A Check Point kutatói szerint a Dridexet frissítették és több spam-kampányon keresztül terjesztették, hogy célzott zsarolóprogramokat juttasson célba, növelve ezzel a régóta ismert trójai által jelentett kockázatot

A 2020 márciusára vonatkozó legújabb Globális Fenyegetési Indexünk szerint a jól ismert banki trójai, a Dridex, amely először 2011-ben jelent meg, először került be a tíz legelterjedtebb malware listájára, és márciusban a harmadik leggyakoribb malware volt. A Dridexet frissítették, és most már a támadások korai szakaszában olyan célzott zsarolóprogramok letöltésére használják, mint a BitPaymer és a DoppelPaymer.

A Dridex használatának erőteljes növekedését több olyan spam-kampány okozta, amely egy rosszindulatú Excel-fájlt tartalmazott, amely a Dridex malware-t tölti le az áldozat számítógépére. A Dridex rosszindulatú szoftverek ilyen mértékű elterjedése rávilágít arra, hogy a kiberbűnözők milyen gyorsan változtatják támadásaik témáját, hogy megpróbálják maximalizálni a fertőzési arányt.

A Dridex egy kifinomult banki kártevő törzs, amely a Windows platformot célozza meg, spam-kampányokkal fertőzi meg a számítógépeket, és lopja el a banki hitelesítő adatokat és más személyes információkat a csalárd pénzátutalás megkönnyítése érdekében. A kártevőt az elmúlt évtizedben szisztematikusan frissítették és fejlesztették. Az XMRig továbbra is az 1. helyen áll a top malware-családok indexében, világszerte a szervezetek 5%-át érintve, ezt követi a Jsecoin és a Dridex, amelyek a szervezetek 4%-át, illetve 3%-át érintették világszerte.

A Dridex kifinomultsága miatt nagyon jövedelmező lehet a bűnözők számára, és mostanában zsarolóprogram letöltőként is használják, ami még veszélyesebbé teszi a korábbi változatoknál. A magánszemélyeknek óvatosnak kell lenniük a csatolmányokat tartalmazó e-mailekkel szemben, még akkor is, ha azok látszólag megbízható forrásból származnak – különösen az otthoni munkavégzés elmúlt hetekben tapasztalt robbanásszerű elterjedése miatt. A szervezeteknek oktatniuk kell az alkalmazottakat a rosszindulatú spamek azonosítására, és olyan biztonsági intézkedéseket kell bevezetniük, amelyek segítenek megvédeni csapataikat és hálózataikat az ilyen fenyegetésekkel szemben.

A márciusi jelentés arra is figyelmeztet, hogy az “MVPower DVR Remote Code Execution” maradt a leggyakrabban kihasznált sebezhetőség, amely a szervezetek 30%-át érinti világszerte, amelyet szorosan követ a “PHP php-cgi Query String Parameter Code Execution” 29%-os globális hatással, majd az “OpenSSL TLS DTLS Heartbeat Information Disclosure”, amely a szervezetek 27%-át érinti világszerte.

Top malware family

*A nyilak az előző hónaphoz képest bekövetkezett rangsorváltozást jelzik.

Ebben a hónapban az XMRig továbbra is az első helyen áll, a szervezetek 5%-át érintve világszerte, majd a Jsecoin és a Dridex következik, amelyek a szervezetek 4%-át, illetve 3%-át érintve világszerte.

