Το Infostealer Vidar επιστρέφει, ενώ η κακόβουλη εκστρατεία Earth Bogle njRAT πλήττει στόχους σε όλη τη Μέση Ανατολή και τη Βόρεια Αφρική
Η Check Point Research αναφέρει ότι το infostealer Vidar επέστρεψε στην πρώτη δεκάδα της λίστας τον Ιανουάριο, φτάνοντας στην έβδομη θέση, ενώ μια μεγάλη εκστρατεία με την ονομασία Earth Bogle παρέδωσε κακόβουλο λογισμικό njRAT σε στόχους σε όλη τη Μέση Ανατολή και τη Βόρεια Αφρική.
Η Check Point® Software Technologies Ltd. (NASDAQ: CHKP), κορυφαίος πάροχος λύσεων κυβερνοασφάλειας σε παγκόσμιο επίπεδο, δημοσίευσε τον Παγκόσμιο Δείκτη Απειλών για τον Ιανουάριο του 2023. Τον περασμένο μήνα το infostealer Vidar επέστρεψε στην πρώτη δεκάδα της λίστας στην έβδομη θέση μετά την αύξηση των περιπτώσεων brandjacking και την έναρξη μιας μεγάλης κακόβουλης εκστρατείας phishing με το λογισμικό njRAT στη Μέση Ανατολή και τη Βόρεια Αφρική.
Τον Ιανουάριο, το infostealer Vidar εξαπλώθηκε μέσω ψεύτικων domains που ισχυρίζονταν ότι σχετίζονταν με την εταιρεία λογισμικού απομακρυσμένης επιφάνειας εργασίας AnyDesk. Το κακόβουλο λογισμικό χρησιμοποιούσε URL jacking για διάφορες δημοφιλείς εφαρμογές για να ανακατευθύνει τους χρήστες σε μία μόνο διεύθυνση IP που ισχυριζόταν ότι ήταν ο επίσημος ιστότοπος της AnyDesk. Εφόσον γινόταν download, το κακόβουλο λογισμικό εμφανιζόταν ως νόμιμο πρόγραμμα εγκατάστασης για να κλέψει ευαίσθητες πληροφορίες όπως διαπιστευτήρια σύνδεσης, κωδικούς πρόσβασης, δεδομένα πορτοφολιού κρυπτονομισμάτων και τραπεζικά στοιχεία.
Οι ερευνητές εντόπισαν επίσης μια μεγάλη εκστρατεία με την ονομασία Earth Bogle, η οποία διέδιδε το κακόβουλο λογισμικό njRAT σε στόχους σε όλη τη Μέση Ανατολή και τη Βόρεια Αφρική. Οι επιτιθέμενοι χρησιμοποίησαν μηνύματα ηλεκτρονικού ταχυδρομείου phishing που περιείχαν γεωπολιτικά θέματα, παρακινώντας τους χρήστες να ανοίξουν κακόβουλα συνημμένα αρχεία. Μόλις το Trojan γίνει download και ανοίξει, μπορεί να μολύνει συσκευές επιτρέποντας στους επιτιθέμενους να διεξάγουν πολυάριθμες διεισδυτικές δραστηριότητες για την κλοπή ευαίσθητων πληροφοριών. Το njRAT βρέθηκε στη δέκατη θέση της λίστας με τα κορυφαία κακόβουλα προγράμματα μετά από πτώση τον Σεπτέμβριο του 2022.
“Για άλλη μια φορά, βλέπουμε ομάδες κακόβουλου λογισμικού να χρησιμοποιούν αξιόπιστες μάρκες για τη διάδοση ιών, με στόχο την κλοπή προσωπικών πληροφοριών που μπορούν να αναγνωριστούν. Δεν μπορώ να τονίσω αρκετά, πόσο σημαντικό είναι οι άνθρωποι να δίνουν προσοχή στους συνδέσμους που κάνουν κλικ για να διασφαλίσουν ότι πρόκειται για νόμιμες διευθύνσεις URL. Προσέξτε το λουκέτο ασφαλείας, το οποίο υποδηλώνει ένα ενημερωμένο πιστοποιητικό SSL, και προσέξτε για τυχόν κρυφά τυπογραφικά λάθη που μπορεί να υποδηλώνουν ότι ο ιστότοπος είναι κακόβουλος”, δήλωσε η Maya Horowitz, VP Research στην Check Point Software.
