To Emotet και το Qbot κάνουν θραύση στη λίστα με τα πιο διαδεδομένα Malware για τον Νοέμβριο του 2022

Η Check Point® Software Technologies Ltd., κορυφαίος πάροχος λύσεων κυβερνοασφάλειας σε παγκόσμιο επίπεδο, δημοσίευσε τον πιο πρόσφατο Παγκόσμιο Δείκτη Απειλών για τον Νοέμβριο του 2022. Αυτό το μήνα παρατηρούμε την επιστροφή του Emotet, ενός φιλόδοξου κακόβουλου λογισμικού Trojan που έκανε ένα σύντομο διάλειμμα κατά τη διάρκεια της καλοκαιρινής περιόδου. Τη μετακίνηση του Qbot στην τρίτη θέση για πρώτη φορά από τον Ιούλιο του 2021, με παγκόσμια επίπτωση 4%, ενώ υπήρξε αξιοσημείωτη αύξηση των επιθέσεων Raspberry Robin, ενός εξελιγμένου worm που συνήθως χρησιμοποιεί κακόβουλες μονάδες USB για να μολύνει μηχανήματα.

Τον Ιούλιο του 2022, η Check Point Research (CPR) ανέφερε μια σημαντική μείωση της παγκόσμιας επίδρασης και δραστηριότητας του Emotet, υποψιαζόμενη ότι η απουσία του θα ήταν μόνο προσωρινή. Όπως είχε προβλεφθεί, το κακόβουλο λογισμικό Trojan που εξαπλώνεται από μόνο του επανέρχεται και πάλι στο δείκτη, φτάνοντας στη δεύτερη θέση ως το πιο διαδεδομένο κακόβουλο λογισμικό το Νοέμβριο, με αντίκτυπο 4% σε οργανισμούς παγκοσμίως. Ενώ το Emotet ξεκίνησε ως τραπεζικό trojan, ο αρθρωτός σχεδιασμός του επέτρεψε να εξελιχθεί σε διανομέα για άλλους τύπους κακόβουλων προγραμμάτων, και συνήθως διαδίδεται μέσω εκστρατειών phishing. Η αυξημένη επικράτηση του Emotet θα μπορούσε να συμβάλει εν μέρει σε μια σειρά νέων εκστρατειών κακόβουλου spam που ξεκίνησαν τον Νοέμβριο, οι οποίες έχουν σχεδιαστεί για τη διανομή των ωφέλιμων φορτίων του τραπεζικού trojan IcedID.

Επίσης, για πρώτη φορά από τον Ιούλιο του 2021, το Qbot, ένα Trojan που κλέβει τραπεζικά στοιχεία έφτασε στην τρίτη θέση της λίστας με τα κορυφαία κακόβουλα λογισμικά, με συνολική επίπτωση 4%. Οι δράστες των επιθέσεων που βρίσκονται πίσω από το κακόβουλο λογισμικό είναι εγκληματίες του κυβερνοχώρου με οικονομικά κίνητρα, οι οποίοι κλέβουν οικονομικά δεδομένα, τραπεζικά διαπιστευτήρια και πληροφορίες του προγράμματος περιήγησης ιστού από μολυσμένα και παραβιασμένα συστήματα. Μόλις οι δράστες επιθέσεων Qbot καταφέρουν να μολύνουν ένα σύστημα, εγκαθιστούν ένα backdoor για να παραχωρήσουν πρόσβαση σε χειριστές ransomware, οδηγώντας σε διπλές επιθέσεις εκβιασμού. Τον Νοέμβριο το Qbot αξιοποίησε μια ευπάθεια των Windows Zero-Day για να παρέχει στους δράστες  πλήρη πρόσβαση σε μολυσμένα δίκτυα.

Αυτόν τον μήνα υπήρξε επίσης αύξηση στις εμφανίσεις του Raspberry Robin, ενός εξελιγμένου worm που χρησιμοποιεί κακόβουλες μονάδες USB που περιέχουν αρχεία συντόμευσης των Windows, τα οποία φαίνονται νόμιμα, αλλά στην πραγματικότητα μολύνουν τα μηχανήματα των θυμάτων. Η Microsoft διαπίστωσε ότι έχει εξελιχθεί από ένα ευρέως διαδεδομένο worm σε μια μολυσματική πλατφόρμα για τη διανομή κακόβουλου λογισμικού, που συνδέεται με άλλες οικογένειες κακόβουλου λογισμικού και εναλλακτικές μεθόδους μόλυνσης πέραν της αρχικής εξάπλωσης του USB drive.

