March 2020’s Most Wanted Malware: Troianul bancar Dridex se clasează pentru prima dată în topul listei de malware

Cercetătorii de la Check Point au descoperit că Dridex a fost actualizat și răspândit prin intermediul mai multor campanii de spam pentru a livra ransomware țintit, crescând riscul din partea troianului de lungă durată

Cel mai recent Index Global al Amenințărilor (Global Threat Index) pentru luna martie 2020 arată că binecunoscutul troian bancar Dridex, care a apărut pentru prima dată în 2011, a intrat pentru prima dată în topul primilor zece malware, fiind al treilea cel mai răspândit malware în martie. Dridex a fost actualizat și este acum utilizat în primele etape de atac pentru descărcarea de ransomware țintit, cum ar fi BitPaymer și DoppelPaymer.

Creșterea bruscă a utilizării Dridex a fost determinată de mai multe campanii de spam care conțin un fișier Excel malițios care descarcă malware-ul Dridex în calculatorul victimei. Această recrudescență a malware-ului Dridex evidențiază cât de rapid schimbă infractorii cibernetici temele atacurilor lor pentru a încerca să maximizeze ratele de infectare.

Dridex este o tulpină sofisticată de malware bancar care vizează platforma Windows, livrând campanii de spam pentru a infecta computerele și a fura acreditările bancare și alte informații personale pentru a facilita transferul fraudulos de bani. Malware-ul a fost actualizat și dezvoltat în mod sistematic în ultimul deceniu. XMRig rămâne pe locul 1 în Indexul celor mai importante familii de malware, având un impact asupra a 5% dintre organizații la nivel global, urmat de Jsecoin și Dridex, care au avut un impact asupra a 4% și, respectiv, 3% dintre organizațiile din întreaga lume.

Dridex poate fi foarte profitabil pentru infractori, având în vedere gradul său de sofisticare, iar acum este folosit ca downloader de ransomware, ceea ce îl face și mai periculos decât variantele anterioare. Persoanele fizice trebuie să se ferească de e-mailurile cu atașamente, chiar dacă acestea par să provină dintr-o sursă de încredere – mai ales având în vedere explozia muncii la domiciliu din ultimele săptămâni. Organizațiile trebuie să-și educe angajații cu privire la modul în care pot identifica spam-ul malițios și să implementeze măsuri de securitate care să ajute la protejarea echipelor și rețelelor lor împotriva unor astfel de amenințări.

Raportul din martie avertizează, de asemenea, că „MVPower DVR Remote Code Execution” a rămas cea mai frecventă vulnerabilitate exploatată, cu un impact de 30% din organizații la nivel global, urmată îndeaproape de „PHP php-cgi Query String Parameter Code Execution”, cu un impact global de 29%, urmată de „OpenSSL TLS DTLS DTLS Heartbeat Information Disclosure”, cu un impact de 27% din organizațiile din întreaga lume.

Familiile de malware de top

*Săgețile se referă la modificarea clasamentului față de luna precedentă.

În această lună, XMRig rămâne pe locul 1, având un impact asupra a 5% dintre organizații la nivel global, urmat de Jsecoin și Dridex, cu impact asupra a 4% și, respectiv, 3% dintre organizațiile din întreaga lume.

1. ↔ XMRig – XMRig este un software de minerit cu sursă deschisă pentru CPU utilizat pentru procesul de minerit al criptomonedei Monero, văzut pentru prima dată în sălbăticie în mai 2017.

1. Jsecoin – Jsecoin este un criptominer bazat pe web, conceput pentru a efectua mineritul online al criptomonedei Monero atunci când un utilizator vizitează o anumită pagină web. JavaScript-ul implantat utilizează o mare parte din resursele de calcul ale utilizatorului final pentru a mina monede, afectând astfel performanța sistemului.
1. Dridex – Dridex este un troian bancar care vizează platforma Windows și este livrat prin campanii de spam și kituri de exploatare, care se bazează pe WebInjects pentru a intercepta și redirecționa acreditările bancare către un server controlat de atacator. Dridex contactează un server de la distanță, trimite informații despre sistemul infectat și poate, de asemenea, descărca și executa module suplimentare pentru control de la distanță.
2. ↔ Trickbot – Trickbot este un troian bancar dominant care este actualizat în mod constant cu noi capacități, caracteristici și vectori de distribuție. Acest lucru îi permite lui Trickbot să fie un malware flexibil și personalizabil care poate fi distribuit ca parte a unor campanii cu scopuri multiple.
3. ↓ Emotet – Emotet este un troian avansat, autopropagat și modular. Emotet a fost folosit cândva ca troian bancar, iar recent este folosit ca distribuitor pentru alte programe malware sau campanii malițioase. Folosește mai multe metode de menținere a persistenței și tehnici de evaziune pentru a evita detectarea. În plus, poate fi răspândit prin intermediul e-mailurilor spam de phishing care conțin malware.
4. ↔ Agent Tesla – Agent Tesla este un RAT avansat, care funcționează ca keylogger și hoț de parole. Agent Tesla este capabil să monitorizeze și să colecteze intrările de la tastatură ale victimei, clipboard-ul sistemului, să facă capturi de ecran și să exfiltreze
   credențiale de la o varietate de software instalat pe calculatorul victimei (inclusiv Google Chrome, Mozilla Firefox și clientul de e-mail Microsoft Outlook).
5. Formbook – Formbook este un Info Stealer care culege credențiale din diverse browsere web, colectează capturi de ecran, monitorizează și înregistrează apăsările de taste și poate descărca și executa fișiere în conformitate cu ordinele sale C&C.
6. ↓ Lokibot – Lokibot este un Info Stealer distribuit în principal prin e-mailuri de phishing și este folosit pentru a fura diverse date, cum ar fi credențiale de e-mail, precum și parole pentru portofele CryptoCoin și servere FTP.
7. ↓ Ramnit – Ramnit este un troian bancar care fură credențiale bancare, parole FTP, cookie-uri de sesiune și date personale.
8. RigEK- RigEK livrează exploit-uri pentru Flash, Java, Silverlight și Internet Explorer. Lanțul de infectare începe cu o redirecționare către o pagină de destinație care conține JavaScript care verifică dacă există plug-in-uri vulnerabile și livrează exploit-ul.

