2022. október legveszélyesebb kártékony programjai

forrás: Prím Online, 2022. november 21. 09:55

A Check Point Research jelentős növekedésről számol be a Lokibot támadások kapcsán, aminek eredményeképp az információ-tolvaj trójai az elmúlt öt hónap során először került a harmadik helyre. Első alkalommal jelent meg egy sérülékenység, a Text4Shell, míg az Agent Tesla átvette a vezetést a leggyakrabban előforduló kártékony programok listáján. 

A Check Point Software Technologies Ltd. kutatórészlege, a Check Point Research (CPR) kiadta legújabb, 2022 októberére vonatkozó Global Threat Index elemzését. A hónap során az Agent Tesla átvette a vezetést a legelterjedtebb kártékony programok listáján, világszerte a szervezetek 7%-ánál jelent meg. Jelentősen nőtt a Lokibot információ-tolvajhoz köthető támadások száma, aminek eredményeképp az elmúlt öt hónap során első alkalommal került a lista harmadik helyére. Mindezek mellett, megjelent egy új sérülékenység, a Text4Shell, mely az Apache Commons Text könyvtárra van hatással. 

 

A Lokibot egy olyan információ-tolvaj, melyet arra terveztek, hogy a legkülönbözőbb alkalmazásokból, többek között böngészőkből, e-mail kliensekből és IT adminisztrációs eszközökből gyűjtsön be személyi adatokat. Trójai programként, célja legitim programnak álcázva titokban belopódzni a rendszerbe. Adathalász e-mailekkel, kártékony weboldalakon, SMS-ekkel és más üzenetküldési platformokon terjesztik. Megnövekedett jelenléte az online információkérések, megrendelések és fizetést visszaigazoló üzenetek tematikájára építő spam kampányok elszaporodásához köthető.

 

Október hónapban egy új sérülékenység is felbukkant, melynek neve Text4Shell, (CVE-2022-42889). Alapja az Apache Commons Text funkcionalitása, mely különösebb jogosultság vagy felhasználói interakció nélkül engedi be a támadásokat a hálózatba. A Text4Shell nagyban hasonlít a Log4Shell-hez, mely még egy év után is az egyik legtöbb problémát okozó sérülékenység, az októberi listán is a második helyen szerepel. Annak ellenére, hogy a Text4Shell nem került fel a havi top listára, már világszerte a szervezetek 8%-nál megjelent; a Check Point továbbra is figyelni fogja hatását. 

 

„Az elmúlt hónapban sok változást tapasztaltunk a listán: a kártékony programcsaládok első három helyének összetétele teljesen megváltozott. Érdekesség, hogy a Lokibot ilyen gyorsan vissza tudott jutni a harmadik helyre, ami növekedési trendet jelent az adathalász kampányok terén. November hónapban, ami egy forgalmas vásárlási időszak, fontos, hogy az emberek éberek maradjanak és figyeljenek a gyanús e-mailekre, melyek kártékony kódokat tartalmazhatnak. Figyelni kell az olyan jelekre, mint egy gyanús feladó, vagy ha személyes információkat vagy linkeket kérnek. Amennyiben kétely merül fel, közvetlenül kell meglátogatni az adott weboldalt és ott, ellenőrzött forrásból megkeresni a megfelelő kapcsolati adatokat. Természetesen a megfelelő, kártékony programokkal szembeni védelem telepítése és rendszeres frissítése is nagyon fontos,” – mondta Maya Horowitz, a Check Point Software kutatásért felelős elnök-helyettese.

 

A CPR arra is felhívta a figyelmet, hogy ebben a hónapban a „Web Server Exposed Git Repository Information Disclosure” maradt az első helyen a leggyakrabban kihasznált sérülékenységek listáján (a szervezetek 43%-ánál bukkant fel); szorosan követi az „Apache Log4j Remote Code Execution”, világszerte a szervezetek 41%-ánál jelent meg. Októberben az Oktatás/kutatás szektor maradt az első helyen a legtöbb támadást tapasztaló iparágak listáján.

 

 

2022. október top három kártékony programcsaládja:

*A nyilak a helyezés előző hónaphoz képest történt változását jelzik.

