Η Check Point Research αναφέρει ότι το infostealer, Formbook, είναι το πιο διαδεδομένο κακόβουλο λογισμικό, ενώ το τραπεζικό trojan, Qbot, εξαφανίστηκε από τη λίστα.
Η Check Point Research, το τμήμα έρευνας της Check Point Software Technologies, κορυφαίος πάροχος λύσεων ασφάλειας στον κυβερνοχώρο παγκοσμίως, δημοσίευσε τον Παγκόσμιο Δείκτη Απειλών για τον Αύγουστο του 2021. Οι ερευνητές αναφέρουν ότι το Formbook είναι πλέον το πιο διαδεδομένο κακόβουλο λογισμικό, ξεπερνώντας το Trickbot, το οποίο έπεσε στη δεύτερη θέση μετά από την τρίμηνη κυριαρχία.
Το τραπεζικό trojan, Qbot, οι διαχειριστές του οποίου είναι γνωστό ότι κάνουν διαλείμματα κατά τη διάρκεια του καλοκαιριού, έπεσε εντελώς από την πρώτη 10άδα μετά από μακρά παραμονή στη λίστα, ενώ το Remcos, ένα trojan απομακρυσμένης πρόσβασης (RAT), εισήλθε στο δείκτη για πρώτη φορά το 2021, καταλαμβάνοντας την έκτη θέση.
Το Formbook, που πρωτοεμφανίστηκε το 2016, είναι ένας infostealer που συλλέγει διαπιστευτήρια από διάφορους περιηγητές ιστού (web browsers), συλλέγει screenshots, παρακολουθεί και καταγράφει τις πληκτρολογήσεις και μπορεί να κατεβάζει και να εκτελεί αρχεία σύμφωνα με τις οδηγίες εντολών και ελέγχου (C&C). Πρόσφατα, το Formbook διανεμήθηκε μέσω εκστρατειών με θέμα το COVID-19 και ηλεκτρονικών μηνυμάτων ηλεκτρονικού “ψαρέματος” (phishing emails), ενώ τον Ιούλιο του 2021, το CPR ανέφερε ότι ένα νέο στέλεχος κακόβουλου λογισμικού που προέρχεται από το Formbook, το οποίο ονομάζεται XLoader, στοχεύει πλέον χρήστες macOS.
“Ο κώδικας του Formbook είναι γραμμένος σε C με ένθετα assembly και περιέχει μια σειρά από τεχνάσματα που τον καθιστούν πιο παραπλανητικό και πιο δύσκολο για τους ερευνητές να τον αναλύσουν”, δήλωσε η Maya Horowitz, Αντιπρόεδρος έρευνας της Check Point Software. “Συνήθως διανέμεται μέσω phishing emails και συνημμένων αρχείων, ο καλύτερος τρόπος για να αποτρέψετε μια μόλυνση από το Formbook είναι να προσέχετε τυχόν emails που φαίνονται περίεργα ή προέρχονται από άγνωστους αποστολείς. Όπως πάντα, αν δεν φαίνεται εντάξει, πιθανότατα δεν είναι”.
Η CPR αποκάλυψε επίσης αυτό το μήνα ότι η “Web Server Exposed Git Repository Information Disclosure” είναι η πιο συχνά εκμεταλλευόμενη ευπάθεια, επηρεάζοντας το 45% των οργανισμών παγκοσμίως, ακολουθούμενη από την “HTTP Headers Remote Code Execution” που επηρεάζει το 43% των οργανισμών παγκοσμίως. Η Dasan GPON Router Authentication Bypass” καταλαμβάνει την τρίτη θέση στη λίστα με τις πιο συχνά εκμεταλλευόμενες ευπάθειες, με παγκόσμιο αντίκτυπο 40%.
Οι 3 πιο διαδεδομένες απειλές κακόβουλου λογισμικού
*Τα βέλη αφορούν τη μεταβολή της κατάταξης σε σχέση με τον προηγούμενο μήνα.
