Πρώτη θέση για το Qbot και είσοδος του Glupteba στα πρώτα δέκα διαδεδομένα κακόβουλα λογισμικά για τον Δεκέμβριο του 2022

Η Check Point® Software Technologies Ltd. , κορυφαίος πάροχος λύσεων κυβερνοασφάλειας σε παγκόσμιο επίπεδο, δημοσίευσε τον Παγκόσμιο Δείκτη Απειλών για τον Δεκέμβριο του 2022. Τον περασμένο μήνα το Glupteba Malware, ένα φιλόδοξο trojan botnet με δυνατότητα blockchain, επέστρεψε στην πρώτη δεκάδα της λίστας για πρώτη φορά από τον Ιούλιο του 2022, ανεβαίνοντας στην όγδοη θέση. Το Qbot, ένα εξελιγμένο Trojan που υποκλέπτει τραπεζικά διαπιστευτήρια και πληκτρολογήσεις, ξεπέρασε το Emotet και έγινε το πιο διαδεδομένο κακόβουλο λογισμικό μετά την επιστροφή του τον περασμένο μήνα, επηρεάζοντας το 7% των οργανισμών παγκοσμίως. Εν τω μεταξύ, το κακόβουλο λογισμικό Android Hiddad έκανε την επιστροφή του και η εκπαίδευση συνέχισε να είναι ο κλάδος με τις περισσότερες επιπτώσεις παγκοσμίως.

Παρόλο που η Google κατάφερε να προκαλέσει μεγάλη αναστάτωση στις λειτουργίες του Glupteba τον Δεκέμβριο του 2021, φαίνεται ότι αυτό έχει επανέλθει στη δράση. Ως modular παραλλαγή κακόβουλου λογισμικού, το Glupteba μπορεί να επιτύχει διάφορους στόχους σε έναν μολυσμένο υπολογιστή. Το botnet χρησιμοποιείται συχνά ως downloader και dropper για άλλο κακόβουλο λογισμικό. Αυτό σημαίνει ότι μια μόλυνση από το Glupteba θα μπορούσε να οδηγήσει σε μόλυνση από ransomware, παραβίαση δεδομένων ή άλλα περιστατικά ασφαλείας. Το Glupteba έχει επίσης σχεδιαστεί για να κλέβει διαπιστευτήρια χρηστών και session cookies από μολυσμένους υπολογιστές. Αυτά τα δεδομένα ελέγχου ταυτότητας μπορούν να χρησιμοποιηθούν για να επιτραπεί η πρόσβαση σε διαδικτυακούς λογαριασμούς ή άλλα συστήματα ενός χρήστη, επιτρέποντας στον επιτιθέμενο να κλέψει ευαίσθητα δεδομένα ή να προβεί σε άλλες ενέργειες χρησιμοποιώντας αυτούς τους παραβιασμένους λογαριασμούς. Τέλος, το κακόβουλο λογισμικό χρησιμοποιείται συνήθως για την ανάπτυξη λειτουργιών cryptomining στο στόχο του, εξαντλώντας τους πόρους ενός υπολογιστή χρησιμοποιώντας τους για την εξόρυξη μπλοκ.

Τον Δεκέμβριο, το Hiddad μπήκε επίσης στη λίστα με τα τρία κορυφαία κακόβουλα προγράμματα για κινητά για πρώτη φορά το 2022. Το Hiddad είναι ένα κακόβουλο λογισμικό διανομής διαφημίσεων, που στοχεύει σε συσκευές android. Επανασυσκευάζει νόμιμες εφαρμογές και στη συνέχεια τις κυκλοφορεί σε ένα κατάστημα τρίτων. Η κύρια λειτουργία του είναι η προβολή διαφημίσεων, αλλά μπορεί επίσης να αποκτήσει πρόσβαση σε βασικές λεπτομέρειες ασφαλείας που είναι ενσωματωμένες στο λειτουργικό σύστημα.

“Το κυρίαρχο θέμα κατά την τελευταία μας έρευνα είναι πώς το κακόβουλο λογισμικό συχνά μεταμφιέζεται σε νόμιμο λογισμικό για να δώσει στους χάκερς πρόσβαση από κερκόπορτες σε συσκευές χωρίς να κινήσει υποψίες. Γι’ αυτό είναι σημαντικός ο έλεγχος εκ μέρους μας, όταν κατεβάζουμε οποιοδήποτε λογισμικό και εφαρμογές ή κάνουμε κλικ σε συνδέσμους, ανεξάρτητα από το πόσο γνήσιοι φαίνονται”, δήλωσε η Maya Horowitz, Αντιπρόεδρος Έρευνας της Check Point Software.

