De onderzoekers van Check Point vinden dat Dridex is bijgewerkt en verspreid via meerdere spamcampagnes om gerichte ransomware te leveren, waardoor het risico van de reeds lang bestaande trojan toeneemt
Onze nieuwste Global Threat Index voor maart 2020 laat zien dat de bekende banking trojan Dridex, die voor het eerst verscheen in 2011, voor het eerst in de top tien malware lijst is binnengekomen, als de derde meest voorkomende malware in maart. Dridex is bijgewerkt en wordt nu gebruikt in de vroege aanvalsfasen voor het downloaden van gerichte ransomware, zoals BitPaymer en DoppelPaymer.
De sterke toename van het gebruik van Dridex werd gedreven door verschillende spamcampagnes met een kwaadaardig Excel-bestand dat Dridex-malware downloadt op de computer van het slachtoffer. Deze toename van Dridex-malware laat zien hoe snel cybercriminelen de thema’s van hun aanvallen veranderen om te proberen het infectiepercentage te maximaliseren.
Dridex is een geraffineerde vorm van malware voor bankieren die zich richt op het Windows-platform, waarbij spamcampagnes worden geleverd om computers te infecteren en bankgegevens en andere persoonlijke informatie te stelen om frauduleuze geldoverdracht mogelijk te maken. De malware is in de afgelopen tien jaar systematisch bijgewerkt en ontwikkeld. XMRig blijft op de 1e plaats staan in de Index van top malware families, met een impact op 5% van de organisaties wereldwijd, gevolgd door Jsecoin en Dridex die respectievelijk 4% en 3% van de organisaties wereldwijd troffen.
Dridex kan zeer lucratief zijn voor criminelen gezien de geraffineerdheid ervan, en wordt nu gebruikt als ransomware downloader, wat het nog gevaarlijker maakt dan eerdere varianten. Mensen moeten op hun hoede zijn voor e-mails met bijlagen, zelfs als deze afkomstig lijken te zijn van een betrouwbare bron – vooral met de explosieve toename van thuiswerken in de afgelopen weken. Organisaties moeten hun medewerkers leren hoe ze schadelijke spam kunnen herkennen en beveiligingsmaatregelen nemen om hun teams en netwerken tegen dergelijke bedreigingen te beschermen.
Het rapport van maart waarschuwt ook dat “MVPower DVR Remote Code Execution” de meest voorkomende kwetsbaarheid blijft die wordt misbruikt, met een impact van 30% van de organisaties wereldwijd, op de voet gevolgd door “PHP php-cgi Query String Parameter Code Execution” met een wereldwijde impact van 29%, gevolgd door “OpenSSL TLS DTLS Heartbeat Information Disclosure” met een impact van 27% van de organisaties wereldwijd.
Top malware-families
*De pijlen hebben betrekking op de verandering in rangorde ten opzichte van de vorige maand.
Deze maand blijft XMRig op de 1e plaats, met een impact van 5% van de organisaties wereldwijd, gevolgd door Jsecoin en Dridex met een impact van respectievelijk 4% en 3% van de organisaties wereldwijd.
- ↔ XMRig – XMRig is een open-source CPU-mijnbouwsoftware die wordt gebruikt voor het mijnproces van de Monero cryptocurrency, voor het eerst in het wild gezien op mei 2017.
- Jsecoin – Jsecoin is een webgebaseerde cryptominer, ontworpen om online mijnbouw van Monero cryptocurrency uit te voeren wanneer een gebruiker een bepaalde webpagina bezoekt. Het geïmplanteerde JavaScript gebruikt een groot deel van de rekenkracht van de eindgebruiker om munten te delven, wat van invloed is op de systeemprestaties.
- Dridex – Dridex is een Banking Trojan die gericht is op het Windows-platform, en wordt geleverd door spamcampagnes en exploitkits, die gebruikmaken van WebInjects om bankgegevens te onderscheppen en om te leiden naar een door de aanvaller beheerde server. Dridex maakt contact met een server op afstand, verstuurt informatie over het geïnfecteerde systeem en kan ook aanvullende modules downloaden en uitvoeren voor controle op afstand.
- ↔ Trickbot – Trickbot is een dominante banking Trojan die voortdurend wordt bijgewerkt met nieuwe mogelijkheden, features en distributievectoren. Hierdoor is Trickbot een flexibele en aanpasbare malware die kan worden verspreid als onderdeel van campagnes met meerdere doeleinden.
- ↓ Emotet – Emotet is een geavanceerde, zelfverspreidende en modulaire Trojan. Emotet werd ooit ingezet als banking Trojan, en wordt sinds kort gebruikt als verspreider van andere malware of kwaadaardige campagnes. Het gebruikt meerdere methoden voor het behouden van persistentie en ontwijkingstechnieken om detectie te vermijden. Bovendien kan het worden verspreid via phishing-spam-e-mails die malware bevatten.
- ↔ Agent Tesla – Agent Tesla is een geavanceerde RAT, die werkt als een keylogger en een wachtwoordsteler. Agent Tesla kan de toetsenbordinvoer en het klembord van het systeem van het slachtoffer in de gaten houden en verzamelen, schermafbeeldingen maken en
gegevens van verschillende software die op de computer van het slachtoffer is geïnstalleerd (waaronder Google Chrome, Mozilla Firefox en de e-mailclient Microsoft Outlook), achterhalen. - Formbook – Formbook is een Info Stealer die referenties oogst van verschillende web browsers, screenshots verzamelt, toetsaanslagen monitort en logt, en bestanden kan downloaden en uitvoeren volgens zijn C&C orders.