Η CPR αποκάλυψε επίσης ότι το “Web Server Exposed Git Repository Information Disclosure” παρέμεινε η ευπάθεια με τη μεγαλύτερη εκμετάλλευση τον περασμένο μήνα, επηρεάζοντας το 46% των οργανισμών παγκοσμίως, ακολουθούμενη από το “HTTP Headers Remote Code Execution” με 42% των οργανισμών παγκοσμίως. “Το MVPower DVR Remote Code Execution” ήρθε στην τρίτη θέση με παγκόσμιο αντίκτυπο 39%.
Top malware families
*Τα βέλη αφορούν τη μεταβολή της κατάταξης σε σχέση με τον προηγούμενο μήνα.
Το Qbot και το Lokibot ήταν τα πιο διαδεδομένα κακόβουλα λογισμικά τον περασμένο μήνα με αντίκτυπο άνω του 6% σε παγκόσμιους οργανισμούς αντίστοιχα, ακολουθούμενα από το AgentTesla με παγκόσμιο αντίκτυπο 5%.
- ↑ Qbot – Το Qbot AKA Qakbot είναι ένα τραπεζικό Trojan που πρωτοεμφανίστηκε το 2008. Σχεδιάστηκε για να κλέβει τραπεζικά στοιχεία και εντολές πληκτρολόγησης ενός χρήστη. Συχνά διανέμεται μέσω spam email. Το Qbot χρησιμοποιεί διάφορες τεχνικές anti-VM, anti-debugging και anti-sandbox για να εμποδίσει την ανάλυση και να αποφύγει την ανίχνευση.
- ↑ Lokibot – Το LokiBot είναι ένα commodity infostealer με εκδόσεις τόσο για τα Windows όσο και για το Android OS που εντοπίστηκε για πρώτη φορά τον Φεβρουάριο του 2016. Συλλέγει διαπιστευτήρια από διάφορες εφαρμογές, προγράμματα περιήγησης στο διαδίκτυο, προγράμματα ηλεκτρονικού ταχυδρομείου, εργαλεία διαχείρισης IT όπως το PuTTY και άλλα. Το LokiBot πωλείται σε φόρουμ hacking και πιστεύεται ότι ο πηγαίος κώδικάς του διέρρευσε επιτρέποντας έτσι την εμφάνιση πολυάριθμων παραλλαγών. Από τα τέλη του 2017, ορισμένες εκδόσεις του LokiBot για Android περιλαμβάνουν λειτουργικότητα ransomware εκτός από τις δυνατότητες κλοπής πληροφοριών.
- ↑AgentTesla Το AgentTesla είναι ένα προηγμένο RAT που λειτουργεί ως keylogger και κλέφτης πληροφοριών, το οποίο είναι ικανό να παρακολουθεί και να συλλέγει την είσοδο του πληκτρολογίου του θύματος, το πληκτρολόγιο του συστήματος, να λαμβάνει στιγμιότυπα οθόνης και να αποσπά διαπιστευτήρια σε διάφορα λογισμικά που είναι εγκατεστημένα στο μηχάνημα του θύματος (συμπεριλαμβανομένων των Google Chrome, Mozilla Firefox και Microsoft Outlook email client).
Top Attacked Industries Globally
Τον περασμένο μήνα, η εκπαίδευση/έρευνα παρέμεινε ο κλάδος με τις περισσότερες επιθέσεις παγκοσμίως, ακολουθούμενος από την κυβέρνηση/στρατιωτικό τομέα και στη συνέχεια την υγειονομική περίθαλψη.
- Εκπαίδευση/Ερευνα
- Κυβέρνηση/Στρατός
- Υγεία
Top exploited vulnerabilities
Τον περασμένο μήνα, η “Web Server Exposed Git Repository Information Disclosure” ήταν η ευπάθεια με τη μεγαλύτερη εκμετάλλευση, επηρεάζοντας το 46% των οργανισμών παγκοσμίως, ακολουθούμενη από την “HTTP Headers Remote Code Execution” με 42% των οργανισμών παγκοσμίως. Η “MVPower DVR Remote Code Execution“ ήρθε στην τρίτη θέση με παγκόσμιο αντίκτυπο 39%.
- ↔ Web Server Exposed Git Repository Information Disclosure – Αναφέρθηκε μια ευπάθεια αποκάλυψης πληροφοριών στο Git Repository. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας θα μπορούσε να επιτρέψει την ακούσια αποκάλυψη πληροφοριών λογαριασμού.
