A Check Point Software Technologies Ltd. kutatórészlege, a Check Point Research kiadta legújabb, 2021 júliusára vonatkozó Global Threat Index elemzését. A kutatók jelentése szerint a Trickbot tartja magát a legelterjedtebb kártékony programok listájának élén, azonban az első alkalommal 2020 novemberében beazonosított Snake Keylogger egy intenzív adathalász kampányt követően a második helyre került.
A Snake Keylogger egy moduláris .NET billentyűzetfigyelő és identitástolvaj. Elsődleges funkciója a felhasználók billentyűleütéseinek a naplózása számítógépeken és mobil eszközökön, majd az így begyűjtött adatokat továbbítja a fenyegetéseket indítók felé. Az elmúlt hetekben a Snake különösen gyorsan terjedt olyan adathalász e-mailekkel, melyeket különböző témákban küldtek több országban és üzletágban. A Snake fertőzések különösen komoly fenyegetést jelentenek a felhasználók magán és online biztonsága szempontjából, mivel ez a kártékony program lényegében bármilyen érzékeny adatot képes eltulajdonítani, ugyanakkor különösen rugalmas és hatékony billentyűzetfigyelő. Jelenleg is működnek olyan underground hacker fórumok, ahol a kínált szolgáltatások szintjétől függően 25-500 USD közti összegért értékesítik a Snake Keylogger-t.
A billentyűzetfigyelő támadások különösen veszélyesek lehetnek, mivel az emberek általában ugyanazon jelszót és felhasználó nevet használják a különböző felhasználói fiókjaikban. Így, ha egy belépési adat kikerül, a cyber-bűnözők mindenhez hozzáférnek, ahol ugyanaz a jelszó van használatban. Úgy lehet megállítani őket, hogy minden profilon mást használunk. Ehhez jelszókezelőt érdemes használni, ami lehetővé teszi, hogy minden egyes szolgáltatásnak különböző, erős belépési opciója legyen a meghatározott irányelvek alapján.
„Ahol csak lehetséges, a felhasználóknak csökkenteniük kellene a pusztán jelszavakon alapuló azonosításokat, például többtényezős hitelesítés (MFA) vagy egyszeri bejelentkezés (SSO) technológiák alkalmazásával,” - mondta Maya Horowitz, a Check Point Threat Intelligence & Research, Products igazgatója. „Ugyanakkor a jelszavak kapcsán a legjobb tanács erős, egyedi jelszó választása minden egyes szolgáltatáshoz, így még ha a rosszfiúk meg is szerzik a jelszavainkat, az nem jelent azonnali hozzáférést több oldalhoz és szolgáltatáshoz. Az olyan billentyűzetfigyelők, mint a Snake, sok esetben adathalász e-mailekkel terjednek, ezért alapvető fontosságú, hogy a felhasználók figyeljenek az olyan apró ellentmondásokra, mint az betűhibák a linkekben és e-mail címekben, illetve meg kell tanulniuk, hogy soha ne klikkeljenek rá gyanús linkekre, soha ne nyissanak meg ismeretlen csatolmányokat.”
A Check Point Research arra is felhívta a figyelmet, hogy a „Web Server Exposed Git Repository Information Disclosure” a leggyakrabban kihasznált sérülékenység, világszerte a szervezetek 45%-ánál jelent meg. Ezt követi a „HTTP Headers Remote Code Execution”, mely a szervezetek 44%-ánál bukkant fel. Harmadik helyen áll az „MVPower DVR Remote Code Execution”, globális hatása 42%.
2021. július top három kártékony programcsaládja:
* A nyilak a helyezés előző hónaphoz képesti változását jelzik.
A hónap során a Trickbot tartotta első helyét, világszerte a szervezetek 4%-ánál volt jelen, ezt követi a Snake Keylogger és az XMRig, mindkettő a szervezetek 3%-ánál jelent meg.
1.↔ Trickbot – Folyamatosan frissített, moduláris botnet és banki trójai. Emiatt rugalmas és testre szabható kártékony program, melyet többcélú kampányok részeként tudnak terjeszteni.
2.↑ Snake Keylogger – 2020 novemberében beazonosított moduláris .NET billentyűzetfigyelő és identitástolvaj; elsődleges funkciója a felhasználók billentyűleütéseinek a naplózása és az így begyűjtött adatok továbbítása a fenyegetéseket indítók felé.
3.↓ XMRig – A még 2017 májusában megjelent XMRig egy nyílt kódú CPU bányász software, melyet a Monero crypto-valuta bányászatára használnak.
2021. július top három sérülékenysége:
Ebben a hónapban a „Web Server Exposed Git Repository Information Disclosure” volt a leggyakrabban kihasznált sérülékenység, mely világszerte a vállalatok 45%-ánál jelent meg. Ezt követi az „HTTP Headers Remote Code Execution”, mely a szervezetek 44%-ánál bukkant fel. Harmadik helyen áll a „MVPower DVR Remote Code Execution”, globális hatása 42%.
1.↑ Web Server Exposed Git Repository Information Disclosure – A Git Repository-ban jelentett adatszivárgásos sérülékenység, melyen keresztül a felhasználói fiókkal kapcsolatos információk kerülhetnek ki.
2.↓ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – A HTTP fejléceken keresztül a kliens és a szerver HTTP kéréssel kiegészítő információkat továbbít. A távoli támadó kihasználhatja a sérülékeny HTTP fejlécet és önkényes kódot futtathat az áldozat gépén.
3.↓ MVPower DVR Remote Code Execution – Távoli kódfuttatást lehetővé tévő sérülékenység az MVPower DVR eszközükön. A támadó ezen sérülékenység kihasználásával tetszőleges kódot tud futtatni a megtámadott routeren egy ravasz megkeresésen keresztül.
2021. július top három rosszindulatú mobil családja:
Ebben a hónapban az xHelper a legelterjedtebb program, őt követte az AlienBot és a Hiddad.
1. xHelper. A 2019 márciusában felbukkant alkalmazást más kártevő alkalmazások letöltésére és hirdetések megjelenítésére használják. Képes elrejtőzni a felhasználó elől és újratelepíteni önmagát még akkor is, ha törlik.
2. AlienBot. Az AlienBot kártékony programcsalád egy Android eszközökre fejlesztett MaaS (Malware-as-a-Service), mely lehetővé teszi a támadó számára, hogy első lépésként kártékony kódot juttasson be a legitim pénzügyi alkalmazásokba. A támadó hozzáférést szerez az áldozat felhasználói fiókjaihoz, végül pedig teljesen átveszi az irányítást az eszköz fölött.
3. Hiddad. Az Android alapú kártevő program újra csomagolja a legitim alkalmazásokat, majd egy harmadik fél áruházában helyezi el. Fő funkciója a hirdetések megjelenítése, de képes hozzáférést szerezni az operációs rendszer kulcsfontosságú biztonsági részleteihez is.
A Check Point Global Threat Impact Index és a ThreatCloud Map alapja a Check Point ThreatCloudTM intelligence, a legnagyobb, a cyber bűnözéssel szemben harcoló, kollaboráción alapuló hálózat, mely fenyegetésekkel kapcsolatos adatokat és támadási trendekkel kapcsolatos információkat szolgáltat a szenzorok globális hálózata számára. A ThreatCloud adatbázis naponta több mint 3 milliárd weboldalt és 600 millió file-t ellenőriz; 250 milliónál is több kártékony tevékenységet azonosít be minden egyes nap.
A kártékony programcsaládok teljes 2021. júliusi Top 10 listája megtalálható a Check Point Blogon.