Η Check Point Software Technologies Ltd. πάροχος λύσεων κυβερνοασφάλειας σε παγκόσμιο επίπεδο, δημοσίευσε τον Παγκόσμιο Δείκτη Απειλών για τον Αύγουστο του 2023. Οι ερευνητές αναφέρθηκαν σε μια νέα παραλλαγή του κακόβουλου λογισμικού ChromeLoader, το οποίο στοχεύει τους χρήστες του προγράμματος περιήγησης Chrome με ψεύτικες διαφημίσεις φορτωμένες με κακόβουλες επεκτάσεις.
Εν τω μεταξύ, ο τομέας των επικοινωνιών κατατάχθηκε ως ο δεύτερος κλάδος που επηρεάστηκε περισσότερο παγκοσμίως, εκτοπίζοντας την υγειονομική περίθαλψη από τη λίστα για πρώτη φορά φέτος.
Το ChromeLoader είναι ένα επίμονο πρόγραμμα αεροπειρατείας του προγράμματος περιήγησης Google Chrome, το οποίο ανακαλύφθηκε για πρώτη φορά το 2022. Κατατάσσεται στη 10η θέση στις κορυφαίες οικογένειες κακόβουλου λογισμικού του περασμένου μήνα και έχει σχεδιαστεί για να εγκαθιστά κρυφά κακές επεκτάσεις μέσω ψεύτικων διαφημίσεων σε προγράμματα περιήγησης ιστού.
Στην περίπτωση της καμπάνιας “Shampoo”, τα θύματα εξαπατώνται ώστε να εκτελούν αρχεία VBScript που εγκαθιστούν κακόβουλες επεκτάσεις του Chrome. Μόλις εγκατασταθούν, μπορούν να συλλέγουν προσωπικά δεδομένα και να διαταράσσουν την περιήγηση με ανεπιθύμητες διαφημίσεις.
Τον Αύγουστο, το FBI ανακοίνωσε μια σημαντική νίκη στην παγκόσμια επιχείρησή του κατά του Qbot (AKA Qakbot). Στην “Επιχείρηση Duck Hunt” το FBI κατέλαβε τον έλεγχο του botnet, αφαίρεσε το κακόβουλο λογισμικό από τις μολυσμένες συσκευές και εντόπισε σημαντικό αριθμό επηρεαζόμενων συσκευών.
Το Qbot εξελίχθηκε σε μια υπηρεσία παράδοσης κακόβουλου λογισμικού που χρησιμοποιείται για διάφορες εγκληματικές δραστηριότητες στον κυβερνοχώρο, συμπεριλαμβανομένων επιθέσεων ransomware. Συνήθως εξαπλώνεται μέσω εκστρατειών phishing και συνεργάζεται με άλλους φορείς απειλών. Παρόλο που παρέμεινε το πιο διαδεδομένο κακόβουλο λογισμικό τον Αύγουστο, η Check Point παρατήρησε σημαντική μείωση του αντίκτυπού του μετά την επιχείρηση.
Τον περασμένο μήνα ο τομέας των επικοινωνιών κατέλαβε επίσης τη δεύτερη θέση ως ένας από τους κλάδους με τις μεγαλύτερες επιπτώσεις παγκοσμίως, ξεπερνώντας για πρώτη φορά την υγειονομική περίθαλψη το 2023. Υπήρξαν πολλά παραδείγματα οργανισμών του τομέα που αντιμετώπισαν κυβερνοεπιθέσεις φέτος. Τον Μάρτιο, η κινεζική κρατική ομάδα κυβερνοκατασκοπείας APT41 παρατηρήθηκε να στοχεύει τον τομέα των τηλεπικοινωνιών στη Μέση Ανατολή. Οι απειλητικοί φορείς διείσδυσαν σε διακομιστές Microsoft Exchange με πρόσβαση στο Διαδίκτυο για να εκτελέσουν εντολές, να διεξάγουν αναγνώριση, να κλέψουν διαπιστευτήρια και να εκτελέσουν δραστηριότητες πλευρικής μετακίνησης και διαφυγής δεδομένων.
“Η κατάρριψη του QBot ήταν μια σημαντική ανακάλυψη στον αγώνα κατά του εγκλήματος στον κυβερνοχώρο. Ωστόσο, δεν μπορούμε να εφησυχάζουμε, διότι όταν πέφτει ένα, ένα άλλο τελικά θα σηκωθεί για να πάρει τη θέση του” δήλωσε η Maya Horowitz, VP Research της Check Point Software. “Θα πρέπει όλοι να παραμείνουμε σε εγρήγορση, να συνεργαστούμε και να συνεχίσουμε να εφαρμόζουμε καλή υγιεινή ασφάλειας σε όλους τους φορείς επιθέσεων”.
