2020 augusztusának legveszélyesebb kártékony programjai

forrás: Prím Online, 2020. szeptember 14. 14:52

A Check Point Software Technologies Ltd., a világszerte vezető szerepet betöltő cyber-biztonsági megoldásokat szállító vállalat kutatórészlege, a Check Point Research kiadta 2020 augusztusára vonatkozó, Global Threat Index elemzését. A kutatók azt tapasztalták, hogy a Qbot, Qakbot és Pinkslipbot néven egyaránt ismert trójai első alkalommal került be a legelterjedtebb kártékony programok közé, miközben az Emotet már második hónapja tartja magát az első helyen és világszerte a szervezetek 14%-ánál jelent meg.

A legelőször 2008-ban megjelent Qbot folyamatosan fejlődött, mostanra kifinomult hitelesítő adatok lopásával és zsarolóprogram telepítő technikákkal rendelkezik, ezzel a kutatók véleménye szerint a rosszindulatú programok svájci bicskájának felel meg. Sőt van egy veszélyes, új képessége is: egy specializált email címeket begyűjtő modul, mely az áldozat Outlook klienséből szed ki email-váltásokat és egy távoli, külső szerverre tölti fel azokat. Ezáltal eltéríti a fertőzött felhasználók legitim emailes levelezéseit, majd ezeket spam levélként felhasználva növeli annak esélyét, hogy újabb felhasználókat tud megtéveszteni és megfertőzni. Mindezeken túl azzal, hogy irányítója be tud lépni áldozatának számítógépébe, a Qbot jogosulatlan banki tranzakciók indítására is képes.

 

A Check Point kutatói 2020 március és augusztus között több olyan kampányt is találtak, mely a Qbot új típusát használta, köztük az Emotet trójai által terjesztett Qbotot, mely csak július hónapban világszerte a szervezetek 5%-ánál jelent meg. 

 

„A biztonsági fenyegetéseket indítók mindig keresik a már létező és bizonyított kártékony programok frissítésének módját és egyértelműen sokat invesztáltak a Qbot fejlesztésébe, hogy alkalmassá tegyék jelentős mértékű adatlopásra, legyen szó akár vállalatokról, akár magánemberekről. Találkoztunk olyan kártékony spam kampányokkal, melyek követlenül a Qbotot terjesztik, de olyanokkal is, melyek az Emotethez hasonló, harmadik félhez tartozó infrastruktúrákat használnak arra, hogy még szélesebb körben terjesszék a fenyegetéseket. A vállalatoknak foglalkozniuk kellene olyan anti-malware megoldások alkalmazásának kérdésével, melyek képesek megakadályozni, hogy ilyen tartalmak eljussanak a végfelhasználókig, és figyelmeztetniük kell alkalmazottjaikat, hogy legyenek óvatosak az emailek megnyitásakor, még akkor is ha azok amúgy megbízható forrástól érkeztek,” - mondta Maya Horowith, a Check Point Threat Intelligence & Research, Products igazgatója.

 

Ugyanakkor a kutatócsoport arra is felhívja a figyelmet, hogy a legszélesebb körben kihasznált sérülékenység a „Web Server Exposed Git Repository Information Disclosure”, mely a szervezetek 47%-ánál jelent meg világszerte. Második helyre került az „MVPower DVR Remote Code Execution”, mely világszerte a szerveztek 43%-ánál jelent meg. A „Dasan GPON Router Authentication Bypass (CVE-2018-10561)” a harmadik helyre került, globális jelenléte 37%. 

 

2020 augusztusának top három kártékony programcsaládja:

*A nyilak a helyezés előző hónaphoz képesti változását jelzik.

A hónap során az Emotet tartotta első helyét, világszerte a szervezetek 14%-ánál volt jelen, ezt követi szorosan az Agent Tesla és a Formbook, mindkettő a szerveztek 3%-ánál jelent meg.