Αυτόν τον μήνα, το Formbook είναι το πιο δημοφιλές κακόβουλο λογισμικό που επηρεάζει το 4,5% των οργανισμών παγκοσμίως, και ακολουθούν το Trickbot και το Agent Tesla, που επηρεάζουν το 4% και το 3% των οργανισμών παγκοσμίως αντίστοιχα.
- ↑Formbook – Το Formbook είναι ένα infostealer που συλλέγει διαπιστευτήρια από διάφορα προγράμματα περιήγησης στο διαδίκτυο, συλλέγει screenshots, παρακολουθεί και καταγράφει τις πληκτρολογήσεις και μπορεί να κατεβάζει και να εκτελεί αρχεία σύμφωνα με τις εντολές C&C.
- ↓ Trickbot – To Trickbot είναι ένα κυρίαρχο τραπεζικό trojan που ενημερώνεται συνεχώς με νέες δυνατότητες, χαρακτηριστικά και κατανομή των μολύνσεων. Αυτό επιτρέπει στο Trickbot να είναι ένα ευέλικτο και προσαρμόσιμο malware λογισμικό που μπορεί να διανεμηθεί ως μέρος εκστρατειών πολλών χρήσεων.
- ↑ Agent Tesla –Το Agent Tesla είναι ένα προηγμένο RAT που λειτουργεί ως keylogger και infostealer, το οποίο είναι ικανό να παρακολουθεί και να συλλέγει την πληκτρολόγηση του θύματος και το πληκτρολόγιο του συστήματος, να λαμβάνει screenshots και να αποσπά διαπιστευτήρια από διάφορα λογισμικά που είναι εγκατεστημένα στον υπολογιστή του θύματος (συμπεριλαμβανομένων των Google Chrome, Mozilla Firefox και Microsoft Outlook email client).
Κυριότερες αξιοποιηθείσες ευπάθειες
Αυτόν τον μήνα η “Web Server Exposed Git Repository Information Disclosure” είναι η πιο συχνά εκμεταλλεύσιμη ευπάθεια, επηρεάζοντας το 45% των οργανισμών παγκοσμίως, ακολουθούμενη από την “HTTP Headers Remote Code Execution” που επηρεάζει το 43% των οργανισμών παγκοσμίως. Η “DDasan GPON Router Authentication Bypass” καταλαμβάνει την τρίτη θέση στη λίστα με τις ευπάθειες με τις περισσότερες εκμεταλλεύσεις, με παγκόσμιο αντίκτυπο 40%.
- ↔Web Server Exposed Git Repository Information Disclosure – Έχει αναφερθεί μια ευπάθεια αποκάλυψης πληροφοριών στο Git Repository. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας θα μπορούσε να επιτρέψει την ακούσια αποκάλυψη πληροφοριών λογαριασμού.
- ↔HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Συγκεκριμένα πεδία στους HTTP headers επιτρέπουν στον πελάτη και τον διακομιστή να μεταβιβάσουν πρόσθετες πληροφορίες. Ένας απομακρυσμένος εισβολέας μπορεί να χρησιμοποιήσει ένα ευάλωτο πεδίο του HTTP για να εκτελέσει αυθαίρετο κώδικα στη μηχανή του θύματος.
- ↑ Dasan GPON Router Authentication Bypass (CVE-2018-10561) Υπάρχει ευπάθεια που παρακάμπτει τον έλεγχο ταυτότητας στους δρομολογητές Dasan GPON. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας θα επέτρεπε σε απομακρυσμένους επιτιθέμενους να αποκτήσουν ευαίσθητες πληροφορίες και να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στο επηρεαζόμενο σύστημα.
Τop κακόβουλα προγράμματα για κινητά
Αυτόν τον μήνα το xHelper καταλαμβάνει την πρώτη θέση στα πιο διαδεδομένα κακόβουλα προγράμματα για κινητά, ακολουθούμενο από τα AlienBot και FluBot.
- xHelper – Το xHelper είναι μια κακόβουλη εφαρμογή που βρίσκεται στο προσκήνιο από τον Μάρτιο του 2019 και χρησιμοποιείται για τη λήψη άλλων κακόβουλων εφαρμογών και την προβολή διαφημίσεων. Η εφαρμογή είναι ικανή να «κρύβεται» από τον χρήστη και να επανεγκατασταθεί αυτόματα σε περίπτωση που απεγκατασταθεί.
