Check Point: Στα captcha κρύβεται το πιο κακόβουλο λογισμικό του Οκτωβρίου

Η Check Point Software Technologies δημοσίευσε τον Παγκόσμιο Δείκτη Απειλών για τον Οκτώβριο του 2024. Η έκθεση αυτού του μήνα αναδεικνύει μια ανησυχητική τάση στο τοπίο της κυβερνοασφάλειας: την άνοδο των infostealers και την πολυπλοκότητα των μεθόδων επίθεσης που χρησιμοποιούν οι εγκληματίες του κυβερνοχώρου.

Τον περασμένο μήνα οι ερευνητές ανακάλυψαν μια αλυσίδα μόλυνσης όπου ψεύτικες σελίδες CAPTCHA χρησιμοποιούνται για τη διανομή του κακόβουλου λογισμικού Lumma Stealer, το οποίο ανέβηκε στην 4η θέση της μηνιαίας κατάταξης Top Malware. Αυτή η εκστρατεία αξίζει να σημειωθεί για την παγκόσμια εμβέλειά της, καθώς επηρεάζει πολλές χώρες μέσω δύο κύριων φορέων μόλυνσης: ο ένας περιλαμβάνει URLs λήψης σπασμένων παιχνιδιών και ο άλλος μέσω phishing emails που στοχεύουν χρήστες του GitHub ως ένα καινοτόμο νέο μέσο φορέα επίθεσης. Η διαδικασία μόλυνσης παραπλανά τα θύματα ώστε να εκτελέσουν ένα κακόβουλο σενάριο που έχει αντιγραφεί στο πρόχειρό τους, αναδεικνύοντας την αυξανόμενη επικράτηση των infostealers ως αποτελεσματικό μέσο για τους εγκληματίες του κυβερνοχώρου για τη λήψη διαπιστευτηρίων και ευαίσθητων δεδομένων από παραβιασμένα συστήματα.

Στον τομέα των κακόβουλων προγραμμάτων για κινητά, η νέα έκδοση του Necro έχει αναδειχθεί σε σημαντική απειλή, καταλαμβάνοντας τη 2η θέση στη λίστα. Το Necro έχει μολύνει διάφορες δημοφιλείς εφαρμογές, συμπεριλαμβανομένων των game mods που διατίθενται στο Google Play, με συνολικό κοινό πάνω από 11 εκατομμύρια συσκευές Android. Το κακόβουλο λογισμικό χρησιμοποιεί τεχνικές συσκότισης για να αποφύγει την ανίχνευση και χρησιμοποιεί τη στεγανογραφία, δηλαδή την πρακτική της απόκρυψης πληροφοριών μέσα σε ένα άλλο μήνυμα ή φυσικό αντικείμενο ώστε να αποφύγει την ανίχνευση, για να αποκρύψει τα ωφέλιμα φορτία του. Με την ενεργοποίησή του μπορεί να εμφανίζει διαφημίσεις σε αόρατα παράθυρα, να αλληλεπιδρά με αυτές, ακόμη και να εγγράφει τα θύματα σε υπηρεσίες με αμοιβή, αναδεικνύοντας τις εξελισσόμενες τακτικές που χρησιμοποιούν οι επιτιθέμενοι για να έχουν κέρδος από τις επιχειρήσεις τους.

Η Maya Horowitz, VP of Research στην Check Point Software, σχολίασε το σημερινό τοπίο απειλών, δηλώνοντας: «Η άνοδος των εξελιγμένων απατεώνων που κλέβουν πληροφορίες υπογραμμίζει μια ολοένα και αυξανόμενη πραγματικότητα. Οι εγκληματίες του κυβερνοχώρου εξελίσσουν τις μεθόδους τους και αξιοποιούν καινοτόμους φορείς επίθεσης. Οι οργανισμοί πρέπει να προχωρήσουν πέρα από τις παραδοσιακές άμυνες, υιοθετώντας προληπτικά και προσαρμοστικά μέτρα ασφαλείας που προβλέπουν τις αναδυόμενες απειλές για να αντιμετωπίσουν αποτελεσματικά αυτές τις επίμονες προκλήσεις».

Top malware families

*Τα βέλη αφορούν την αλλαγή στην κατάταξη σε σχέση με τον προηγούμενο μήνα.

Το FakeUpdates είναι το πιο διαδεδομένο κακόβουλο λογισμικό αυτό το μήνα με αντίκτυπο 6% σε παγκόσμιους οργανισμούς, ακολουθούμενο από το Androxgh0st με παγκόσμιο αντίκτυπο 5% και το AgentTesla με παγκόσμιο αντίκτυπο 4%.