A hónap során az Agent Tesla volt a legelterjedtebb kártékony program, világszerte a szervezetek 7%-ánál volt jelen, ezt követte a Snake Keylogger, mely a szervezetek 5%-ánál, majd a Lokibot, mely 4%-nál jelent meg.

1.↑ Agent Tesla – Továbbfejlesztett RAT (távoli hozzáférés trójai), mely billentyűzet-leütés adatokat és információkat lop el. Figyeli és összegyűjti az az áldozat billentyűzetére és a rendszer vágólapjára érkező inputot, rögzíti a képernyőképeket és kivonja a különböző, az áldozat gépére telepített software-ekbe (például Google Chrome, Mozilla Firefox és a Microsoft Outlook email kliens) érkező személyi adatokat.

2.↑ Snake Keylogger – 2020 novemberében beazonosított moduláris .NET billentyűzetfigyelő és identitástolvaj; elsődleges funkciója a felhasználók billentyűleütéseinek a naplózása és az így begyűjtött adatok továbbítása a fenyegetéseket indítók felé.

3.↑ Lokibot – Főként adathalász e-mailekkel terjedő információ tolvaj, melyet különböző adatok, mint e-mail információk, vagy CryptoCoin tárca és FTP szerver jelszavak eltulajdonítására használnak.

 

A világszerte legtöbb támadást elszenvedő iparágak:

1. Oktatás/kutatás

2. Kormányzat/hadsereg

3. Egészségügy

 

2022. október top három sérülékenysége:

Ebben a hónapban a „Web Server Exposed Git Repository Information Disclosure” volt a leggyakrabban kihasznált sérülékenység, világszerte a vállalatok 43%-ánál jelent meg. Ezt követte az „Apache Log4j Remote Code Execution”, a szervezetek 41%-ánál bukkant fel. Harmadik helyre került a „HTTP Headers Remote Code Execution”, globális hatása 39%.

1.↔ Web Server Exposed Git Repository Information Disclosure – A Git Repository-ban jelentett adatszivárgásos sérülékenység, melyen keresztül a felhasználói fiókkal kapcsolatos információk kerülhetnek ki.

2.↔ Apache Log4j Remote Code Execution – Az Apache Log4j-ben található sérülékenység, mely távoli kódok végrehajtását teszi lehetővé. A rés sikeres kihasználásával a távoli támadó tetszőleges kódot futtathat az érintett rendszeren.

3.↑ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – A HTTP fejléceken keresztül a kliens és a szerver HTTP kéréssel kiegészítő információkat továbbít. A távoli támadó kihasználhatja a sérülékeny HTTP fejlécet és önkényes kódot futtathat az áldozat gépén.

 

2022. október top három, mobil eszközöket támadó kártékony programcsaládja:

Ebben a hónapban az Anubis maradt az élen mint a legelterjedtebb program, őt követte a Hydra és a Joker.

1. Anubis – Android mobiltelefonokra tervezett banki trójai program. Felbukkanása óta újabb funkciókkal bővült, köztük távoli hozzáférés trójai (RAT), billentyűzet naplózó (keylogger), hangrögzítés, illetve különböző zsarolóprogram jellemzők. Több száz különböző, a Google Store-ban elérhető alkalmazásban fedezték fel.

2. Hydra – Banki trójai, melyet pénzügyi jogosultságok eltulajdonítására terveztek – veszélyes engedélyek kiadását kéri az áldozatoktól.

3. Joker – Android Spyware, mely a Google Play-ben működik. SMS üzenetek, kontaktlisták és eszközinformációk eltulajdonítására tervezték. Mindezek mellett, prémium szolgáltatásokra tudja előfizetni áldozatát annak beleegyezése nélkül. 

 

A Check Point Global Threat Impact Index és a ThreatCloud Map alapja a Check Point ThreatCloud intelligence, mely a szenzorok százmillióinak, hálózatokban, végpontokon és mobilokon található globális hálózatából nyert adatok alapján valós idejű, fenyegetésekkel kapcsolatos információkat szolgáltat. Mindezt AI-alapú motorokkal és a Check Point Software Technologies kutatórészlege, a Check Point Research exkluzív kutatási adataival bővítik ki. 

 

A kártékony programcsaládok teljes szeptemberi toplistája megtalálható a Check Point blogon.