2022. augusztus legveszélyesebb kártékony programjai

Check Point Software Technologies Ltd., a világszerte vezető szerepet betöltő cyber-biztonsági megoldásokat szállító vállalat kutatórészlege, a Check Point Research (CPR) kiadta legújabb, 2022 augusztusára vonatkozó Global Threat Index elemzését. A jelentés szerint jelenleg a FormBook a leggyakrabban előforduló kártékony program, ezzel átvette a vezetést a január óta élen lévő Emotettől.

A FormBook egy Windows OS-t megcélzó információtolvaj, mely – ha sikerül telepíteni – személyi adatokat képes eltulajdonítani, képernyőképeket gyűjt be, figyeli és naplózza a billentyűzetet, valamint C&C, azaz „parancs és ellenőrzés” utasításokat követve file-okat tölt le és hajt végre. 2016-os felbukkanása óta folyamatosan felhívja magára a figyelmet, az underground hacking fórumokon szolgáltatásalapú támadási eszközkészletként (MaaS) van jelen, kivételes behatolási technikáiról és viszonylag alacsony áráról ismert.

 

Augusztusban ugyancsak hirtelen megnövekedett a GuLoader aktivitása, aminek eredményeként ez lett a negyedik legelterjedtebb kártékony program. A GuLoadert eredetileg a Parallax RAT letöltésére használták, de azóta más távoli hozzáférés trójai programokra és információ-tolvajokra, mint a Netwire, a FormBook és az Agent Tesla is alkalmazták. Általában kiterjedt email alapú adathalász kampányokkal terjesztik, melyek az áldozat rendszerébe bejutva kártékony file-okat töltenek le és nyitnak meg, ezzel utat törve a kártékony program működésének.

 

Mindezek mellett a Check Point Research arról is beszámol, hogy a Joker nevű Android spyware visszatért és egyből a harmadik helyre került a mobileszközöket támadó kártékony programok havi top listáján. Instalálást követően SMS üzeneteket, kontaktlistákat és az eszközzel kapcsolatos információkat képes eltulajdonítani, illetve prémium szolgáltatásokra fizeti elő az áldozatát annak beleegyezése nélkül. Előretörése részben magyarázható a Google Play Store alkalmazások körében aktív kampányok felfutásával.

 

„A havi jelentésben foglalt elmozdulások, kezdve az Emotet ötödik helyre való visszaesésével, folytatva a Joker harmadik helyre kerülésével, jól mutatják, milyen gyorsan tud változni a biztonsági fenyegetések világa”, – mondta Maya Horowitz, a Check Point Software kutatási elnök-helyettese. „Ez a magánszemélyek és a vállalatok számára egyaránt figyelmeztetés annak fontosságára, hogy milyen lényeges képben lenni a legújabb fenyegetésekkel kapcsolatban, mivel önmagunk védelme alapvető fontossággal bír. A fenyegetéseket indítók folyamatosan fejlődnek; a FormBook előtérbe kerülése jól mutatja, hogy soha nem lehetünk nyugodtak, egységes, megelőzésen alapuló megközelítésre van szükség a hálózatok, a végpontok és a felhő egészében.”

 

A CPR arra is felhívta a figyelmet, hogy ebben a hónapban az Oktatás/kutatás volt világszerte a cyberbűnözők által leginkább célba vett iparág, azt követte a Kormányzat/hadsereg és az Egészségügy. Az „Apache Log4j Remote Code Execution” visszatért az első helyre a leggyakrabban kihasznált sérülékenység listáján (a szervezetek 44%-ánál bukkant fel), átvéve a helyet a „Web Server Exposed Git Repository Information Disclosure”-től, mely a szervezetek 42%-ánál jelent meg. 

 

 

2022. augusztus top három kártékony programcsaládja:

*A nyilak a helyezés előző hónaphoz képest történt változását jelzik.

A hónap során a FormBook volt a legelterjedtebb kártékony program, világszerte a szervezetek 5%-ánál volt jelen, ezt követte az AgentTesla, mely 4%-nál jelent meg és az XMRig, melynek a globális jelenléte 2% volt.

1.↑ FormBook – 2016-ban beazonosított, Windows OS-t támadó információ tolvaj. Az underground hacker fórumokon szolgáltatásalapú támadási eszközkészletként (MaaS) kínálják, mely kivételes behatolási technikákkal bír és viszonylag alacsony az ára. A különböző böngészőkből gyűjt be hitelesítő adatokat, képernyőképeket, monitor és billentyűzet-leütés adatokat, és C&C utasításai alapján képes letölteni és végrehajtani utasításokat.

