Badacze Check Pointa odkryli, że Dridex został zaktualizowany i rozprzestrzenił się za pośrednictwem wielu kampanii spamowych w celu dostarczenia ukierunkowanego ransomware, zwiększając zagrożenie ze strony znanego od dawna trojana
Nasz najnowszy Globalny Indeks Zagrożeń na marzec 2020 r. pokazuje, że dobrze znany trojan bankowy Dridex, który po raz pierwszy pojawił się w 2011 r., po raz pierwszy wszedł do pierwszej dziesiątki listy złośliwego oprogramowania, jako trzecie najczęściej występujące złośliwe oprogramowanie w marcu. Dridex został zaktualizowany i jest obecnie wykorzystywany we wczesnych etapach ataku do pobierania ukierunkowanego oprogramowania ransomware, takiego jak BitPaymer i DoppelPaymer.
Gwałtowny wzrost wykorzystania Dridexa był spowodowany kilkoma kampaniami spamowymi zawierającymi złośliwy plik Excel, który pobiera złośliwe oprogramowanie Dridex na komputer ofiary. Ten wzrost liczby złośliwego oprogramowania Dridex podkreśla, jak szybko cyberprzestępcy zmieniają tematy swoich ataków, aby spróbować zmaksymalizować liczbę infekcji.
Dridex to wyrafinowany szczep bankowego złośliwego oprogramowania, które jest ukierunkowane na platformę Windows, dostarczając kampanie spamowe w celu zainfekowania komputerów i kradzieży danych uwierzytelniających do systemów bankowych oraz innych informacji osobistych w celu ułatwienia oszukańczego transferu pieniędzy. Złośliwe oprogramowanie było systematycznie aktualizowane i rozwijane w ciągu ostatniej dekady. XMRig pozostaje na 1. miejscu w rankingu najlepszych rodzin szkodliwego oprogramowania, atakując 5% organizacji na całym świecie. Kolejne miejsca zajmują Jsecoin i Dridex, które atakują odpowiednio 4% i 3% organizacji na całym świecie.
Dridex może być bardzo lukratywny dla przestępców ze względu na swoje wyrafinowanie, a obecnie jest wykorzystywany jako downloader ransomware, co czyni go jeszcze bardziej niebezpiecznym niż poprzednie warianty. Osoby prywatne powinny być ostrożne wobec e-maili z załącznikami, nawet jeśli wydają się pochodzić z zaufanego źródła – szczególnie w obliczu eksplozji pracy w domu w ciągu ostatnich kilku tygodni. Organizacje powinny edukować pracowników, jak rozpoznawać złośliwy spam, oraz wdrażać środki bezpieczeństwa, które pomogą chronić ich zespoły i sieci przed takimi zagrożeniami.
Marcowy raport ostrzega również, że „MVPower DVR Remote Code Execution” pozostaje najczęściej wykorzystywaną luką, mającą wpływ na 30% organizacji na całym świecie, tuż za nią plasuje się „PHP php-cgi Query String Parameter Code Execution” z globalnym wpływem 29%, a za nią „OpenSSL TLS DTLS Heartbeat Information Disclosure”, który ma wpływ na 27% organizacji na całym świecie.
Najlepsze rodziny złośliwego oprogramowania
*Strzałki oznaczają zmiany w rankingu w porównaniu z poprzednim miesiącem.
W tym miesiącu XMRig pozostaje na pierwszym miejscu, atakując 5% organizacji na całym świecie, a kolejne miejsca zajmują Jsecoin i Dridex, atakujące odpowiednio 4% i 3% organizacji na całym świecie.
- ↔ XMRig – XMRig to open-source’owe oprogramowanie do wydobywania CPU wykorzystywane do procesu wydobywania kryptowaluty Monero, po raz pierwszy widziane na wolności w maju 2017 r.