Η CPR αποκάλυψε επίσης ότι η ” Remote Code Execution HTTP Headers ” ήταν η πιο συχνά εκμεταλλευόμενη ευπάθεια, επηρεάζοντας το 40% των οργανισμών παγκοσμίως, ακολουθούμενη από την ” Command Injection Over HTTP ” η οποία επηρέασε το 38% των οργανισμών παγκοσμίως. Η “MVPower CCTV DVR Remote Code Execution” ήρθε στην τρίτη θέση με παγκόσμιο αντίκτυπο 35%.
Table of Contents
Κορυφαίες οικογένειες κακόβουλου λογισμικού
*The arrows relate to the change in rank compared to the previous month.
Qbot was the most prevalent malware last month with an impact of 5% worldwide organizations, followed by Formbook with a global impact of 4%, and Fakeupdates with a global impact of 3%.
*Τα βέλη αφορούν τη μεταβολή της κατάταξης σε σχέση με τον προηγούμενο μήνα.
Το Qbot ήταν το πιο διαδεδομένο κακόβουλο λογισμικό τον περασμένο μήνα με αντίκτυπο 5% σε παγκόσμιους οργανισμούς, ακολουθούμενο από το Formbook με παγκόσμιο αντίκτυπο 4% και το Fakeupdates με παγκόσμιο αντίκτυπο 3%.
-
↔ Qbot – Το Qbot AKA Qakbot είναι ένα κακόβουλο λογισμικό πολλαπλών χρήσεων που εμφανίστηκε για πρώτη φορά το 2008. Σχεδιάστηκε για να κλέβει τα διαπιστευτήρια ενός χρήστη, να καταγράφει πληκτρολογήσεις, να κλέβει cookies από προγράμματα περιήγησης, να κατασκοπεύει τραπεζικές δραστηριότητες και να αναπτύσσει πρόσθετο κακόβουλο λογισμικό. Συχνά διανέμεται μέσω spam email, το Qbot χρησιμοποιεί διάφορες τεχνικές anti–VM, anti–debugging και anti–sandbox για να εμποδίσει την ανάλυση και να αποφύγει την ανίχνευση. Ξεκινώντας το 2022, αναδείχθηκε ως ένα από τα πιο διαδεδομένα Trojans.
-
↔ Formbook – Το Formbook είναι ένα Infostealer που στοχεύει το λειτουργικό σύστημα Windows και εντοπίστηκε για πρώτη φορά το 2016. Διατίθεται στην αγορά ως κακόβουλο λογισμικό ως υπηρεσία (Malware as a Service – MaaS) σε υπόγεια φόρουμ hacking για τις ισχυρές τεχνικές αποφυγής και τη σχετικά χαμηλή τιμή του. Το FormBook συλλέγει διαπιστευτήρια από διάφορα προγράμματα περιήγησης στο διαδίκτυο, συλλέγει στιγμιότυπα οθόνης, παρακολουθεί και καταγράφει τις πληκτρολογήσεις και μπορεί να κατεβάζει και να εκτελεί αρχεία σύμφωνα με εντολές από το C&C του.
-
↑ Fakeupdates – Το Fakeupdates (AKA SocGholish) είναι ένα πρόγραμμα λήψης γραμμένο σε JavaScript. Γράφει τα ωφέλιμα φορτία στο δίσκο πριν από την εκτόξευσή τους. Το Fakeupdates οδήγησε σε περαιτέρω συμβιβασμό πολλών άλλων κακόβουλων προγραμμάτων, συμπεριλαμβανομένων των GootLoader, Dridex, NetSupport, DoppelPaymer και AZORult.
Κορυφαίοι επιτιθέμενοι κλάδοι παγκοσμίως
Τον περασμένο μήνα η εκπαίδευση/έρευνα παρέμεινε στην πρώτη θέση των κλάδων με τις περισσότερες επιθέσεις παγκοσμίως, ακολουθούμενη από τις επικοινωνίες και την κυβέρνηση/στρατιωτικό τομέα.
1. Εκπαίδευση/Ερευνα
2. Επικοινωνίες
3. Κυβέρνηση/Στρατός
Κορυφαία εκμεταλλεύσιμα τρωτά σημεία
Τον περασμένο μήνα, η ” Remote Code Execution HTTP Headers ” ήταν η ευπάθεια με τη μεγαλύτερη εκμετάλλευση, επηρεάζοντας το 40% των οργανισμών παγκοσμίως, ακολουθούμενη από την ” Command Injection Over HTTP ” που επηρέασε το 38% των οργανισμών παγκοσμίως. Η “MVPower CCTV DVR Remote Code Execution” ήταν η τρίτη πιο συχνά χρησιμοποιούμενη ευπάθεια, με παγκόσμιο αντίκτυπο 35%.