1. ↔ FakeUpdates – Το FakeUpdates (AKA SocGholish) είναι ένα πρόγραμμα λήψης γραμμένο σε JavaScript. Γράφει τα ωφέλιμα φορτία στο δίσκο πριν από την εκτόξευσή τους. Το FakeUpdates οδήγησε σε περαιτέρω συμβιβασμό μέσω πολλών πρόσθετων κακόβουλων προγραμμάτων, συμπεριλαμβανομένων των GootLoader, Dridex, NetSupport, DoppelPaymer και AZORult
2. ↔ Androxgh0st – Το Androxgh0st είναι ένα botnet που στοχεύει σε πλατφόρμες Windows, Mac και Linux. Για την αρχική μόλυνση, το Androxgh0st εκμεταλλεύεται πολλαπλές ευπάθειες, στοχεύοντας συγκεκριμένα- το PHPUnit, το Laravel Framework και τον Apache Web Server. Το κακόβουλο λογισμικό κλέβει ευαίσθητες πληροφορίες, όπως πληροφορίες λογαριασμού Twilio, διαπιστευτήρια SMTP, κλειδί AWS κ.λπ. Χρησιμοποιεί αρχεία Laravel για να συλλέξει τις απαιτούμενες πληροφορίες. Διαθέτει διαφορετικές παραλλαγές οι οποίες σαρώνουν για διαφορετικές πληροφορίες.
3. ↑ AgentTesla – Το AgentTesla είναι ένα προηγμένο RAT που λειτουργεί ως keylogger και κλέφτης πληροφοριών, το οποίο είναι ικανό να παρακολουθεί και να συλλέγει όποια πληροφορία πληκτρολογεί το θύμα, το πληκτρολόγιο του συστήματος, να λαμβάνει στιγμιότυπα οθόνης και να αποσπά διαπιστευτήρια σε διάφορα λογισμικά που είναι εγκατεστημένα στο μηχάνημα του θύματος (συμπεριλαμβανομένων των Google Chrome, Mozilla Firefox και του προγράμματος ηλεκτρονικού ταχυδρομείου Microsoft Outlook).
4. ↑ Lumma Stealer – Το Lumma Stealer, που αναφέρεται επίσης ως LummaC2, είναι ένα κακόβουλο λογισμικό που συνδέεται με τη Ρωσία και κλέβει πληροφορίες και λειτουργεί ως πλατφόρμα Malware-as-a-Service (MaaS) από το 2022. Αυτό το κακόβουλο λογισμικό, που ανακαλύφθηκε στα μέσα του 2022, εξελίσσεται συνεχώς και διανέμεται ενεργά σε φόρουμ ρωσικής γλώσσας. Ως τυπικός κλέφτης πληροφοριών, το LummaC2 επικεντρώνεται στη συλλογή διαφόρων δεδομένων από τα μολυσμένα συστήματα, συμπεριλαμβανομένων των διαπιστευτηρίων του προγράμματος περιήγησης και των πληροφοριών λογαριασμού κρυπτονομισμάτων.
5. ↓ Formbook – Το Formbook είναι ένα Infostealer που στοχεύει το λειτουργικό σύστημα Windows και εντοπίστηκε για πρώτη φορά το 2016. Διατίθεται στην αγορά ως Malware as a Service (MaaS) σε underground φόρουμ hacking για τις ισχυρές τεχνικές αποφυγής και τη σχετικά χαμηλή τιμή του. Το FormBook συλλέγει διαπιστευτήρια από διάφορα προγράμματα περιήγησης στο διαδίκτυο, συλλέγει στιγμιότυπα οθόνης, παρακολουθεί και καταγράφει τις πληκτρολογήσεις και μπορεί να κατεβάζει και να εκτελεί αρχεία σύμφωνα με εντολές από το C&C του.
6. ↑NJRat – Το NJRat είναι ένα Trojan απομακρυσμένης πρόσβασης, που στοχεύει κυρίως κυβερνητικές υπηρεσίες και οργανισμούς στη Μέση Ανατολή. Το Trojan εμφανίστηκε για πρώτη φορά το 2012 και έχει πολλαπλές δυνατότητες: καταγραφή πληκτρολογήσεων, πρόσβαση στην κάμερα του θύματος, κλοπή διαπιστευτηρίων που είναι αποθηκευμένα σε προγράμματα περιήγησης, μεταφόρτωση και λήψη αρχείων, εκτέλεση χειρισμών διεργασιών και αρχείων και προβολή της επιφάνειας εργασίας του θύματος. Το NJRat μολύνει τα θύματα μέσω επιθέσεων phishing και drive-by downloads, και διαδίδεται μέσω μολυσμένων κλειδιών USB ή δικτυακών δίσκων, με την υποστήριξη λογισμικού διακομιστή Command & Control.
7. ↑ AsyncRat – Το Asyncrat είναι ένα Trojan που στοχεύει στην πλατφόρμα των Windows. Αυτό το κακόβουλο λογισμικό αποστέλλει πληροφορίες συστήματος σχετικά με το σύστημα-στόχο σε έναν απομακρυσμένο διακομιστή. Λαμβάνει εντολές από τον διακομιστή για να κατεβάσει και να εκτελέσει πρόσθετα, να τερματίσει διεργασίες, να απεγκαταστήσει/ενημερώσει τον εαυτό του και να καταγράψει στιγμιότυπα οθόνης του μολυσμένου συστήματος.
8. ↑ Remcos – Το Remcos είναι ένα RAT που εμφανίστηκε για πρώτη φορά το 2016. Το Remcos διανέμεται μέσω κακόβουλων εγγράφων του Microsoft Office, τα οποία επισυνάπτονται σε μηνύματα ηλεκτρονικού ταχυδρομείου SPAM, και έχει σχεδιαστεί για να παρακάμπτει την ασφάλεια UAC των Microsoft Windowss και να εκτελεί κακόβουλο λογισμικό με υψηλού επιπέδου προνόμια.
9. ↔ Glupteba – Γνωστό από το 2011, το Glupteba είναι ένα backdoor που σταδιακά ωρίμασε σε botnet. Μέχρι το 2019 περιλάμβανε έναν μηχανισμό ενημέρωσης διευθύνσεων C&C μέσω δημόσιων λιστών BitCoin, μια ολοκληρωμένη δυνατότητα κλοπής προγραμμάτων περιήγησης και έναν εκμεταλλευτή δρομολογητών.
10. ↓ Vidar – Το Vidar είναι ένα κακόβουλο λογισμικό infostealer που λειτουργεί ως malware-as-a-service και ανακαλύφθηκε για πρώτη φορά στα τέλη του 2018. Το κακόβουλο λογισμικό εκτελείται σε Windows και μπορεί να συλλέξει ένα ευρύ φάσμα ευαίσθητων δεδομένων από προγράμματα περιήγησης και ψηφιακά πορτοφόλια. Επιπλέον, το κακόβουλο λογισμικό χρησιμοποιείται ως πρόγραμμα λήψης για ransomware.