- AlienBot – AlienBot malware family is a Malware-as-a-Service (MaaS) for Android devices that allows a remote attacker, as a first step, to inject malicious code into legitimate financial applications. The attacker obtains access to victims’ accounts, and eventually completely controls their device.
- FluBot -Το FluBot είναι ένα κακόβουλο λογισμικό Android botnet που διανέμεται μέσω μηνυμάτων SMS phishing, τα οποία τις περισσότερες φορές παριστάνουν τις εταιρείες logistics delivery. Μόλις ο χρήστης κάνει κλικ στο σύνδεσμο μέσα στο μήνυμα, το FluBot εγκαθίσταται και αποκτά πρόσβαση σε όλες τις ευαίσθητες πληροφορίες του τηλεφώνου.
Η πλήρης λίστα με τις πιο διαδεδομένες απειλές κακόβουλου λογισμικού στην Ελλάδα για τον Αύγουστο είναι:
FormBook – Το FormBook είναι ένα InfoStealer που στοχεύει το λειτουργικό σύστημα των Windows και ανιχνεύθηκε για πρώτη φορά το 2016. Διαφημίζεται σε hacking forums ως ένα εργαλείο το οποίο διαθέτει ισχυρές τεχνικές αποφυγής και σχετικά χαμηλές τιμές. Το FormBook συλλέγει credentials από διάφορους web browsers και στιγμιότυπα οθόνης, παρακολουθεί και καταγράφει πληκτρολόγια και μπορεί να κατεβάσει και να εκτελέσει αρχεία σύμφωνα με τις οδηγίες C & C που του έχουν δοθεί.
AgentTesla -Το AgentTesla είναι ένα προηγμένο RAT (remote access Trojan) που λειτουργεί ως keylogger και υποκλέπτοντας κωδικούς πρόσβασης. Ενεργό από το 2014, το AgentTesla μπορεί να παρακολουθεί και να συλλέγει την πληκτρολόγηση και το clipboard του συστήματος του θύματος, ενώ μπορεί να καταγράφει στιγμιότυπα οθόνης και να αποσπά διαπιστευτήρια που εισάγονται για διάφορα λογισμικά που είναι εγκατεστημένα στο μηχάνημα του θύματος (συμπεριλαμβανομένων των Google Chrome, Mozilla Firefox και Microsoft Outlook email client). Το AgentTesla πωλείται ανοιχτά ως νόμιμο RAT με τους πελάτες να πληρώνουν $15 – $69 για άδειες χρήσης.
Trickbot – Το Trickbot κυρίαρχο τραπεζικό trojan που στοχεύει πλατφόρμες Windows και κυρίως μεταφέρεται μέσω spam ή από άλλες οικογένειες malware όπως το Emotet. Το Trickbot στέλνει πληροφορίες σχετικά με το μολυσμένο σύστημα και μπορεί επίσης να κατεβάσει και να εκτελέσει αυθαίρετα modules από μια μεγάλη γκάμα διαθέσιμων, όπως ένα VNC module για χρήση από απόσταση ή ένα SMB module για εξάπλωση εντός ενός επηρεασμένου δικτύου. Μόλις μολυνθεί ένα μηχάνημα, οι παράγοντες απειλής πίσω από το κακόβουλο λογισμικό Trickbot, χρησιμοποιούν αυτήν την ευρεία γκάμα modules όχι μόνο για να κλέψει τραπεζικά credentials από τον υπολογιστή-στόχο, αλλά και για πλευρική μετακίνηση και αναγνώριση στον ίδιο τον οργανισμό, πριν μια στοχευμένη επίθεση ransomware σε ολόκληρη την εταιρεία.