“Ενώ κάποια εξελιγμένα κακόβουλα προγράμματα μπορούν να παραμείνουν αδρανή κατά τη διάρκεια μιας ήρεμης περιόδου, οι τελευταίες εβδομάδες αποτελούν μια έντονη υπενθύμιση ότι δεν θα παραμείνουν αδρανή για πολύ. Δεν έχουμε την πολυτέλεια να εφησυχάζουμε, γι’ αυτό είναι σημαντικό όλοι να παραμένουν σε εγρήγορση όταν ανοίγουν μηνύματα ηλεκτρονικού ταχυδρομείου, κάνουν κλικ σε συνδέσμους, επισκέπτονται ιστότοπους ή μοιράζονται προσωπικές πληροφορίες”, δήλωσε η Maya Horowitz, VP Research στην Check Point Software.

Η CPR αποκάλυψε επίσης ότι το “Web Servers Malicious URL Directory Traversal” είναι η πιο συνηθισμένη ευπάθεια που αξιοποιείται, επηρεάζοντας το 46% των οργανισμών παγκοσμίως, ακολουθούμενη στενά από το “Web Server Exposed Git Repository Information Disclosure” με αντίκτυπο 45%. Τον Νοέμβριο η εκπαίδευση/έρευνα παρέμεινε επίσης στην πρώτη θέση ως ο κλάδος με τις περισσότερες επιθέσεις παγκοσμίως.

Top malware families
*Τα βέλη αφορούν τη μεταβολή της κατάταξης σε σχέση με τον προηγούμενο μήνα.

1. ↔ AgentTesla – Το AgentTesla είναι ένα προηγμένο RAT που λειτουργεί ως keylogger και κλέφτης πληροφοριών. Είναι ικανό να παρακολουθεί και να συλλέγει την εισαγωγή πληκτρολογίου του θύματος, το πληκτρολόγιο του συστήματος, να λαμβάνει στιγμιότυπα οθόνης και να αποσπά διαπιστευτήρια σε διάφορα λογισμικά που είναι εγκατεστημένα στο μηχάνημα του θύματος (συμπεριλαμβανομένων των Google Chrome, Mozilla Firefox και Microsoft Outlook).
2. ↑ Emotet – Το Emotet είναι ένα προηγμένο, self-propagating και modular Trojan. Το Emotet, που κάποτε χρησιμοποιούνταν ως τραπεζικό Trojan, έχει πρόσφατα χρησιμοποιηθεί ως διανομέας σε άλλα κακόβουλα προγράμματα ή κακόβουλες εκστρατείες. Χρησιμοποιεί πολλαπλές μεθόδους για τη διατήρηση της εμμονής και τεχνικές αποφυγής για να αποφύγει την ανίχνευση. Επιπλέον, μπορεί να διαδοθεί μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου spam τύπου phishing που περιέχουν κακόβουλα συνημμένα αρχεία ή συνδέσμους.
3. ↑ Qbot – Το Qbot AKA Qakbot είναι ένα τραπεζικό Trojan που πρωτοεμφανίστηκε το 2008, σχεδιασμένο να κλέβει τα τραπεζικά στοιχεία και τις πληκτρολογήσεις του χρήστη. Διανέμεται συχνά μέσω μηνυμάτων spam και χρησιμοποιεί διάφορες τεχνικές anti-VM, anti-debugging και anti-sandbox για να εμποδίσει την ανάλυση και να αποφύγει την ανίχνευση.

Οι κλάδοι με τις περισσότερες επιθέσεις
Αυτόν τον μήνα, η Εκπαίδευση/Ερευνα παραμένει ο κλάδος με τις περισσότερες επιθέσεις παγκοσμίως, ακολουθούμενος από την Κυβέρνηση/Στρατιωτικό τομέα και στη συνέχεια την Υγεία.