Top exploited vulnerabilities 

1. ↑ Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) – Υπάρχει ευπάθεια διάσχισης καταλόγου σε διάφορους web servers. Η ευπάθεια οφείλεται σε σφάλμα επικύρωσης εισόδου σε διακομιστή ιστού που δεν καθαρίζει σωστά το URI για τα μοτίβα διάσχισης καταλόγου. Η επιτυχής εκμετάλλευση επιτρέπει σε μη εξουσιοδοτημένους απομακρυσμένους επιτιθέμενους να αποκαλύψουν ή να αποκτήσουν πρόσβαση σε αυθαίρετα αρχεία στον ευάλωτο διακομιστή.
2. ↓ Command Injection Over HTTP (CVE-2021-43936,CVE-2022-24086) – Έχει αναφερθεί μια ευπάθεια που αφορά την έγχυση εντολών μέσω HTTP. Ένας απομακρυσμένος επιτιθέμενος μπορεί να εκμεταλλευτεί αυτό το ζήτημα στέλνοντας ένα ειδικά διαμορφωμένο αίτημα στο θύμα. Η επιτυχής εκμετάλλευση θα επέτρεπε στον εισβολέα να εκτελέσει αυθαίρετο κώδικα στο μηχάνημα-στόχο.
3. ↑ Zyxel ZyWALL Command Injection (CVE-2023-28771) – Υπάρχει ευπάθεια έγχυσης εντολών στο Zyxel ZyWALL. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας θα επιτρέψει σε απομακρυσμένους επιτιθέμενους να εκτελέσουν αυθαίρετες εντολές του λειτουργικού συστήματος στο σύστημα που επηρεάζεται.

Top Mobile Malwares

Αυτόν τον μήνα το Joker βρίσκεται στην 1η θέση των πιο διαδεδομένων κακόβουλων προγραμμάτων για κινητά, ακολουθούμενο από τα Necro και Anubis.