Jocker– Το Jocker είναι ένα κακόβουλο λογισμικό για Android, το οποίο διαδίδεται στο επίσημο Google Play Store με τη μεταμφίεση πολλών διαφορετικών ψευδών εφαρμογών. Το Joker προσπαθεί να εγγράψει τους χρήστες σε επί πληρωμή υπηρεσίες και μπορεί να δει τα μηνύματα κειμένου του θύματος, γεγονός που του δίνει τη δυνατότητα να εγγράψει το θύμα σε διάφορες ανεπιθύμητες υπηρεσίες χρησιμοποιώντας τον κωδικό επιβεβαίωσης που λαμβάνει μέσω SMS.
Lokibot– Το LokiBot εντοπίστηκε για πρώτη φορά τον Φεβρουάριο του 2016 και είναι ένας infostealer με εκδόσεις τόσο για τα Windows όσο και για το Android OS. Συλλέγει διαπιστευτήρια από διάφορες εφαρμογές, προγράμματα περιήγησης στο διαδίκτυο, προγράμματα ηλεκτρονικού ταχυδρομείου, εργαλεία διαχείρισης IT όπως το PuTTY και άλλα. Το LokiBot πωλείται σε φόρουμ hacking και πιστεύεται ότι ο πηγαίος κώδικάς του διέρρευσε, επιτρέποντας έτσι την εμφάνιση πολυάριθμων παραλλαγών. Από τα τέλη του 2017, ορισμένες εκδόσεις του LokiBot για Android περιλαμβάνουν λειτουργικότητα ransomware εκτός από τις δυνατότητες κλοπής πληροφοριών.
Danabot – Το Danabot είναι ένα Trickler που στοχεύει στην πλατφόρμα των Windows. Το κακόβουλο λογισμικό στέλνει πληροφορίες στον διακομιστή ελέγχου του και κατεβάζει και αποκρυπτογραφεί ένα αρχείο για να εκτελεστεί στον μολυσμένο υπολογιστή. Σύμφωνα με πληροφορίες, η ληφθείσα εντολή μπορεί να κατεβάσει άλλα κακόβουλα αρχεία στο δίκτυο. Επιπλέον, το κακόβουλο λογισμικό δημιουργεί μια συντόμευση στο φάκελο εκκίνησης του χρήστη για να επιτύχει την παραμονή του στο μολυσμένο σύστημα.
Remcos – Ο Remcos είναι ένας RAT που εμφανίστηκε για πρώτη φορά το 2016. Το Remcos διανέμεται μέσω κακόβουλων εγγράφων του Microsoft Office τα οποία επισυνάπτονται σε μηνύματα ηλεκτρονικού ταχυδρομείου SPAM και έχει σχεδιαστεί για να παρακάμπτει την ασφάλεια UAC των Microsoft Windowss και να εκτελεί κακόβουλο λογισμικό με υψηλού επιπέδου προνόμια.
Vidar– Το Vidar είναι ένα infolstealer που στοχεύει λειτουργικά συστήματα Windows. Για πρώτη φορά εντοπίστηκε στα τέλη του 2018, έχει σχεδιαστεί για να κλέβει κωδικούς πρόσβασης, δεδομένα πιστωτικών καρτών και άλλες ευαίσθητες πληροφορίες από διάφορα προγράμματα περιήγησης ιστού και ψηφιακά πορτοφόλια. Το Vidar έχει πωληθεί σε διάφορα διαδικτυακά φόρουμ και έχει χρησιμοποιηθεί dropper κακόβουλου λογισμικού που κατεβάζει το GandCrab ransomware ως δευτερεύον ωφέλιμο φορτίο του.
Glupteba – Γνωστό από το 2011, το Glupteba είναι ένα backdoor που σταδιακά εξελίχθηκε σε botnet. Μέχρι το 2019 περιλάμβανε έναν μηχανισμό ενημέρωσης διευθύνσεων C&C μέσω δημόσιων λιστών BitCoin, μια ενσωματωμένη δυνατότητα κλοπής στοιχείων του προγράμματος περιήγησης και ένα πρόγραμμα εκμετάλλευσης δρομολογητών.