- Jsecoin – Jsecoin to internetowa kryptominerka, zaprojektowana w celu przeprowadzania wydobycia online kryptowaluty Monero, gdy użytkownik odwiedza określoną stronę internetową. Wszczepiony JavaScript wykorzystuje dużą ilość zasobów obliczeniowych użytkownika końcowego do wydobywania monet, wpływając w ten sposób na wydajność systemu.
- Dridex – Dridex to trojan bankowy, który jest skierowany na platformę Windows i jest dostarczany przez kampanie spamowe i zestawy exploitów, które opierają się na WebInjectach w celu przechwycenia i przekierowania danych uwierzytelniających do serwera kontrolowanego przez atakującego. Dridex kontaktuje się ze zdalnym serwerem, wysyła informacje o zainfekowanym systemie, a także może pobierać i wykonywać dodatkowe moduły umożliwiające zdalną kontrolę.
- ↔ Trickbot – Trickbot jest dominującym trojanem bankowym stale aktualizowanym o nowe możliwości, funkcje i wektory dystrybucji. Dzięki temu Trickbot jest elastycznym i konfigurowalnym złośliwym oprogramowaniem, które może być rozprzestrzeniane w ramach kampanii o wielu zastosowaniach.
- ↓ Emotet – Emotet jest zaawansowanym, samonapędzającym się i modułowym trojanem. Emotet był kiedyś wykorzystywany jako trojan bankowy, a ostatnio jest używany jako dystrybutor innego złośliwego oprogramowania lub złośliwych kampanii. Wykorzystuje on wiele metod utrzymywania trwałości oraz technik unikania wykrycia. Ponadto, może rozprzestrzeniać się za pośrednictwem phishingowych wiadomości spamowych zawierających złośliwe oprogramowanie.
- ↔ Agent Tesla – Agent Tesla to zaawansowany RAT, funkcjonujący jako keylogger i kradnący hasła. Agent Tesla jest zdolny do monitorowania i zbierania danych wprowadzanych z klawiatury ofiary, schowka systemowego, wykonywania zrzutów ekranu oraz pozyskiwania
poświadczeń z różnych programów zainstalowanych na komputerze ofiary (w tym Google Chrome, Mozilla Firefox i klienta poczty elektronicznej Microsoft Outlook). - Formbook – Formbook to program typu Info Stealer, który zbiera dane uwierzytelniające z różnych przeglądarek internetowych, gromadzi zrzuty ekranu, monitoruje i rejestruje naciśnięcia klawiszy, a także może pobierać i wykonywać pliki zgodnie ze swoimi rozkazami C&C.
- ↓ Lokibot – Lokibot to Info Stealer dystrybuowany głównie za pomocą wiadomości phishingowych i jest wykorzystywany do kradzieży różnych danych, takich jak dane uwierzytelniające do poczty elektronicznej, a także hasła do portfeli CryptoCoin i serwerów FTP.
- ↓ Ramnit – Ramnit jest trojanem bankowym, który wykrada dane uwierzytelniające, hasła FTP, pliki cookie sesji i dane osobowe.
- RigEK- RigEK dostarcza exploity dla Flasha, Javy, Silverlight i Internet Explorera. Łańcuch infekcji rozpoczyna się od przekierowania na stronę docelową, która zawiera JavaScript sprawdzający obecność podatnych wtyczek i dostarczający exploita.
Najczęściej wykorzystywane luki
W tym miesiącu „MVPower DVR Remote Code Execution” pozostaje najczęściej wykorzystywaną luką, mającą wpływ na 30% organizacji na całym świecie, tuż za nią plasuje się „PHP php-cgi Query String Parameter Code Execution” z globalnym wpływem 29%. Na trzecim miejscu znajduje się „OpenSSL TLS DTLS Heartbeat Information Disclosure”, który ma wpływ na 27% organizacji na całym świecie.
- ↔ MVPower DVR Remote Code Execution – Luka umożliwiająca zdalne wykonanie kodu występująca w urządzeniach MVPower DVR. Zdalny napastnik może wykorzystać ten słaby punkt do wykonania dowolnego kodu w zainfekowanym routerze za pośrednictwem spreparowanego żądania.