- ↓ Lokibot – Lokibot is een Info Stealer die voornamelijk via phishing emails wordt verspreid en wordt gebruikt om verschillende gegevens te stelen zoals e-mail credentials, maar ook wachtwoorden voor CryptoCoin wallets en FTP servers.
- ↓ Ramnit – Ramnit is een banking Trojan die bankgegevens, FTP wachtwoorden, sessie cookies en persoonlijke gegevens steelt.
- RigEK- RigEK levert exploits voor Flash, Java, Silverlight en Internet Explorer. De infectieketen begint met een omleiding naar een landingspagina die JavaScript bevat dat controleert op kwetsbare plug-ins en de exploit levert.
Top uitgebuite kwetsbaarheden
Deze maand blijft de “MVPower DVR Remote Code Execution” de meest voorkomende uitgebuite kwetsbaarheid, met een impact van 30% van de organisaties wereldwijd, op de voet gevolgd door “PHP php-cgi Query String Parameter Code Execution” met een wereldwijde impact van 29%. Op de derde plaats komt OpenSSL TLS DTLS Heartbeat Information Disclosure, dat 27% van de organisaties wereldwijd treft.
- ↔ MVPower DVR Remote Code Execution – Een kwetsbaarheid voor code-executie op afstand in MVPower DVR-apparaten. Een externe aanvaller kan dit zwakke punt misbruiken om willekeurige code uit te voeren in de getroffen router via een bewerkt verzoek.
- PHP php-cgi Query String Parameter Code Execution – Een kwetsbaarheid voor code-uitvoering op afstand die is gemeld in PHP. De kwetsbaarheid is te wijten aan de onjuiste parsing en filtering van query strings door PHP. Een aanvaller op afstand kan dit probleem uitbuiten door bewerkte HTTP-verzoeken te verzenden. Succesvolle exploitatie stelt een aanvaller in staat om willekeurige code op het doelwit uit te voeren.
- ↓ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Een informatieverspreidingskwetsbaarheid die bestaat in OpenSSL. De kwetsbaarheid is te wijten aan een fout bij het verwerken van TLS/DTLS heartbeat pakketten. Een aanvaller kan deze kwetsbaarheid misbruiken om de geheugeninhoud van een verbonden client of server openbaar te maken.
- Web Server Exposed Git Repository Information Disclosure – Er is een kwetsbaarheid gemeld voor het openbaar maken van informatie in Git Repository. Succesvolle uitbuiting van deze kwetsbaarheid zou een onbedoelde openbaarmaking van accountinformatie mogelijk kunnen maken.
- ↓ Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Er bestaat een kwetsbaarheid in Dasan GPON-routers voor een authenticatie-omleiding. Succesvolle uitbuiting van deze kwetsbaarheid zou aanvallers op afstand in staat stellen om gevoelige informatie te verkrijgen en ongeautoriseerde toegang te krijgen tot het getroffen systeem.
- Huawei HG532 Router Remote Code Execution – Een kwetsbaarheid voor code-uitvoering op afstand bestaat in Huawei HG532 Routers. Een aanvaller op afstand kan dit zwakke punt misbruiken om willekeurige code uit te voeren in de getroffen router via een bewerkt verzoek.
- D-Link DSL-2750B Remote Command Execution – Een authenticatie omzeiling kwetsbaarheid bestaat in WordPress portable-phpMyAdmin Plugin. Succesvolle uitbuiting van deze kwetsbaarheid zou aanvallers op afstand in staat stellen gevoelige informatie te verkrijgen en ongeautoriseerde toegang te krijgen tot het getroffen systeem.
- ↓PHP DIESCAN information disclosure – Een kwetsbaarheid voor het openbaar maken van informatie die is gemeld in de PHP-pagina’s. Succesvolle uitbuiting zou kunnen leiden tot de onthulling van gevoelige informatie van de server.
- ↓SQL Injection (verschillende technieken) – Het invoegen van een injectie van SQL query in input van client naar applicatie, terwijl misbruik wordt gemaakt van een beveiligingslek in de software van een applicatie.
- OpenSSL Padding Oracle Information Disclosure – Een kwetsbaarheid in de onthulling van informatie bestaat in de AES-NI implementatie van OpenSSL. De kwetsbaarheid is te wijten aan een verkeerde geheugentoewijzing tijdens een bepaalde paddingcontrole. Een aanvaller op afstand kan deze kwetsbaarheid misbruiken om gevoelige informatie in duidelijke tekst te verkrijgen via een padding-orakel-aanval tegen een AES CBC-sessie.
Top malware-families – Mobiel
Deze maand behield xHelper de 1e plaats in de meest voorkomende mobiele malware, gevolgd door AndroidBauts en Lotoor.
- xHelper – Een kwaadaardige applicatie die sinds maart 2019 in het wild is gezien en wordt gebruikt voor het downloaden van andere kwaadaardige apps en het weergeven van advertenties. De toepassing kan zichzelf verbergen voor de gebruiker en zichzelf opnieuw installeren in geval van verwijdering.
- AndroidBauts – Adware gericht op Android-gebruikers die IMEI-, IMSI-, GPS-locatie- en andere apparaatinformatie exfiltreert en de installatie van apps en snelkoppelingen van derden op mobiele apparaten mogelijk maakt.
- Lotoor – Een hackingtool die kwetsbaarheden in Android-besturingssystemen misbruikt om rootprivileges te verkrijgen op gecompromitteerde mobiele apparaten.