XMRig – Το XMRig είναι ένα λογισμικό CPU mining ανοικτού πηγαίου κώδικα για τη διαδικασία παραγωγής του κρυπτονομίσματος Monero που παρατηρήθηκε σε κυκλοφορία για πρώτη φορά τον Μάιο του 2017.
xHelper – Το xHelper είναι μια κακόβουλη εφαρμογή που βρίσκεται στο προσκήνιο από τον Μάρτιο του 2019 και χρησιμοποιείται για τη λήψη άλλων κακόβουλων εφαρμογών και την προβολή διαφημίσεων. Η εφαρμογή είναι ικανή να «κρύβεται» από τον χρήστη και να επανεγκατασταθεί αυτόματα σε περίπτωση που απεγκατασταθεί.
NanoCore – Το NanoCore είναι ένα Remote Access Trojan, το οποίο παρατηρήθηκε για πρώτη φορά το 2013 και στοχεύει χρήστες του λειτουργικού συστήματος Windows. Όλες οι εκδόσεις του RAT διαθέτουν βασικά πρόσθετα και λειτουργίες, όπως καταγραφή οθόνης, εξόρυξη κρυπτογραφικού νομίσματος, απομακρυσμένο έλεγχο της επιφάνειας εργασίας και κλοπή συνεδρίας webcam.
Scrinject – Το Scrinject είναι ένα Trojan, που δίνει στους εισβολείς απομακρυσμένη πρόσβαση στο μολυσμένο σύστημα.
Rig EK – Το Rig EK παρουσιάστηκε για πρώτη φορά τον Απρίλιο του 2014. Έκτοτε έχει λάβει αρκετές μεγάλες ενημερώσεις και συνεχίζει να είναι ενεργό μέχρι σήμερα. Το 2015, ως αποτέλεσμα μιας εσωτερικής διαμάχης μεταξύ των διαχειριστών του, διέρρευσε ο πηγαίος κώδικας και έχει διερευνηθεί διεξοδικά από ερευνητές. Το Rig παρέχει Exploits για Flash, Java, Silverlight και Internet Explorer. Η αλυσίδα μόλυνσης ξεκινά με μια ανακατεύθυνση σε μια σελίδα προορισμού που περιέχει JavaScript που ελέγχει για ευάλωτα plug-ins και παραδίδει το exploit.
Τα top 10 ανα χώρα | ||
Malware | Παγκόσμιος αντίκτυπος | Ελλάδα |
Formbook | 4.45% | 11.01% |
AgentTesla | 2.79% | 9.43% |
Trickbot | 4.21% | 4.72% |
Joker | 0.18% | 3.46% |
Lokibot | 0.77% | 3.14% |
Danabot | 0.43% | 2.83% |
Remcos | 2.07% | 2.83% |
Vidar | 0.98% | 2.52% |
Glupteba | 2.18% | 2.20% |
XMRig | 2.54% | 1.89% |
xHelper | 1.00% | 1.89% |
Nanocore | 1.03% | 1.89% |
Scrinject | 0.61% | 1.89% |
RigEK | 0.34% | 1.89% |
Ο Παγκόσμιος Κατάλογος Επίπτωσης Απειλών και ο Χάρτης ThreatCloud της Check Point Software, βασίζονται στο ThreatCloud intelligence της; Εταιρείας, στο μεγαλύτερο δίκτυο συνεργασίας για την καταπολέμηση του κυβερνοεγκλήματος, το οποίο παρέχει δεδομένα για τις απειλές και τις τάσεις που επικρατούν στις επιθέσεις, αξιοποιώντας ένα παγκόσμιο δίκτυο ανιχνευτών απειλών. Η βάση δεδομένων ThreatCloud περιλαμβάνει πάνω από 3 δισεκατομμύρια ιστότοπους και 600 εκατομμύρια αρχεία καθημερινά και εντοπίζει περισσότερες από 250 εκατομμύρια δραστηριότητες malware κάθε μέρα.
Ο πλήρης κατάλογος των 10 κορυφαίων οικογενειών κακόβουλου λογισμικού για τον Αύγουστο βρίσκεται στην ιστοσελίδα της Check Point εδώ