  1. ↔ XMRig – Az XMRig egy nyílt forráskódú CPU-bányászati szoftver, amelyet a Monero kriptopénz bányászati folyamatához használnak, és először 2017 májusában jelent meg a szabad természetben.
  1. Jsecoin – A Jsecoin egy webalapú kriptominer, amelyet arra terveztek, hogy a Monero kriptopénz online bányászatát végezze, amikor a felhasználó egy adott weboldalra látogat. A beültetett JavaScript a végfelhasználó számítási erőforrásainak nagy részét használja fel az érmék bányászatához, ami hatással van a rendszer teljesítményére.
  1. Dridex – A Dridex egy banki trójai, amely a Windows platformot célozza, és spamkampányok és exploit-készletek révén kerül terjesztésre, amelyek a WebInjectsre támaszkodva elfogják és egy támadó által ellenőrzött szerverre irányítják át a banki hitelesítő adatokat. A Dridex kapcsolatba lép egy távoli kiszolgálóval, információkat küld a fertőzött rendszerről, és további modulokat is letölthet és futtathat a távoli vezérléshez.
  2. ↔ Trickbot – A Trickbot egy domináns banki trójai, amelyet folyamatosan frissítenek új képességekkel, funkciókkal és terjesztési vektorokkal. Ez teszi lehetővé, hogy a Trickbot rugalmas és testre szabható kártevő legyen, amely többcélú kampányok részeként terjeszthető.
  3. ↓ Emotet – Az Emotet egy fejlett, önterjesztő és moduláris trójai. Az Emotet-et egykor banki trójai vírusként alkalmazták, újabban pedig más malware-ek vagy rosszindulatú kampányok terjesztőjeként használják. Többféle módszert használ a perzisztencia fenntartására és kitérési technikákat a felismerés elkerülésére. Emellett rosszindulatú szoftvereket tartalmazó adathalász spam e-maileken keresztül is terjedhet.
  4. ↔ Agent Tesla – Az Agent Tesla egy fejlett RAT, amely keyloggerként és jelszólopóként működik. Az Agent Tesla képes figyelni és gyűjteni az áldozat billentyűzetbevitelét, a rendszer vágólapját, képernyőfotókat készíteni, és kiszivárogtatni
    kredentális adatokat az áldozat gépére telepített különféle szoftverekből (beleértve a Google Chrome-ot, a Mozilla Firefoxot és a Microsoft Outlook e-mail klienst).
  5. Formbook – A Formbook egy infólopó, amely különböző webböngészőkből gyűjti be a hitelesítő adatokat, képernyőképeket gyűjt, figyeli és naplózza a billentyűleütéseket, és képes fájlokat letölteni és végrehajtani a C&C parancsainak megfelelően.
  6. ↓ Lokibot – A Lokibot egy főként adathalász e-mailek útján terjesztett infólopó, amely különböző adatok, például e-mail hitelesítő adatok, valamint CryptoCoin tárcák és FTP-kiszolgálók jelszavainak ellopására szolgál.
  7. ↓ Ramnit – A Ramnit egy banki trójai, amely banki hitelesítő adatokat, FTP-jelszavakat, munkamenet-sütiket és személyes adatokat lop.
  8. RigEK- A RigEK exploitokat szállít a Flash, Java, Silverlight és Internet Explorer számára. A fertőzési lánc egy olyan céloldalra való átirányítással kezdődik, amely JavaScriptet tartalmaz, amely ellenőrzi a sebezhető bővítményeket és szállítja az exploitot.

A leggyakrabban kihasznált sebezhetőségek

Ebben a hónapban továbbra is az “MVPower DVR Remote Code Execution” a leggyakrabban kihasznált sebezhetőség, amely a szervezetek 30%-át érinti világszerte, szorosan követi a “PHP php-cgi Query String Parameter Code Execution” 29%-os globális hatással. A 3. helyen az “OpenSSL TLS DTLS Heartbeat Information Disclosure” áll, amely a szervezetek 27%-át érinti világszerte.