-
↑ Remote Code Execution HTTP Headers (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – Οι HTTP headers επιτρέπουν στον client και τον server να περάσουν πρόσθετες πληροφορίες με ένα αίτημα HTTP. Ένας απομακρυσμένος εισβολέας μπορεί να χρησιμοποιήσει μια ευάλωτη κεφαλίδα HTTP για να εκτελέσει αυθαίρετο κώδικα στο μηχάνημα του θύματος.
-
↑ Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086) – Έχει αναφερθεί μια ευπάθεια που αφορά την έγχυση εντολών μέσω HTTP. Ένας απομακρυσμένος επιτιθέμενος μπορεί να εκμεταλλευτεί αυτό το ζήτημα στέλνοντας ένα ειδικά διαμορφωμένο αίτημα στο θύμα. Η επιτυχής εκμετάλλευση θα επέτρεπε στον εισβολέα να εκτελέσει αυθαίρετο κώδικα στο μηχάνημα-στόχο.
-
↑ MVPower CCTV DVR Remote Code Execution (CVE-2016-20016)- Υπάρχει ευπάθεια απομακρυσμένης εκτέλεσης κώδικα στο MVPower CCTV DVR. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας θα μπορούσε να επιτρέψει σε έναν απομακρυσμένο εισβολέα να εκτελέσει αυθαίρετο κώδικα στο επηρεαζόμενο σύστημα.
Top Mobile Malwares
Τον περασμένο μήνα το Anubis παρέμεινε στην πρώτη θέση ως το πιο διαδεδομένο κακόβουλο λογισμικό για κινητά, ακολουθούμενο από τα AhMyth και SpinOk.
-
Anubis – Το Anubis είναι ένα τραπεζικό κακόβουλο λογισμικό Trojan σχεδιασμένο για κινητά τηλέφωνα Android. Από τότε που εντοπίστηκε αρχικά, έχει αποκτήσει πρόσθετες λειτουργίες, συμπεριλαμβανομένων λειτουργιών Remote Access Trojan (RAT), keylogger, δυνατοτήτων καταγραφής ήχου και διαφόρων λειτουργιών ransomware. Έχει εντοπιστεί σε εκατοντάδες διαφορετικές εφαρμογές που είναι διαθέσιμες στο Google Store.
-
AhMyth – Το AhMyth είναι ένα Trojan απομακρυσμένης πρόσβασης (RAT) που ανακαλύφθηκε το 2017. Διανέμεται μέσω εφαρμογών Android που μπορούν να βρεθούν σε καταστήματα εφαρμογών και σε διάφορους ιστότοπους. Όταν ένας χρήστης εγκαθιστά μία από αυτές τις μολυσμένες εφαρμογές, το κακόβουλο λογισμικό μπορεί να συλλέξει ευαίσθητες πληροφορίες από τη συσκευή και να εκτελέσει ενέργειες όπως keylogging, λήψη στιγμιότυπων οθόνης, αποστολή μηνυμάτων SMS και ενεργοποίηση της κάμερας, η οποία συνήθως χρησιμοποιείται για την κλοπή ευαίσθητων πληροφοριών.
-
SpinOk – Το SpinOk είναι μια μονάδα λογισμικού Android που λειτουργεί ως λογισμικό κατασκοπείας. Συλλέγει πληροφορίες σχετικά με τα αρχεία που είναι αποθηκευμένα στις συσκευές και είναι σε θέση να τις μεταφέρει σε κακόβουλους φορείς απειλών. Το κακόβουλο module βρέθηκε να υπάρχει σε περισσότερες από 100 εφαρμογές Android και έχει μεταφορτωθεί περισσότερες από 421.000.000 φορές από τον Μάιο του 2023.
Τα Global Threat Impact Index και ThreatCloud Map της Check Point Software, βασίζονται στο ThreatCloud intelligence της εταιρείας, το οποίο παρέχει σε πραγματικό χρόνο, πληροφορίες για απειλές που προέρχονται από εκατοντάδες εκατομμύρια αισθητήρες παγκοσμίως, μέσω δικτύων, τελικών σημείων και κινητών τηλεφώνων. Το ThreatCloud intelligence εμπλουτίζεται με δεδομένα που βασίζονται σε AI και αποκλειστικά ερευνητικά δεδομένα από την Check Point Research, το τμήμα Intelligence & Research της Check Point Software Technologies.
Η πλήρης λίστα με τις 10 κορυφαίες οικογένειες κακόβουλου λογισμικού τον Αύγουστο του 2023 βρίσκεται στο Check Point blog.