2.↑ Agent Tesla – Továbbfejlesztett RAT (távoli hozzáférés trójai), mely billentyűzet-leütés adatokat és információkat lop el. Figyeli és összegyűjti az az áldozat billentyűzetére és a rendszer vágólapjára érkező inputot, rögzíti a képernyőképeket és kivonja a különböző, az áldozat gépére telepített software-ekbe (például Google Chrome, Mozilla Firefox és a Microsoft Outlook email kliens) érkező személyi adatokat.

3.↔ XMRig – A még 2017 májusában megjelent XMRig egy nyílt kódú CPU bányász software, melyet a Monero crypto-valuta bányászatára használnak. A fenyegetéseket indítók ezen nyílt forráskódú software-t integrálják a kártékony programjukba, majd így indítanak illegális bányászatot az áldozat eszközein. 

 

A világszerte legtöbb támadást elszenvedő iparágak:

1. Oktatás/kutatás

2. Kormányzat/hadsereg

3. Egészségügy

 

2022. augusztus top három sérülékenysége:

Ebben a hónapban az „Apache Log4j Remote Code Execution” volt a leggyakrabban kihasznált sérülékenység, világszerte a vállalatok 44%-ánál jelent meg, átvéve a helyet a „ Web Server Exposed Git Repository Information Disclosure”-től, mely így a második helyre esett vissza és a szervezetek 42%-ánál bukkant fel. Harmadik helyen maradt a „Web Servers Malicious URL Directory Traversal”, globális hatása 39%.

1.↑ Apache Log4j Remote Code Execution – Az Apache Log4j-ben található sérülékenység, mely távoli kódok végrehajtását teszi lehetővé. A rés sikeres kihasználásával a távoli támadó tetszőleges kódot futtathat az érintett rendszeren.

2.↓ Web Server Exposed Git Repository Information Disclosure – A Git Repository-ban jelentett adatszivárgásos sérülékenység, melyen keresztül a felhasználói fiókkal kapcsolatos információk kerülhetnek ki.

3.↔ Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) – Különböző web-szervereken tapasztalt útvonal-bejárási sebezhetőség, aminek oka egy input validációs hiba egy olyan web-szerveren, mely nem megfelelően tisztítja az URL-t az útvonal-bejárási mintázatokhoz. Sikeres visszaélés esetén a jogosulatlan távoli támadók tetszőleges file-okat tehetnek közzé vagy érhetnek el a sebezhető kiszolgálón.

 

2022. augusztus top három, mobil eszközöket támadó kártékony programcsaládja:

Ebben a hónapban az AlienBot a legelterjedtebb program, őt követte az Anubis és a Joker.

1. AlienBot – Az AlienBot kártékony programcsalád egy Android eszközökre fejlesztett MaaS (Malware-as-a-Service), mely lehetővé teszi a támadó számára, hogy első lépésként kártékony kódot juttasson be a legitim pénzügyi alkalmazásokba. A támadó hozzáférést szerez az áldozat felhasználói fiókjaihoz, végül pedig teljesen átveszi az irányítást az eszköz fölött.

2. Anubis – Android mobiltelefonokra tervezett banki trójai program. Felbukkanása óta újabb funkciókkal bővült, köztük távoli hozzáférés trójai (RAT), billentyűzet naplózó (keylogger), hangrögzítés, illetve különböző zsarolóprogram jellemzők. Több száz különböző, a Google Store-ban elérhető alkalmazásban fedezték fel.

3. Joker – Android Spyware, mely a Google Play-ben működik. SMS üzenetek, kontaktlisták és eszközinformációk eltulajdonítására tervezték. Mindezek mellett, prémium szolgáltatásokra tudja előfizetni áldozatát annak beleegyezése nélkül. 

 

A Check Point Global Threat Impact Index és a ThreatCloud Map alapja a Check Point ThreatCloud intelligence, mely a szenzorok százmillióinak, hálózatokban, végpontokon és mobilokon található globális hálózatából nyert adatok alapján valós idejű, fenyegetésekkel kapcsolatos információkat szolgáltat. Mindezt AI-alapú motorokkal és a Check Point Software Technologies kutatórészlege, a Check Point Research exkluzív kutatási adataival bővítik ki. 

 

A kártékony programcsaládok teljes augusztusi toplistája megtalálható a Check Point blogon.

 
 
 

Kapcsolódó cikkek

 

Belépés

 

 

Regisztráció