compagnia petrolifera e del gas turca, invitavano le potenziali vittime a diventare partecipanti a una piattaforma di investimento e guadagnare "fino a 9000 lire turche al giorno":
Allo stesso tempo, i truffatori hanno continuato a sfruttare l'argomento dei vari bonus e compensazioni statali. Su uno dei siti indesiderati rivolti agli utenti di Kazakistan, i visitatori presumibilmente potrebbero controllare la disponibilità di una compensazione pecuniaria e ricevere fino a 5.000.000 tenge:
Software malevoli e indesiderati per dispositivi mobili
Secondo le statistiche di rilevamento di Dr.Web Security Space per dispositivi mobili, nel III trimestre 2025 gli utenti il più frequentemente si imbattevano nei trojan pubblicitari Android.MobiDash. I trojan che erano i leader in precedenza Android.HiddenAds sono scesi alla seconda posizione, diminuendo sostanzialmente l'attività. I terzi più diffusi sono stati i programmi malevoli falsificazione Android.FakeApp.
Rispetto al II trimestre il numero di rilevamenti dei trojan bancari Android.BankBot è aumentato, mentre quello dei trojan Android.Banker e Android.SpyMax è diminuito.
Ad agosto gli esperti dell'azienda Doctor Web hanno parlato di un backdoor multifunzionale Android.Backdoor.916.origin, che i malintenzionati utilizzavano per rubare dati riservati e spiare rappresentanti di imprese russe.
Negli ultimi 3 mesi sullo store di app Google Play sono stati rilevati oltre 70 programmi malevoli e indesiderati. In particolare, i trojan Android.Joker, che iscrivono utenti a servizi a pagamento, i programmi falsificazione Android.FakeApp e i software Program.FakeMoney.16, che presumibilmente consentirebbero di convertire premi virtuali in denaro reale.
Eventi più importanti relativi alla sicurezza "mobile" in III trimestre:
- Crescita dell'attività dei trojan pubblicitari Android.MobiDash
- Calo dell'attività dei trojan pubblicitari Android.HiddenAds
- Maggiore attività dei trojan bancari Android.BankBot
- Diminuito il numero di attacchi dei trojan bancari Android.Banker e Android.SpyMax
- Backdoor Android.Backdoor.916.origin utilizzato dai malintenzionati per spiare rappresentanti di imprese russe
- Distribuzione di numerose minacce sullo store di app Google Play
Per maggiori informazioni sulla situazione di virus per dispositivi mobili nel III trimestre 2025 leggete la nostra panoramica.