Το Snake Keylogger επιστρέφει στην δεκάδα των πιο διαδεδομένων κακόβουλων λογισμικών

Η Check Point Research (CPR), το Threat Intelligence τμήμα της Check Point® Software Technologies Ltd. (NASDAQ: CHKP), κορυφαίου πάροχου λύσεων κυβερνοασφάλειας παγκοσμίως, δημοσίευσε το Global Threat Index για τον Μάιο του 2022. Οι ερευνητές αναφέρουν ότι το Emotet, προηγμένο, αυτοδιαδιδόμενο modular Trojan, εξακολουθεί να είναι το πλέον διαδεδομένο λόγω εκτεταμένων εκστρατειών. Σημειώνουν δε πως αυτόν το μήνα, το Snake Keylogger έχει ανέβει στην όγδοη θέση μετά από μακρά απουσία από τη λίστα. Η κύρια λειτουργία του Snake είναι να καταγράφει τα πλήκτρα των χρηστών και να μεταδίδει δεδομένα που συλλέγονται σε παράγοντες απειλών.

Το Snake Keylogger εξαπλώνεται συνήθως μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου που περιλαμβάνουν συνημμένα αρχεία docx ή xlsx με κακόβουλες μακροεντολές, ωστόσο αυτό το μήνα ερευνητές ανέφεραν ότι το SnakeKey Logger έχει εξαπλωθεί μέσω αρχείων PDF. Αυτό θα μπορούσε να οφείλεται εν μέρει στο ότι η Microsoft μπλοκάρει εξ ορισμού τις μακροεντολές διαδικτύου στο Office, πράγμα που σημαίνει ότι οι εγκληματίες του κυβερνοχώρου έπρεπε να γίνουν πιο δημιουργικοί, εξερευνώντας νέους τύπους αρχείων όπως τα PDF. Αυτός ο σπάνιος τρόπος εξάπλωσης κακόβουλου λογισμικού αποδεικνύεται αρκετά αποτελεσματικός, καθώς ορισμένοι άνθρωποι θεωρούν ότι τα PDF είναι εγγενώς ασφαλέστερα από άλλους τύπους αρχείων.

Το Emotet, επηρεάζει το 8% των οργανισμών παγκοσμίως, μια μικρή αύξηση σε σχέση με τον προηγούμενο μήνα. Αυτό το κακόβουλο λογισμικό είναι ένα ευέλικτο κακόβουλο λογισμικό που αποδεικνύεται κερδοφόρο λόγω της ικανότητάς του να παραμένει απαρατήρητο. Η επιμονή του καθιστά επίσης δύσκολη την αφαίρεσή του από τη στιγμή που μια συσκευή έχει μολυνθεί, καθιστώντας το τέλειο εργαλείο στο οπλοστάσιο ενός εγκληματία του κυβερνοχώρου. Αρχικά ήταν ένα τραπεζικό trojan, διανέμεται συχνά μέσω phishing emails και έχει τη δυνατότητα να προσφέρει άλλα κακόβουλα προγράμματα, ενισχύοντας την ικανότητά του να προκαλεί εκτεταμένες ζημιές.

“Όπως φαίνεται από τις πρόσφατες εκστρατείες Snake Keylogger, οτιδήποτε κάνετε στο διαδίκτυο σας θέτει σε κίνδυνο κυβερνοεπίθεσης, και το άνοιγμα ενός εγγράφου PDF δεν αποτελεί εξαίρεση”, δήλωσε η Maya Horowitz, αντιπρόεδρος έρευνας της Check Point Software. “Οι ιοί και ο κακόβουλος εκτελέσιμος κώδικας μπορεί να κρύβονται σε περιεχόμενο πολυμέσων και συνδέσμους, με την επίθεση κακόβουλου λογισμικού, σε αυτή την περίπτωση το Snake Keylogger, να είναι έτοιμη να χτυπήσει μόλις ο χρήστης ανοίξει το PDF. Επομένως, όπως ακριβώς θα αμφισβητούσατε τη νομιμότητα ενός συνημμένου ηλεκτρονικού ταχυδρομείου docx ή xlsx, πρέπει να εφαρμόζετε την ίδια προσοχή και με τα PDF. Στο σημερινό τοπίο δεν ήταν ποτέ πιο σημαντικό για τους οργανισμούς να διαθέτουν μια ισχυρή λύση ασφάλειας ηλεκτρονικού ταχυδρομείου που να θέτει σε καραντίνα και να ελέγχει τα συνημμένα αρχεία, αποτρέποντας την είσοδο κακόβουλων αρχείων στο δίκτυο εξαρχής.”