Η CPR αποκάλυψε επίσης ότι η “”Web Server Exposed Git Repository Information Disclosure”” ήταν η περισσότερο εκμεταλλεύσιμη ευπάθεια, επηρεάζοντας το 46% των οργανισμών παγκοσμίως, ακολουθούμενη από την “”Web Servers Malicious URL Directory Traversal”” με το 44% των οργανισμών να επηρεάζονται παγκοσμίως. Η “Command Injection Over HTTP” είναι η τρίτη πιο συχνά χρησιμοποιούμενη ευπάθεια, με αντίκτυπο 43% παγκοσμίως.

Οι κορυφαίες οικογένειες κακόβουλου λογισμικού

*Τα βέλη αφορούν τη μεταβολή της κατάταξης σε σχέση με τον προηγούμενο μήνα.

Το Qbot ήταν το πιο διαδεδομένο κακόβουλο λογισμικό τον περασμένο μήνα με αντίκτυπο 7% σε παγκόσμιους οργανισμούς, ακολουθούμενο από το Emotet με παγκόσμιο αντίκτυπο 4% και το XMRig με παγκόσμιο αντίκτυπο 3%.

1. ↑ Qbot – Το Qbot AKA Qakbot είναι ένα τραπεζικό Trojan που πρωτοεμφανίστηκε το 2008. Σχεδιάστηκε για να κλέβει τα τραπεζικά στοιχεία και τις πληκτρολογήσεις ενός χρήστη. Συχνά διανέμεται μέσω spam email. Το Qbot χρησιμοποιεί διάφορες τεχνικές anti-VM, anti-debugging και anti-sandbox για να εμποδίσει την ανάλυση και να αποφύγει την ανίχνευση.
2. ↔ Emotet – Το Emotet είναι ένα προηγμένο, αυτο-αναπαραγόμενο και αρθρωτό Trojan. Το Emotet χρησιμοποιούνταν ως τραπεζικό Trojan και πρόσφατα χρησιμοποιήθηκε ως διανομέας για άλλα κακόβουλα προγράμματα ή κακόβουλες εκστρατείες. Χρησιμοποιεί πολλαπλές μεθόδους για τη διατήρηση της επιμονής του και τεχνικές αποφυγής για να αποφύγει τον εντοπισμό. Επιπλέον, μπορεί να εξαπλωθεί μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου spam phishing που περιέχουν κακόβουλα συνημμένα αρχεία ή συνδέσμους.
3. ↑ XMRig – Το XMRig είναι λογισμικό ανοιχτού κώδικα για την εξόρυξη CPU που χρησιμοποιείται για την εξόρυξη του κρυπτονομίσματος Monero. Οι φορείς απειλών συχνά κάνουν κατάχρηση αυτού του λογισμικού ανοιχτού κώδικα ενσωματώνοντάς το στο κακόβουλο λογισμικό τους για να διεξάγουν παράνομη εξόρυξη στις συσκευές των θυμάτων

Οι βιομηχανίες με τις περισσότερες επιθέσεις παγκοσμίως

Τον περασμένο μήνα, η Εκπαίδευση/Έρευνα παρέμεινε ο κλάδος με τις περισσότερες επιθέσεις παγκοσμίως, ακολουθούμενος από τον Κυβερνητικό/Στρατιωτικό τομέα και στη συνέχεια την Υγεία.

1. Εκπαίδευση/Ερευνα
2. Κυβέρνηση/Στρατιωτικός
3. Υγεία

Οι περισσότερο αξιοποιημένες ευπάθειες

Τον Δεκέμβριο, η ” Web Server Exposed Git Repository Information Disclosure “ ήταν η ευπάθεια που αξιοποιήθηκε περισσότερο, επηρεάζοντας το 46% των οργανισμών παγκοσμίως. Την ακολούθησε η ” Web Servers Malicious URL Directory Traversal “ με 44% των οργανισμών να επηρεάζονται παγκοσμίως. Η “Command Injection Over HTTP” είναι η τρίτη πιο συχνά χρησιμοποιούμενη ευπάθεια, με αντίκτυπο 43% παγκοσμίως.