1. Εκπαίδευση/Ερευνα
2. Κυβέρνηση/Στρατός
3. Υγεία

Τα πλέον αξιοποιημένα τρωτά σημεία
Αυτόν τον μήνα, η ” Web Servers Malicious URL Directory Traversal ” είναι η πιο συχνά εκμεταλλευόμενη ευπάθεια, με αντίκτυπο στο 46% των οργανισμών παγκοσμίως, ακολουθούμενη από την ” Web Server Exposed Git Repository Information Disclosure ” με αντίκτυπο 45%. Η “HTTP Headers Remote Code Execution” εξακολουθεί να είναι η τρίτη πιο συχνά χρησιμοποιούμενη ευπάθεια με αντίκτυπο 42%

1. ↑ Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Υπάρχει μια ευπάθεια διάσχισης καταλόγου σε διάφορους διακομιστές ιστού. Η ευπάθεια οφείλεται σε σφάλμα επικύρωσης εισόδου σε έναν διακομιστή ιστού που δεν καθαρίζει σωστά το URI για μοτίβα διάσχισης καταλόγου. Η επιτυχής εκμετάλλευση επιτρέπει σε μη εξουσιοδοτημένους απομακρυσμένους επιτιθέμενους να αποκαλύψουν ή να αποκτήσουν πρόσβαση σε αυθαίρετα αρχεία στον ευάλωτο διακομιστή.
2. ↓ Web Server Exposed Git Repository Information Disclosure – Αναφέρθηκε μια ευπάθεια αποκάλυψης πληροφοριών στο Git Repository. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας θα μπορούσε να επιτρέψει την ακούσια αποκάλυψη πληροφοριών λογαριασμού.
3. ↔ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Οι επικεφαλίδες HTTP επιτρέπουν στον πελάτη και τον διακομιστή να διαβιβάζουν πρόσθετες πληροφορίες με ένα αίτημα HTTP. Ένας απομακρυσμένος εισβολέας μπορεί να χρησιμοποιήσει μια ευάλωτη επικεφαλίδα HTTP για να εκτελέσει αυθαίρετο κώδικα στο μηχάνημα του θύματος.

Top Mobile Malwares
Αυτόν τον μήνα το Anubis παραμένει το πιο διαδεδομένο κακόβουλο λογισμικό για κινητά, ακολουθούμενο από τα Hydra και AlienBot.

1. Anubis – Το Anubis είναι ένα κακόβουλο τραπεζικό Trojan που έχει σχεδιαστεί για κινητά τηλέφωνα Android. Από τότε που εντοπίστηκε αρχικά, έχει αποκτήσει πρόσθετες λειτουργίες, όπως λειτουργίες Remote Access Trojan (RAT), δυνατότητες keylogger και καταγραφής ήχου, καθώς και διάφορες λειτουργίες ransomware. Έχει εντοπιστεί σε εκατοντάδες διαφορετικές εφαρμογές που είναι διαθέσιμες στο Google Store.
2. Hydra– Το Hydra είναι ένα τραπεζικό Trojan που έχει σχεδιαστεί για να κλέβει διαπιστευτήρια χρηματοδότησης ζητώντας από τα θύματα να ενεργοποιήσουν επικίνδυνα δικαιώματα.
3. AlienBot – Το AlienBot είναι ένα τραπεζικό Trojan για Android, που πωλείται υπόγεια ως Malware-as-a-Service (MaaS). Υποστηρίζει keylogging, δυναμικές επικαλύψεις για κλοπή διαπιστευτηρίων καθώς και συλλογή SMS για παράκαμψη του 2FA. Παρέχονται πρόσθετες δυνατότητες απομακρυσμένου ελέγχου με τη χρήση μιας μονάδας TeamViewer.

Τα Global Threat Impact Index και ThreatCloud Map της Check Point Software, βασίζονται στο ThreatCloud intelligence της εταιρείας, το οποίο παρέχει σε πραγματικό χρόνο, πληροφορίες για απειλές που προέρχονται από εκατοντάδες εκατομμύρια αισθητήρες παγκοσμίως, μέσω δικτύων, τελικών σημείων και κινητών τηλεφώνων. Το ThreatCloud intelligence εμπλουτίζεται με δεδομένα που βασίζονται σε AI και αποκλειστικά ερευνητικά δεδομένα από την Check Point Research, το τμήμα Intelligence & Research της Check Point Software Technologies.

Η πλήρης λίστα με τις 10 κορυφαίες οικογένειες κακόβουλου λογισμικού τον Οκτώβριο του 2022 βρίσκεται στο blog της Check Point.