Η CPR αποκάλυψε επίσης ότι το “Web Servers Malicious URL Directory Traversal” είναι η πιο συχνά εκμεταλλευόμενη ευπάθεια, επηρεάζοντας το 46% των οργανισμών παγκοσμίως, ακολουθούμενη στενά από το “Apache Log4j Remote Code Execution” που έχει παγκόσμιο αντίκτυπο 46%. Η “Web Server Exposed Git Repository Information Disclosure” βρίσκεται στην τρίτη θέση με παγκόσμιο αντίκτυπο 45%. Ο τομέας της Εκπαίδευσης και της Έρευνας εξακολουθεί να είναι ο πιο στοχευμένος κλάδος από τους εγκληματίες του κυβερνοχώρου παγκοσμίως.

Κορυφαίες οικογένειες κακόβουλου λογισμικού

*Τα βέλη αφορούν τη μεταβολή της κατάταξης σε σχέση με τον προηγούμενο μήνα.

Αυτόν τον μήνα, το Emotet εξακολουθεί να είναι το πιο δημοφιλές κακόβουλο λογισμικό με παγκόσμιο αντίκτυπο 8%, ακολουθούμενο από το Formbook με αντίκτυπο 2% και το AgentTesla που επηρεάζει το 2% των οργανισμών παγκοσμίως.

1. ↔ Emotet – εξελιγμένο modular trojan που αυτοαναπαράγεται. Το Emotet κάποτε λειτουργούσε ως δούρειος ίππος υποκλοπής στοιχείων τραπεζικών λογαριασμών και πρόσφατα χρησιμοποιείται για να διανέμεται άλλο κακόβουλο λογισμικό ή σε εκστρατείες διάδοσης malware. Χρησιμοποιεί πολλές μεθόδους και τεχνικές αποφυγής για να παραμένει στο σύστημα και να αποφεύγει την ανίχνευση. Επιπλέον, μπορεί να διαδίδεται μέσω ανεπιθύμητων email ηλεκτρονικού ψαρέματος (phishing) που περιέχουν συνημμένα ή συνδέσμους με κακόβουλο περιεχόμενο.
2. ↔ Formbook – Το Formbook είναι ένα Infostealer που στοχεύει το λειτουργικό σύστημα Windows και εντοπίστηκε για πρώτη φορά το 2016. Διατίθεται στην αγορά ως Malware-as-a-Service (MaaS) σε υπόγεια φόρουμ hacking για τις ισχυρές τεχνικές αποφυγής και τη σχετικά χαμηλή τιμή του. Το FormBook συλλέγει διαπιστευτήρια από διάφορους περιηγητές ιστού, συλλέγει στιγμιότυπα οθόνης, παρακολουθεί και καταγράφει τις πληκτρολογήσεις και μπορεί να κατεβάζει και να εκτελεί αρχεία σύμφωνα με εντολές από το C&C του.
3. ↔ Agent Tesla – Το Agent Tesla είναι ένα προηγμένο RAT που λειτουργεί ως keylogger και κλέφτης πληροφοριών, το οποίο είναι ικανό να παρακολουθεί και να συλλέγει την εισαγωγή πληκτρολογίου του θύματος, το πληκτρολόγιο του συστήματος, να λαμβάνει στιγμιότυπα οθόνης και να αποσπά διαπιστευτήρια σε διάφορα λογισμικά που είναι εγκατεστημένα στο μηχάνημα του θύματος (συμπεριλαμβανομένων των Google Chrome, Mozilla Firefox και Microsoft Outlook).

Η πλήρης λίστα με τις δέκα κορυφαίες οικογένειες κακόβουλου λογισμικού τον Μάιο βρίσκεται στο blog της Check Point.

Κορυφαίοι επιτιθέμενοι κλάδοι παγκοσμίως

Αυτόν τον μήνα ο κλάδος με τις περισσότερες επιθέσεις παγκοσμίως είναι η εκπαίδευση/έρευνα, ακολουθούμενος από την κυβέρνηση/στρατιωτικό τομέα και τους παρόχους υπηρεσιών διαδικτύου & παρόχους διαχειριζόμενων υπηρεσιών (ISP & MSP).

1. Εκπαίδευση και έρευνα
2. Κυβέρνηση & Στρατός
3. Παροχείς υπηρεσιών Διαδικτύου & Διαχειριζόμενοι πάροχοι υπηρεσιών (ISP & MSP)

Κορυφαίες εκμεταλλευόμενες ευπάθειες

Τον Μάιο, το ” Web Servers Malicious URL Directory Traversal ” είναι η πιο συχνά εκμεταλλευόμενη ευπάθεια, επηρεάζοντας το 46% των οργανισμών παγκοσμίως, ακολουθούμενη στενά από την ” Apache Log4j Remote Code Execution “, η οποία έχει παγκόσμιο αντίκτυπο 46%. Η ” Web Server Exposed Git Repository Information Disclosure ” βρίσκεται στην τρίτη θέση με παγκόσμιο αντίκτυπο 45%.