  1. ↔ MVPower DVR Remote Code Execution – Távoli kódvégrehajtási sebezhetőség, amely az MVPower DVR eszközökben létezik. Egy távoli támadó kihasználhatja ezt a gyengeséget, hogy tetszőleges kódot hajtson végre az érintett útválasztóban egy átdolgozott kérésen keresztül.
  2. PHP php-cgi Query String Parameter Code Execution – Távoli kódfuttatási sebezhetőség, amelyről a PHP-ben számoltak be. A sebezhetőséget a lekérdezési karakterláncok PHP általi nem megfelelő elemzése és szűrése okozza. Egy távoli támadó kihasználhatja ezt a hibát, ha manipulált HTTP-kérelmeket küld. Sikeres kihasználása lehetővé teszi a támadó számára, hogy tetszőleges kódot futtasson a célponton.
  3. ↓ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Az OpenSSL-ben létező információ közzétételi sebezhetőség. A sebezhetőséget a TLS/DTLS heartbeat csomagok kezelése során fellépő hiba okozza. A támadó kihasználhatja ezt a sebezhetőséget a csatlakoztatott ügyfél vagy kiszolgáló memóriatartalmának felfedésére.
  4. Webkiszolgáló kitett Git Repository Information Disclosure – Információfeltárási sebezhetőséget jelentettek a Git Repositoryban. A sebezhetőség sikeres kihasználása lehetővé teheti fiókinformációk nem szándékos felfedését.
  5. ↓ Dasan GPON Router Authentication Bypass (CVE-2018-10561) – A Dasan GPON routerekben létezik egy hitelesítési megkerülési sebezhetőség. A sebezhetőség sikeres kihasználása lehetővé teszi a távoli támadók számára érzékeny információk megszerzését és jogosulatlan hozzáférést az érintett rendszerhez.
  6. Huawei HG532 Router Remote Code Execution – Távoli kódfuttatási sebezhetőség létezik a Huawei HG532 Routerekben. Egy távoli támadó kihasználhatja ezt a gyengeséget, hogy tetszőleges kódot futtasson az érintett útválasztóban egy átdolgozott kérésen keresztül.
  7. D-Link DSL-2750B Távoli parancsvégrehajtás – Hitelesítési megkerülési sebezhetőség létezik a WordPress portable-phpMyAdmin Pluginban. A sebezhetőség sikeres kihasználása lehetővé tenné távoli támadók számára érzékeny információk megszerzését és jogosulatlan hozzáférést az érintett rendszerhez.
  8. ↓PHP DIESCAN information disclosure – A PHP oldalakon jelentett információ közzétételi sebezhetőség. Sikeres kihasználása érzékeny információk felfedéséhez vezethet a kiszolgálóról.
  9. ↓SQL Injection (több technika) – SQL-lekérdezés injektálása az ügyféltől az alkalmazásba történő bemenetbe, miközben kihasznál egy biztonsági sebezhetőséget az alkalmazás szoftverében.
  10. OpenSSL Padding Oracle Information Disclosure – Az OpenSSL AES-NI implementációjában létezik egy információfeltárási sebezhetőség. A sebezhetőség egy bizonyos padding-ellenőrzés során bekövetkező memóriaelosztási számítási hibából adódik. Egy távoli támadó ezt a sebezhetőséget kihasználva érzékeny, tiszta szövegű információkat szerezhet meg egy AES CBC munkamenet elleni padding-oracle támadással.

Top malware family – Mobile

Ebben a hónapban az xHelper megtartotta az 1. helyet a leggyakoribb mobil malware-ek között, amelyet az AndroidBauts és a Lotoor követ.

  1. xHelper – 2019 márciusa óta látható rosszindulatú alkalmazás, amelyet más rosszindulatú alkalmazások letöltésére és reklámok megjelenítésére használnak. Az alkalmazás képes elrejteni magát a felhasználó elől, és eltávolítás esetén újratelepíti magát.
  2. AndroidBauts – Android felhasználókat célzó reklámprogram, amely kiszivárogtatja az IMEI, IMSI, GPS helymeghatározó és egyéb készülékinformációkat, és lehetővé teszi harmadik féltől származó alkalmazások és parancsikonok telepítését a mobileszközökre.
  1. Lotoor – Hacking eszköz, amely az Android operációs rendszerek sebezhetőségeit kihasználva root jogosultságokat szerez a kompromittált mobileszközökön.

Articles

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.