Check Points forskere finder, at Dridex er blevet opdateret og spredt via flere spam-kampagner for at levere målrettet ransomware, hvilket øger risikoen fra den veletablerede trojaner
Vores seneste Global Threat Index for marts 2020 viser, at den velkendte banktrojaner Dridex, som første gang dukkede op i 2011, for første gang er kommet på top ti-listen over malware, som den tredje mest udbredte malware i marts. Dridex er blevet opdateret og bruges nu i de tidlige angrebsfaser til at downloade målrettet ransomware, såsom BitPaymer og DoppelPaymer.
Den kraftige stigning i brugen af Dridex blev drevet af flere spamkampagner, der indeholder en ondsindet Excel-fil, som downloader Dridex-malware til offerets computer. Denne stigning i Dridex-malware fremhæver, hvor hurtigt cyberkriminelle ændrer temaerne for deres angreb for at forsøge at maksimere infektionsraten.
Dridex er en sofistikeret stamme af bankmalware, der er rettet mod Windows-platformen og leverer spamkampagner, der inficerer computere og stjæler bankoplysninger og andre personlige oplysninger for at lette svigagtige pengeoverførsler. Malwaren er blevet systematisk opdateret og udviklet i løbet af det seneste årti. XMRig ligger fortsat på førstepladsen i indekset over de bedste malware-familier og påvirker 5 % af organisationerne globalt, efterfulgt af Jsecoin og Dridex, som påvirker henholdsvis 4 % og 3 % af organisationerne globalt.
Dridex kan være meget lukrativ for kriminelle på grund af sin sofistikering, og den bruges nu som en ransomware-downloader, hvilket gør den endnu farligere end tidligere varianter. Enkeltpersoner skal være på vagt over for e-mails med vedhæftede filer, selv om de ser ud til at stamme fra en pålidelig kilde – især med eksplosionen i hjemmearbejde i løbet af de seneste par uger. Organisationer skal uddanne deres medarbejdere i at identificere skadelig spam og indføre sikkerhedsforanstaltninger, der hjælper med at beskytte deres teams og netværk mod sådanne trusler.
Martsrapporten advarer også om, at “MVPower DVR Remote Code Execution” fortsat er den mest almindelige sårbarhed, der udnyttes, og som påvirker 30 % af organisationerne på verdensplan, tæt fulgt af “PHP php-cgi Query String Parameter Code Execution” med en global indvirkning på 29 %, efterfulgt af “OpenSSL TLS DTLS DTLS Heartbeat Information Disclosure”, der påvirker 27 % af organisationerne på verdensplan.
Top malware-familier
*Pilene henviser til ændringen i rang i forhold til den foregående måned.
I denne måned ligger XMRig fortsat på førstepladsen med indvirkning på 5 % af organisationerne globalt, efterfulgt af Jsecoin og Dridex med indvirkning på henholdsvis 4 % og 3 % af organisationerne globalt.
- ↔ XMRig – XMRig er en open source CPU-miningssoftware, der bruges til minedriftsprocessen af kryptovalutaen Monero, og som først blev set i naturen i maj 2017.
- Jsecoin – Jsecoin er en webbaseret kryptominer, der er designet til at udføre online-mining af Monero kryptovaluta, når en bruger besøger en bestemt webside. Den implanterede JavaScript bruger en stor del af slutbrugerens computerressourcer til at udvinde mønter, hvilket påvirker systemets ydeevne.
- Dridex – Dridex er en banktrojaner, der er rettet mod Windows-platformen og leveres af spamkampagner og exploit kits, som er afhængige af WebInjects til at opsnappe og omdirigere bankoplysninger til en angriberstyret server. Dridex kontakter en fjernserver, sender oplysninger om det inficerede system og kan også downloade og udføre yderligere moduler til fjernstyring.
- ↔ Trickbot – Trickbot er en dominerende banktrojaner, der konstant opdateres med nye kapaciteter, funktioner og distributionsvektorer. Dette gør Trickbot til en fleksibel og tilpasselig malware, der kan distribueres som en del af kampagner med flere formål.
- ↓ Emotet – Emotet er en avanceret, selvformidlende og modulopbygget trojansk hest. Emotet blev engang brugt som en banktrojaner og er for nylig blevet brugt som distributør til anden malware eller ondsindede kampagner. Den bruger flere metoder til at opretholde persistens og undvigelsesteknikker for at undgå opdagelse. Desuden kan den spredes gennem phishing-spammails, der indeholder malware.
- ↔ Agent Tesla – Agent Tesla er en avanceret RAT, der fungerer som en keylogger og en password stealer. Agent Tesla er i stand til at overvåge og indsamle offerets tastaturindtastning, systemklippebordet, tage skærmbilleder og exfiltrere
oplysninger fra en række forskellige programmer installeret på offerets maskine (herunder Google Chrome, Mozilla Firefox og Microsoft Outlook e-mail-klient). - Formbook – Formbook er en Info Stealer, der høster legitimationsoplysninger fra forskellige webbrowsere, indsamler skærmbilleder, overvåger og logger tastetryk, og kan downloade og udføre filer i henhold til sine C&C-ordrer.
