A Check Point Software Technologies Ltd. kutatórészlege, a Check Point Research kiadta legújabb, 2021 júliusára vonatkozó Global Threat Index elemzését. A kutatók jelentése szerint a Trickbot tartja magát a legelterjedtebb kártékony programok listájának élén, azonban az első alkalommal 2020 novemberében beazonosított Snake Keylogger egy intenzív adathalász kampányt követően a második helyre került.

A Snake Keylogger egy moduláris .NET billentyĹązetfigyelő és identitástolvaj. Elsődleges funkciója a felhasználók billentyĹąleütéseinek a naplózása számítógépeken és mobil eszközökön, majd az így begyĹąjtött adatokat továbbítja a fenyegetéseket indítók felé. Az elmúlt hetekben a Snake különösen gyorsan terjedt olyan adathalász e-mailekkel, melyeket különböző témákban küldtek több országban és üzletágban. A Snake fertőzések különösen komoly fenyegetést jelentenek a felhasználók magán és online biztonsága szempontjából, mivel ez a kártékony program lényegében bármilyen érzékeny adatot képes eltulajdonítani, ugyanakkor különösen rugalmas és hatékony billentyĹązetfigyelő. Jelenleg is mĹąködnek olyan underground hacker fórumok, ahol a kínált szolgáltatások szintjétől függően 25-500 USD közti összegért értékesítik a Snake Keylogger-t.

A billentyĹązetfigyelő támadások különösen veszélyesek lehetnek, mivel az emberek általában ugyanazon jelszót és felhasználó nevet használják a különböző felhasználói fiókjaikban. Így, ha egy belépési adat kikerül, a cyber-bĹąnözők mindenhez hozzáférnek, ahol ugyanaz a jelszó van használatban. Úgy lehet megállítani őket, hogy minden profilon mást használunk. Ehhez jelszókezelőt érdemes használni, ami lehetővé teszi, hogy minden egyes szolgáltatásnak különböző, erős belépési opciója legyen a meghatározott irányelvek alapján.

„Ahol csak lehetséges, a felhasználóknak csökkenteniük kellene a pusztán jelszavakon alapuló azonosításokat, például többtényezős hitelesítés (MFA) vagy egyszeri bejelentkezés (SSO) technológiák alkalmazásával,” - mondta Maya Horowitz, a Check Point Threat Intelligence & Research, Products igazgatója. „Ugyanakkor a jelszavak kapcsán a legjobb tanács erős, egyedi jelszó választása minden egyes szolgáltatáshoz, így még ha a rosszfiúk meg is szerzik a jelszavainkat, az nem jelent azonnali hozzáférést több oldalhoz és szolgáltatáshoz. Az olyan billentyĹązetfigyelők, mint a Snake, sok esetben adathalász e-mailekkel terjednek, ezért alapvető fontosságú, hogy a felhasználók figyeljenek az olyan apró ellentmondásokra, mint az betĹąhibák a linkekben és e-mail címekben, illetve meg kell tanulniuk, hogy soha ne klikkeljenek rá gyanús linkekre, soha ne nyissanak meg ismeretlen csatolmányokat.”

A Check Point Research arra is felhívta a figyelmet, hogy a „Web Server Exposed Git Repository Information Disclosure” a leggyakrabban kihasznált sérülékenység, világszerte a szervezetek 45%-ánál jelent meg. Ezt követi a „HTTP Headers Remote Code Execution”, mely a szervezetek 44%-ánál bukkant fel. Harmadik helyen áll az „MVPower DVR Remote Code Execution”, globális hatása 42%.

2021. július top három kártékony programcsaládja:

* A nyilak a helyezés előző hónaphoz képesti változását jelzik.

A hónap során a Trickbot tartotta első helyét, világszerte a szervezetek 4%-ánál volt jelen, ezt követi a Snake Keylogger és az XMRig, mindkettő a szervezetek 3%-ánál jelent meg.

1.↔ Trickbot – Folyamatosan frissített, moduláris botnet és banki trójai. Emiatt rugalmas és testre szabható kártékony program, melyet többcélú kampányok részeként tudnak terjeszteni.

2.↑ Snake Keylogger – 2020 novemberében beazonosított moduláris .NET billentyĹązetfigyelő és identitástolvaj; elsődleges funkciója a felhasználók billentyĹąleütéseinek a naplózása és az így begyĹąjtött adatok továbbítása a fenyegetéseket indítók felé.

3.↓ XMRig – A még 2017 májusában megjelent XMRig egy nyílt kódú CPU bányász software, melyet a Monero crypto-valuta bányászatára használnak.

2021. július top három sérülékenysége:

Ebben a hónapban a „Web Server Exposed Git Repository Information Disclosure” volt a leggyakrabban kihasznált sérülékenység, mely világszerte a vállalatok 45%-ánál jelent meg. Ezt követi az „HTTP Headers Remote Code Execution”, mely a szervezetek 44%-ánál bukkant fel. Harmadik helyen áll a „MVPower DVR Remote Code Execution”, globális hatása 42%.

1.↑ Web Server Exposed Git Repository Information Disclosure – A Git Repository-ban jelentett adatszivárgásos sérülékenység, melyen keresztül a felhasználói fiókkal kapcsolatos információk kerülhetnek ki.

2.↓ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – A HTTP fejléceken keresztül a kliens és a szerver HTTP kéréssel kiegészítő információkat továbbít. A távoli támadó kihasználhatja a sérülékeny HTTP fejlécet és önkényes kódot futtathat az áldozat gépén.

3.↓ MVPower DVR Remote Code Execution – Távoli kódfuttatást lehetővé tévő sérülékenység az MVPower DVR eszközükön. A támadó ezen sérülékenység kihasználásával tetszőleges kódot tud futtatni a megtámadott routeren egy ravasz megkeresésen keresztül.

2021. július top három rosszindulatú mobil családja:

Ebben a hónapban az xHelper a legelterjedtebb program, őt követte az AlienBot és a Hiddad. 

1. xHelper. A 2019 márciusában felbukkant alkalmazást más kártevő alkalmazások letöltésére és hirdetések megjelenítésére használják. Képes elrejtőzni a felhasználó elől és újratelepíteni önmagát még akkor is, ha törlik.

2. AlienBot. Az AlienBot kártékony programcsalád egy Android eszközökre fejlesztett MaaS (Malware-as-a-Service), mely lehetővé teszi a támadó számára, hogy első lépésként kártékony kódot juttasson be a legitim pénzügyi alkalmazásokba. A támadó hozzáférést szerez az áldozat felhasználói fiókjaihoz, végül pedig teljesen átveszi az irányítást az eszköz fölött.

3. Hiddad. Az Android alapú kártevő program újra csomagolja a legitim alkalmazásokat, majd egy harmadik fél áruházában helyezi el. Fő funkciója a hirdetések megjelenítése, de képes hozzáférést szerezni az operációs rendszer kulcsfontosságú biztonsági részleteihez is.

A Check Point Global Threat Impact Index és a ThreatCloud Map alapja a Check Point ThreatCloudTM intelligence, a legnagyobb, a cyber bĹąnözéssel szemben harcoló, kollaboráción alapuló hálózat, mely fenyegetésekkel kapcsolatos adatokat és támadási trendekkel kapcsolatos információkat szolgáltat a szenzorok globális hálózata számára. A ThreatCloud adatbázis naponta több mint 3 milliárd weboldalt és 600 millió file-t ellenőriz; 250 milliónál is több kártékony tevékenységet azonosít be minden egyes nap.

A kártékony programcsaládok teljes 2021. júliusi Top 10 listája megtalálható a Check Point Blogon.