1. ↔ Joker – Ένα android Spyware στο Google Play, σχεδιασμένο να κλέβει μηνύματα SMS, λίστες επαφών και πληροφορίες της συσκευής. Επιπλέον, το κακόβουλο λογισμικό υπογράφει το θύμα σιωπηλά για premium υπηρεσίες σε διαφημιστικούς ιστότοπους.
2. ↑ Necro – Το Necro είναι ένα Android Trojan Dropper. Είναι ικανό να κατεβάζει άλλα κακόβουλα προγράμματα, να εμφανίζει ενοχλητικές διαφημίσεις και να κλέβει χρήματα χρεώνοντας συνδρομές επί πληρωμή.
3. ↓Anubis – Το Anubis είναι ένα τραπεζικό κακόβουλο λογισμικό Trojan που έχει σχεδιαστεί για κινητά τηλέφωνα Android. Από τότε που εντοπίστηκε αρχικά, έχει αποκτήσει πρόσθετες λειτουργίες, όπως λειτουργία Remote Access Trojan (RAT), keylogger, δυνατότητες καταγραφής ήχου και διάφορες λειτουργίες ransomware. Έχει εντοπιστεί σε εκατοντάδες διαφορετικές εφαρμογές που είναι διαθέσιμες στο Google Store.

Top–Attacked Industries Globally

Αυτόν τον μήνα ο τομέας Εκπαίδευση/Έρευνα παρέμεινε στην 1η θέση των βιομηχανιών που δέχθηκαν επίθεση παγκοσμίως, ακολουθούμενος από τους Κυβερνητικές/Στρατιωτικές υπηρεσίες και Επικοινωνίες.

1. Εκπαίδευση/Ερευνα
2. Κυβέρνηση/Στρατιωτικός
3. Επικοινωνίες

Top Ransomware Groups

Τα δεδομένα βασίζονται σε πληροφορίες από τους «ιστότοπους ντροπής» ransomware που διαχειρίζονται ομάδες ransomware διπλού εκβιασμού, οι οποίες αναρτούν πληροφορίες για τα θύματα. Το RansomHub είναι η πιο διαδεδομένη ομάδα ransomware αυτόν τον μήνα, υπεύθυνη για το 17% των δημοσιευμένων επιθέσεων, ακολουθούμενη από το Play με 10% και το Meow με 5%.

1. RansomHub – Το RansomHub είναι μια επιχείρηση Ransomware-as-a-Service (RaaS), η οποία εμφανίστηκε ως μια αναβαθμισμένη έκδοση του προηγουμένως γνωστού ransomware Knight. Το RansomHub, που εμφανίστηκε στις αρχές του 2024 σε υπόγεια φόρουμ κυβερνοεγκλήματος, απέκτησε γρήγορα φήμη για τις επιθετικές εκστρατείες του που στόχευαν διάφορα συστήματα, συμπεριλαμβανομένων των Windows, macOS, Linux και ιδιαίτερα περιβάλλοντα VMware ESXi. Αυτό το κακόβουλο λογισμικό είναι γνωστό για τη χρήση εξελιγμένων μεθόδων κρυπτογράφησης.
2. Play – Το Play Ransomware, που αναφέρεται επίσης ως PlayCrypt, είναι ένα ransomware που εμφανίστηκε για πρώτη φορά τον Ιούνιο του 2022. Αυτό το ransomware έχει στοχεύσει ένα ευρύ φάσμα επιχειρήσεων και κρίσιμων υποδομών στη Βόρεια Αμερική, τη Νότια Αμερική και την Ευρώπη, επηρεάζοντας περίπου 300 οντότητες μέχρι τον Οκτώβριο του 2023. Το Play Ransomware αποκτά συνήθως πρόσβαση σε δίκτυα μέσω παραβιασμένων έγκυρων λογαριασμών ή με την εκμετάλλευση μη ενημερωμένων ευπαθειών, όπως αυτές στα VPN SSL της Fortinet. Μόλις εισέλθει στο εσωτερικό, χρησιμοποιεί τεχνικές όπως η χρήση δυαδικών αρχείων που ζουν από τη χώρα (LOLBins) για εργασίες όπως η διαρροή δεδομένων και η κλοπή διαπιστευτηρίων.
3. Meow – Το Meow Ransomware είναι μια παραλλαγή βασισμένη στο Conti ransomware, γνωστή για την κρυπτογράφηση ενός ευρέος φάσματος αρχείων σε συστήματα που έχουν παραβιαστεί και την προσθήκη της επέκτασης «. MEOW» σε αυτά. Αφήνει ένα σημείωμα λύτρων με την ονομασία «readme.txt», το οποίο δίνει οδηγίες στα θύματα να επικοινωνήσουν με τους επιτιθέμενους μέσω email ή Telegram για να διαπραγματευτούν την καταβολή λύτρων. Το Meow Ransomware εξαπλώνεται μέσω διαφόρων φορέων, όπως μη προστατευμένες διαμορφώσεις RDP, spam ηλεκτρονικού ταχυδρομείου και κακόβουλες λήψεις, και χρησιμοποιεί τον αλγόριθμο κρυπτογράφησης ChaCha20 για να κλειδώσει αρχεία, εξαιρουμένων των αρχείων «.exe» και των αρχείων κειμένου.