1. ↑ Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260)– Υπάρχει μια ευπάθεια διάσχισης καταλόγου σε διάφορους διακομιστές ιστού. Η ευπάθεια οφείλεται σε σφάλμα επικύρωσης εισόδου σε έναν διακομιστή ιστού που δεν καθαρίζει σωστά το URI για τα μοτίβα διάσχισης καταλόγου. Η επιτυχής εκμετάλλευση επιτρέπει σε μη εξουσιοδοτημένους απομακρυσμένους επιτιθέμενους να αποκαλύψουν ή να αποκτήσουν πρόσβαση σε αυθαίρετα αρχεία στον ευάλωτο διακομιστή.
2. ↔ Apache Log4j Remote Code Execution (CVE-2021-44228)– Μια ευπάθεια απομακρυσμένης εκτέλεσης κώδικα υπάρχει στον Apache Log4j. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας θα μπορούσε να επιτρέψει σε έναν απομακρυσμένο εισβολέα να εκτελέσει αυθαίρετο κώδικα στο επηρεαζόμενο σύστημα.
3. ↓ Web Server Exposed Git Repository Information Disclosure– Αναφέρθηκε μια ευπάθεια αποκάλυψης πληροφοριών στο Git Repository. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας θα μπορούσε να επιτρέψει την ακούσια αποκάλυψη πληροφοριών λογαριασμού.

Top Mobile Malwares

Αυτόν τον μήνα το AlienBot είναι το πιο διαδεδομένο κακόβουλο λογισμικό για κινητά, ακολουθούμενο από τα FluBot και xHelper.

1. AlienBot -Η οικογένεια κακόβουλου λογισμικού AlienBot είναι ένα Malware-as-a-Service (MaaS) για συσκευές Android που επιτρέπει σε έναν απομακρυσμένο εισβολέα, ως πρώτο βήμα, να εισάγει κακόβουλο κώδικα σε νόμιμες οικονομικές εφαρμογές. Ο επιτιθέμενος αποκτά πρόσβαση στους λογαριασμούς των θυμάτων και τελικά ελέγχει πλήρως τη συσκευή τους.
2. FluBot -Το FluBot είναι ένα κακόβουλο λογισμικό Android που διανέμεται μέσω μηνυμάτων SMS phishing (Smishing), τα οποία τις περισσότερες φορές υποδύονται μάρκες παράδοσης logistics. Μόλις ο χρήστης κάνει κλικ στο σύνδεσμο μέσα στο μήνυμα, ανακατευθύνεται στη λήψη μιας ψεύτικης εφαρμογής που περιέχει το FluBot. Μόλις εγκατασταθεί, το κακόβουλο λογισμικό έχει διάφορες δυνατότητες για τη συλλογή διαπιστευτηρίων και την υποστήριξη της ίδιας της επιχείρησης Smishing, συμπεριλαμβανομένης της μεταφόρτωσης της λίστας επαφών καθώς και της αποστολής μηνυμάτων SMS σε άλλους τηλεφωνικούς αριθμούς.
3. xHelper -Μια κακόβουλη εφαρμογή που παρατηρείται στη φύση από τον Μάρτιο του 2019 και χρησιμοποιείται για τη λήψη άλλων κακόβουλων εφαρμογών και την εμφάνιση διαφημίσεων. Η εφαρμογή είναι ικανή να κρύβεται από τον χρήστη και να επανεγκαθίσταται σε περίπτωση που απεγκατασταθεί.

Ο Παγκόσμιος Κατάλογος Επίπτωσης Απειλών και ο Χάρτης ThreatCloud της Check Point Software, βασίζονται στο ThreatCloud intelligence της; Εταιρείας, στο μεγαλύτερο δίκτυο συνεργασίας για την καταπολέμηση του κυβερνοεγκλήματος, το οποίο παρέχει δεδομένα για τις απειλές και τις τάσεις που επικρατούν στις επιθέσεις, αξιοποιώντας ένα παγκόσμιο δίκτυο ανιχνευτών απειλών. Η βάση δεδομένων ThreatCloud περιλαμβάνει πάνω από 3 δισεκατομμύρια ιστότοπους και 600 εκατομμύρια αρχεία καθημερινά και εντοπίζει περισσότερες από 250 εκατομμύρια δραστηριότητες malware κάθε μέρα.

Η πλήρης λίστα με τις 10 κορυφαίες οικογένειες κακόβουλου λογισμικού τον Μάϊο του 2022 βρίσκεται στο blog της Check Point