Top vulnerabilități exploatate

În această lună, „MVPower DVR Remote Code Execution” rămâne cea mai frecventă vulnerabilitate exploatată, având un impact de 30% din organizațiile la nivel global, urmată îndeaproape de „PHP php-cgi Query String Parameter Code Execution” cu un impact global de 29%. Pe locul 3, „OpenSSL TLS DTLS DTLS Heartbeat Information Disclosure” are un impact de 27% din organizațiile din întreaga lume.

1. ↔ MVPower DVR Remote Code Execution – O vulnerabilitate de executare de cod de la distanță care există în dispozitivele MVPower DVR. Un atacator de la distanță poate exploata această slăbiciune pentru a executa cod arbitrar în routerul afectat prin intermediul unei solicitări prelucrate.
2. PHP php-cgi Query String Parameter Code Execution – O vulnerabilitate de executare de cod de la distanță care a fost raportată în PHP. Vulnerabilitatea se datorează analizei și filtrării necorespunzătoare a șirurilor de interogare de către PHP. Un atacator de la distanță poate exploata această problemă prin trimiterea de cereri HTTP prelucrate. Exploatarea cu succes permite unui atacator să execute cod arbitrar pe țintă.
3. ↓ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – O vulnerabilitate de dezvăluire a informațiilor care există în OpenSSL. Vulnerabilitatea se datorează unei erori la gestionarea pachetelor TLS/DTLS heartbeat. Un atacator poate profita de această vulnerabilitate pentru a dezvălui conținutul memoriei unui client sau server conectat.
4. Web Server Exposed Git Repository Information Disclosure – A fost raportată o vulnerabilitate de dezvăluire a informațiilor în Git Repository. Exploatarea cu succes a acestei vulnerabilități ar putea permite o dezvăluire neintenționată a informațiilor de cont.
5. ↓ Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Există o vulnerabilitate de ocolire a autentificării în routerele Dasan GPON. Exploatarea cu succes a acestei vulnerabilități ar permite atacatorilor de la distanță să obțină informații sensibile și să obțină acces neautorizat în sistemul afectat.
6. Huawei HG532 Router Remote Code Execution – Există o vulnerabilitate de executare a codului de la distanță în routerele Huawei HG532. Un atacator de la distanță poate exploata această slăbiciune pentru a executa cod arbitrar în routerul afectat prin intermediul unei solicitări meșteșugite.
7. D-Link DSL-2750B Remote Command Execution – Există o vulnerabilitate de ocolire a autentificării în pluginul WordPress portable-phpMyAdmin. Exploatarea cu succes a acestei vulnerabilități ar permite atacatorilor de la distanță să obțină informații sensibile și să obțină acces neautorizat în sistemul afectat.
8. ↓PHP DIESCAN information disclosure – O vulnerabilitate de dezvăluire a informațiilor care a fost raportată în paginile PHP. Exploatarea cu succes ar putea duce la dezvăluirea de informații sensibile de pe server.
9. ↓SQL Injection (mai multe tehnici) – Inserarea unei injecții de interogare SQL în intrările de la client la aplicație, în timp ce se exploatează o vulnerabilitate de securitate în software-ul unei aplicații.
10. OpenSSL Padding Oracle Information Disclosure – O vulnerabilitate de dezvăluire a informațiilor există în implementarea AES-NI a OpenSSL. Vulnerabilitatea se datorează calculării greșite a alocării de memorie în timpul unei anumite verificări de padding. Un atacator de la distanță poate exploata această vulnerabilitate pentru a obține informații sensibile în clar prin intermediul unui atac padding-oracle împotriva unei sesiuni AES CBC.

Top familii de malware – Mobile

În această lună, xHelper și-a păstrat locul 1 în topul celor mai răspândite programe malware mobile, urmat de AndroidBauts și Lotoor.

1. xHelper – O aplicație malițioasă văzută în sălbăticie din martie 2019, utilizată pentru a descărca alte aplicații malițioase și a afișa reclame. Aplicația se poate ascunde de utilizator și se poate reinstala în cazul în care este dezinstalată.
2. AndroidBauts – Adware care vizează utilizatorii de Android și care exfiltrează IMEI, IMSI, locația GPS și alte informații despre dispozitiv și permite instalarea de aplicații terțe și scurtături pe dispozitivele mobile.
1. Lotoor – Un instrument de hacking care exploatează vulnerabilitățile sistemelor de operare Android pentru a obține privilegii de root pe dispozitivele mobile compromise.