1. ↑ Web Server Exposed Git Repository Information Disclosure – Έχει αναφερθεί μια ευπάθεια αποκάλυψης πληροφοριών στο Git Repository. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας θα μπορούσε να επιτρέψει την ακούσια αποκάλυψη πληροφοριών λογαριασμού.
2. ↓ Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Υπάρχει μια ευπάθεια διάσχισης καταλόγου σε διάφορους διακομιστές ιστού. Η ευπάθεια οφείλεται σε σφάλμα επικύρωσης εισόδου σε έναν διακομιστή ιστού που δεν καθαρίζει σωστά το URI για τα μοτίβα διάσχισης καταλόγου. Η επιτυχής εκμετάλλευση επιτρέπει σε μη εξουσιοδοτημένους απομακρυσμένους επιτιθέμενους να αποκαλύψουν ή να αποκτήσουν πρόσβαση σε αυθαίρετα αρχεία στον ευάλωτο διακομιστή.
3.  ↑ Command Injection Over HTTP (CVE-2021-43936,CVE-2022-24086) – Έχει αναφερθεί μια ευπάθεια ένεσης εντολών μέσω HTTP. Ένας απομακρυσμένος επιτιθέμενος μπορεί να εκμεταλλευτεί αυτό το πρόβλημα στέλνοντας ένα ειδικά διαμορφωμένο αίτημα στο θύμα. Η επιτυχής εκμετάλλευση θα επέτρεπε στον εισβολέα να εκτελέσει αυθαίρετο κώδικα στο μηχάνημα-στόχο.

Κορυφαία κακόβουλα προγράμματα για κινητά

Τον περασμένο μήνα το Anubis παρέμεινε το πιο διαδεδομένο κακόβουλο λογισμικό για κινητά, ακολουθούμενο από τα Hiddad και AlienBot.

1. Anubis – Το Anubis είναι ένα κακόβουλο τραπεζικό Trojan που έχει σχεδιαστεί για κινητά τηλέφωνα Android. Από τότε που εντοπίστηκε αρχικά, έχει αποκτήσει πρόσθετες λειτουργίες, όπως λειτουργίες Remote Access Trojan (RAT), δυνατότητες keylogger και καταγραφής ήχου, καθώς και διάφορες λειτουργίες ransomware. Έχει εντοπιστεί σε εκατοντάδες διαφορετικές εφαρμογές που είναι διαθέσιμες στο Google Store.
2. Hiddad – Το Hiddad είναι ένα κακόβουλο λογισμικό Android που επανασυσκευάζει νόμιμες εφαρμογές και στη συνέχεια τις κυκλοφορεί σε ένα κατάστημα τρίτων. Η κύρια λειτουργία του είναι η εμφάνιση διαφημίσεων, αλλά μπορεί επίσης να αποκτήσει πρόσβαση σε βασικές λεπτομέρειες ασφαλείας που είναι ενσωματωμένες στο λειτουργικό σύστημα.
3. AlienBot – Το AlienBot είναι ένα τραπεζικό Trojan για Android, που πωλείται υπόγεια ως Malware-as-a-Service (MaaS). Υποστηρίζει keylogging, δυναμικές επικαλύψεις για κλοπή διαπιστευτηρίων καθώς και συλλογή SMS για παράκαμψη του 2FA. Παρέχονται πρόσθετες δυνατότητες απομακρυσμένου ελέγχου με τη χρήση μιας μονάδας TeamViewer.

Τα Global Threat Impact Index και ThreatCloud Map της Check Point Software, βασίζονται στο ThreatCloud intelligence της εταιρείας, το οποίο παρέχει σε πραγματικό χρόνο, πληροφορίες για απειλές που προέρχονται από εκατοντάδες εκατομμύρια αισθητήρες παγκοσμίως, μέσω δικτύων, τελικών σημείων και κινητών τηλεφώνων. Το ThreatCloud intelligence εμπλουτίζεται με δεδομένα που βασίζονται σε AI και αποκλειστικά ερευνητικά δεδομένα από την Check Point Research, το τμήμα Intelligence & Research της Check Point Software Technologies.

Η πλήρης λίστα με τις 10 κορυφαίες οικογένειες κακόβουλου λογισμικού τον Δεκέμβριο του 2022 βρίσκεται στο blog της Check Point.