1. ↑ Emotet – Fejlett, önmagát hirdető, moduláris trójai program. Eredetileg banki trójaiként volt ismert, az utóbbi időkben azonban más kártevők és hadjáratok terjesztőjeként használják. A jelenlét fenntartására különböző módszereket alkalmaz, míg a lebukás elkerülésére kitérő technikákat. Ráadásul rosszindulatú csatolmányokat vagy linkeket tartalmazó, adathalász spam emailekkel terjed.

2. ↑ Agent Tesla – Távoli hozzáférés trójai (RAT), mely billentyűzet-leütés naplózással és adatlap lopással figyeli és gyűjti be az áldozat billentyűzetén bevitt vagy a vágólapra helyezett adatokat, képernyőképeket és a legkülönbözőbb, az áldozat gépére telepített software-ekhez (köztük Google Chrome, Mozilla Firefox és Microsoft Outlook email kliens) tartozó meghatalmazásokat.

3. ↓ Formbook – Információ tolvaj, mely a különböző böngészőkből gyűjt be hitelesítő adatokat, képernyőképeket, monitor és billentyűzet-leütés adatokat, és C&C utasításai alapján képes letölteni és végrehajtani utasításokat.

 

2020 augusztusának top három sérülékenysége:

Ebben a hónapban az „Web Server Exposed Git Repository Information Disclosure” volt a leggyakrabban kihasznált sérülékenység, mely világszerte a vállalatok 47%-ánál jelent meg. Ezt követte az „MVPower DVR Remote Code Execution” a maga 43%-ával, míg a „Dasan GPON Router Authentication Bypass (CVE-2018-10561)” harmadik helyre került, világszerte 37%-ban volt jelen.

1. ↑ Web Server Exposed Git Repository Information Disclosure – A Git Repository-ban jelentett adatszivárgásos sérülékenység, melyen keresztül a felhasználói fiókkal kapcsolatos információk kerülhetnek ki.

2. ↓ MVPower DVR Remote Code Execution. Távoli kódfuttatást lehetővé tévő sérülékenység az MVPower DVR eszközükön. A támadó ezen sérülékenység kihasználásával tetszőleges kódot tud futtatni a megtámadott routeren egy ravasz megkeresésen keresztül.

3. ↑ Dasan GPON Router Authentication Bypass (CVE-2018-10561) – A Dasan GPOR routerek jogosulatlansággal összefüggő sérülékenysége. A sikeres kihasználása esetébe a távoli támadók érzékeny információkhoz férhetnek hozzá és jogosulatlanul hozzáférhetnek az érintett rendszerhez. 

 

2020 júliusának top három rosszindulatú mobil családja:

Ebben a hónapban a xHelper volt a legelterjedtebb program, őt követte a Necro és a Hiddad. 

1. xHelper. A 2019 márciusában felbukkant alkalmazást más kártevő alkalmazások letöltésére és hirdetések megjelenítésére használják. Képes elrejtőzni a felhasználó elől és újratelepíteni önmagát még akkor is ha törlik. Az először 2019 márciusában felfedezett xHelper több mint 45.000 eszközt fertőzött meg.

2. Necro. Android alapú trójai hordozó. Más rosszindulatú programokat tud letölteni, tolakodó hirdetéseket mutat és előfizetésekkel lop pénzt.

3. Hiddad. Az Android alapú kártevő program újracsomagolja a legitim alkalmazásokat, majd egy harmadik fél áruházában helyezi el. Fő funkciója a hirdetések megjelenítése, de képes hozzáférést szerezni az operációs rendszer kulcsfontosságú biztonsági részleteihez is.

 

A Check Point Global Threat Impact Index és a ThreatCloud Map alapja a Check Point ThreatCloudTM intelligence, a legnagyobb, a cyber bűnözéssel szemben harcoló, kollaboráción alapuló hálózat, mely fenyegetésekkel kapcsolatos adatokat és támadási trendekkel kapcsolatos információkat szolgáltat a szenzorok globális hálózata számára. A ThreatCloud adatbázis naponta több mint 2,5 milliárd weboldalt és 500 millió file-t ellenőriz; 250 milliónál is több kártékony tevékenységet azonosít be minden egyes nap.

 

A kártékony programcsaládok teljes, 2020. augusztusi Top 10 listája megtalálható a Check Point Blogon