- ↑ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Οι επικεφαλίδες HTTP επιτρέπουν στον πελάτη και τον διακομιστή να διαβιβάζουν πρόσθετες πληροφορίες με ένα αίτημα HTTP. Ένας απομακρυσμένος εισβολέας μπορεί να χρησιμοποιήσει μια ευάλωτη επικεφαλίδα HTTP για να εκτελέσει αυθαίρετο κώδικα στο μηχάνημα του θύματος.
- ↑MVPower DVR Remote Code Execution – Υπάρχει ευπάθεια απομακρυσμένης εκτέλεσης κώδικα σε συσκευές MVPower DVR. Ένας απομακρυσμένος επιτιθέμενος μπορεί να εκμεταλλευτεί αυτή την αδυναμία για να εκτελέσει αυθαίρετο κώδικα στον επηρεαζόμενο δρομολογητή μέσω ενός επεξεργασμένου αιτήματος.
Top Mobile Malwares
Τον περασμένο μήνα, το Anubis παρέμεινε το πιο διαδεδομένο κακόβουλο λογισμικό για κινητά, ακολουθούμενο από τα Hiddad και AhMyth.
- Anubis – Το Anubis είναι ένα κακόβουλο τραπεζικό Trojan που έχει σχεδιαστεί για κινητά τηλέφωνα Android. Από τότε που εντοπίστηκε αρχικά, έχει αποκτήσει πρόσθετες λειτουργίες, όπως λειτουργία Remote Access Trojan (RAT), keylogger, δυνατότητες καταγραφής ήχου και διάφορα ransomware χαρακτηριστικά. Έχει εντοπιστεί σε εκατοντάδες διαφορετικές εφαρμογές που είναι διαθέσιμες στο Google Store.
- Hiddad – Το Hiddad είναι ένα κακόβουλο λογισμικό Android που επανασυσκευάζει νόμιμες εφαρμογές και στη συνέχεια τις κυκλοφορεί σε ένα κατάστημα τρίτων. Η κύρια λειτουργία του είναι η εμφάνιση διαφημίσεων, αλλά μπορεί επίσης να αποκτήσει πρόσβαση σε βασικές λεπτομέρειες ασφαλείας που είναι ενσωματωμένες στο λειτουργικό σύστημα.
- AhMyth – Το AhMyth είναι ένα Trojan απομακρυσμένης πρόσβασης (RAT) που ανακαλύφθηκε το 2017. Διανέμεται μέσω εφαρμογών Android που μπορούν να βρεθούν σε καταστήματα εφαρμογών και σε διάφορους ιστότοπους. Όταν ένας χρήστης εγκαθιστά μία από αυτές τις μολυσμένες εφαρμογές, το κακόβουλο λογισμικό μπορεί να συλλέξει ευαίσθητες πληροφορίες από τη συσκευή και να εκτελέσει ενέργειες όπως keylogging, λήψη στιγμιότυπων οθόνης, αποστολή μηνυμάτων SMS και ενεργοποίηση της κάμερας, η οποία συνήθως χρησιμοποιείται για την κλοπή ευαίσθητων πληροφοριών.
Malware_Family_Name | Global Impact | Greece Impact |
Qbot | 6.50% | 10.89% |
Formbook | 3.96% | 8.38% |
Emotet | 3.44% | 5.03% |
Lokibot | 5.50% | 5.03% |
AgentTesla | 4.69% | 4.19% |
GuLoader | 2.04% | 4.19% |
Nanocore | 1.65% | 2.79% |
XMRig | 3.46% | 2.51% |
Cerbu | 1.11% | 2.23% |
Esfury | 0.91% | 2.23% |
Pony | 0.56% | 2.23% |
Τα Global Threat Impact Index και ThreatCloud Map της Check Point Software, βασίζονται στο ThreatCloud intelligence της εταιρείας, το οποίο παρέχει σε πραγματικό χρόνο, πληροφορίες για απειλές που προέρχονται από εκατοντάδες εκατομμύρια αισθητήρες παγκοσμίως, μέσω δικτύων, τελικών σημείων και κινητών τηλεφώνων. Το ThreatCloud intelligence εμπλουτίζεται με δεδομένα που βασίζονται σε AI και αποκλειστικά ερευνητικά δεδομένα από την Check Point Research, το τμήμα Intelligence & Research της Check Point Software Technologies.