- ↓ Lokibot – Lokibot er en Info Stealer, der hovedsageligt distribueres via phishing-e-mails og bruges til at stjæle forskellige data såsom e-mailoplysninger samt adgangskoder til CryptoCoin-tegnebøger og FTP-servere.
- ↓ Ramnit – Ramnit er en banktrojaner, der stjæler bankoplysninger, FTP-passwords, sessionscookies og personlige data.
- RigEK- RigEK leverer exploits til Flash, Java, Silverlight og Internet Explorer. Infektionskæden starter med en omdirigering til en landingsside, der indeholder JavaScript, som kontrollerer, om der findes sårbare plug-ins, og som leverer udnyttelsen.
- ↔ MVPower DVR Remote Code Execution – En sårbarhed i forbindelse med fjernudførelse af kode, som findes i MVPower DVR-enheder. En fjernangriber kan udnytte denne svaghed til at udføre vilkårlig kode i den berørte router via en udformet anmodning.
- PHP php-cgi Query String Parameter Code Execution – En sårbarhed i forbindelse med fjernudførelse af kode, som er blevet rapporteret i PHP. Sårbarheden skyldes ukorrekt parsing og filtrering af forespørgselsstrenge i PHP. En fjernangriber kan udnytte dette problem ved at sende fabrikerede HTTP-forespørgsler. En vellykket udnyttelse giver en angriber mulighed for at udføre vilkårlig kode på målet.
- ↓ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – En sårbarhed i OpenSSL, der afslører oplysninger. Sårbarheden skyldes en fejl ved håndtering af TLS/DTLS heartbeat-pakker. En angriber kan udnytte denne sårbarhed til at afsløre hukommelsesindholdet i en tilsluttet klient eller server.
- Webserver eksponerede Git Repository Information Disclosure – Der er rapporteret om en sårbarhed i Git Repository, der afslører information. Succesfuld udnyttelse af denne sårbarhed kan muliggøre en utilsigtet videregivelse af kontooplysninger.
- ↓ Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Der findes en sårbarhed i Dasan GPON-routere, der omgår autentificering. Succesfuld udnyttelse af denne sårbarhed vil gøre det muligt for fjernangribere at opnå følsomme oplysninger og få uautoriseret adgang til det berørte system.
- Huawei HG532 Router Remote Code Execution – Der findes en sårbarhed i forbindelse med fjernudførelse af kode i Huawei HG532-routere. En fjernangriber kan udnytte denne svaghed til at udføre vilkårlig kode i den berørte router via en udformet anmodning.
- ↓PHP DIESCAN informationsafgivelse – En sårbarhed i forbindelse med informationsafgivelse, der er blevet rapporteret i PHP-siderne. En vellykket udnyttelse kan føre til videregivelse af følsomme oplysninger fra serveren.
- ↓SQL Injection (flere teknikker) – Indsættelse af en injektion af SQL-forespørgsel i input fra klient til program, samtidig med at en sikkerhedssårbarhed i et programs software udnyttes.
- OpenSSL Padding Oracle Information Disclosure – Der findes en sårbarhed i forbindelse med videregivelse af oplysninger i AES-NI-implementeringen af OpenSSL. Sårbarheden skyldes en fejlberegning af hukommelsesallokering under en bestemt paddingkontrol. En fjernangriber kan udnytte denne sårbarhed til at opnå følsomme oplysninger i klartekst via et padding-orakelangreb mod en AES CBC-session.
- xHelper – Et ondsindet program, der er set i naturen siden marts 2019, og som bruges til at downloade andre ondsindede apps og vise reklame. Applikationen kan skjule sig selv for brugeren og geninstallere sig selv, hvis den afinstalleres.
- AndroidBauts – Adware rettet mod Android-brugere, der exfiltrerer IMEI, IMSI, GPS-placering og andre enhedsoplysninger og gør det muligt at installere apps og genveje fra tredjeparter på mobile enheder.
- Lotoor – Et hackerværktøj, der udnytter sårbarheder i Android-operativsystemer for at opnå root-privilegier på kompromitterede mobile enheder.
Top udnyttede sårbarheder
I denne måned er “MVPower DVR Remote Code Execution” fortsat den mest udbredte udnyttede sårbarhed, der påvirker 30 % af organisationerne globalt, tæt fulgt af “PHP php-cgi Query String Parameter Code Execution” med en global indvirkning på 29 %. På tredjepladsen ligger “OpenSSL TLS DTLS DTLS Heartbeat Information Disclosure”, som påvirker 27 % af organisationerne på verdensplan.
D-Link DSL-2750B Remote Command Execution – Der findes en sårbarhed i WordPress portable-phpMyAdmin-plugin, der omgår autentificering. Succesfuld udnyttelse af denne sårbarhed vil gøre det muligt for fjernangribere at opnå følsomme oplysninger og få uautoriseret adgang til det berørte system.
Top malware-familier – Mobile
I denne måned beholdt xHelper førstepladsen i den mest udbredte mobile malware, efterfulgt af AndroidBauts og Lotoor.