- PHP php-cgi Query String Parameter Code Execution – Błąd w wykonywaniu zdalnego kodu, który został zgłoszony w PHP. Luka spowodowana jest niewłaściwym przetwarzaniem i filtrowaniem łańcuchów zapytań przez PHP. Zdalny napastnik może wykorzystać ten błąd wysyłając spreparowane żądania HTTP. Pomyślne wykorzystanie pozwala atakującemu na wykonanie dowolnego kodu na celu.
- ↓ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Luka w OpenSSL polegająca na ujawnianiu informacji. Luka jest spowodowana błędem podczas obsługi pakietów TLS/DTLS heartbeat. Napastnik może wykorzystać tę lukę do ujawnienia zawartości pamięci połączonego klienta lub serwera.
- Web Server Exposed Git Repository Information Disclosure – W Git Repository zgłoszono lukę ujawniającą informacje. Pomyślne wykorzystanie tej luki mogłoby pozwolić na niezamierzone ujawnienie informacji o koncie.
- ↓ Dasan GPON Router Authentication Bypass (CVE-2018-10561) – W routerach Dasan GPON występuje luka związana z omijaniem uwierzytelniania. Pomyślne wykorzystanie tej luki umożliwiłoby zdalnym napastnikom uzyskanie poufnych informacji i nieautoryzowanego dostępu do systemu, w którym występuje błąd.
- Huawei HG532 Router Remote Code Execution – W routerach Huawei HG532 występuje luka umożliwiająca zdalne wykonanie kodu. Zdalny napastnik może wykorzystać tę lukę do wykonania dowolnego kodu w zaatakowanym routerze za pomocą spreparowanego żądania.
- D-Link DSL-2750B Remote Command Execution – W pluginie WordPress portable-phpMyAdmin występuje luka umożliwiająca ominięcie uwierzytelnienia. Pomyślne wykorzystanie tej luki umożliwiłoby zdalnym napastnikom uzyskanie poufnych informacji i nieautoryzowanego dostępu do systemu, w którym występuje błąd.
- ↓PHP DIESCAN information disclosure – Luka ujawniająca informacje została zgłoszona w stronach PHP. Udana eksploatacja może doprowadzić do ujawnienia wrażliwych informacji z serwera.
- ↓SQL Injection (kilka technik) – Wstrzyknięcie zapytania SQL w dane wejściowe od klienta do aplikacji, przy jednoczesnym wykorzystaniu luki bezpieczeństwa w oprogramowaniu aplikacji.
- OpenSSL Padding Oracle Information Disclosure – Luka ujawniająca informacje istnieje w implementacji AES-NI w OpenSSL. Luka spowodowana jest błędem alokacji pamięci podczas pewnego sprawdzania wypełnienia. Zdalny napastnik może wykorzystać tę lukę do uzyskania poufnych informacji w postaci czystego tekstu poprzez atak typu padding-oracle przeciwko sesji AES CBC.
Najlepsze rodziny złośliwego oprogramowania – Mobile
W tym miesiącu xHelper utrzymał 1. miejsce wśród najczęściej występujących mobilnych złośliwych programów, a tuż za nim uplasowały się AndroidBauts i Lotoor.
- xHelper – Złośliwa aplikacja widziana na wolności od marca 2019 roku, wykorzystywana do pobierania innych złośliwych aplikacji i wyświetlania reklam. Aplikacja może ukrywać się przed użytkownikiem i reinstalować się w przypadku odinstalowania.
- AndroidBauts – Adware ukierunkowane na użytkowników Androida, które eksfiltruje IMEI, IMSI, lokalizację GPS i inne informacje o urządzeniu oraz umożliwia instalację aplikacji i skrótów stron trzecich na urządzeniach mobilnych.
- Lotoor – Narzędzie hakerskie wykorzystujące luki w systemach operacyjnych Android w celu uzyskania uprawnień roota na zagrożonych urządzeniach mobilnych.
.