Το πιο διαδεδομένο κακόβουλο λογισμικό για τον Απρίλιο: Οι κυβερνοεγκληματίες επιστρέφουν στο Trickbot

Τεχνολογικά Θέματα, Νέα και Ειδήσεις. Θέματα προς συζήτηση.

Συντονιστές: Super-Moderators, Reporters

Απάντηση
Άβαταρ μέλους
cordis
Administrator, [F|H]ounder, [C|S]EO
Δημοσιεύσεις: 27662
Εγγραφή: 09 Οκτ 1999 03:00
Τοποθεσία: Greece
Επικοινωνία:

Το πιο διαδεδομένο κακόβουλο λογισμικό για τον Απρίλιο: Οι κυβερνοεγκληματίες επιστρέφουν στο Trickbot

Δημοσίευση από cordis » 10 Ιουν 2019 13:05

Η Check Point Research, το τμήμα έρευνας της Check Point® Software Technologies Ltd., ενός κορυφαίου παρόχου λύσεων κυβερνοασφάλειας παγκοσμίως, δημοσίευσετον πιο πρόσφατο Παγκόσμιο Κατάλογο Απειλών για τον Απρίλιο του 2019.Όπως αποκαλύπτεται, το τραπεζικό trojan Trickbot επέστρεψε στην πρώτηδεκάδα της λίστας, για πρώτη φορά μετά από σχεδόν δύο χρόνια.

Τα banking trojans πολλαπλών χρήσεων, όπως το Trickbot, αποτελούνδημοφιλείς επιλογές για τους κυβερνοεγκληματίες που επιδιώκουν τοοικονομικό κέρδος. Οι καμπάνιες που κάνουν χρήση του Trickbot αυξήθηκαναπότομα τον Απρίλιο, με αρκετές από αυτές να υλοποιούνται κατά την περίοδοπου ολοκληρωνόταν η υποβολή των ατομικών δηλώσεων φόρου εισοδήματος στιςΗ.Π.Α. Μέσω των εκστρατειών spam που πραγματοποιήθηκαν, διαμοιράστηκαναρχεία Excel τα οποία «κατέβαζαν» το Trickbot στους υπολογιστές τωνθυμάτων. Το Trojan στη συνέχεια εξαπλωνόταν σε διάφορα δίκτυα, συνέλεγεστοιχεία τραπέζης και, ενδεχομένως, αποσπούσε φορολογικά έγγραφα γιαπαράνομη χρήση.

Ενώ τα τρία πιο συνηθισμένα κακόβουλα λογισμικά τον Απρίλιο ήτανcryptominers, τα υπόλοιπα επτά, από τα δέκα πρώτα, ήταν trojans πολλαπλώνχρήσεων. Αυτό το γεγονός αναδεικνύει τις αλλαγές στις πρακτικές πουαξιοποιούν οι εγκληματίες για να μεγιστοποιήσουν τα οικονομικά τους οφέληαπό τις εκστρατείες, μετά και από το κλείσιμο αρκετών δημοφιλών υπηρεσιώνcryptomining αλλά και την πτώση της αξίας διαφόρων κρυπτονομισμάτων τατελευταία χρόνια.

Η Maya Horowitz, Διευθύντρια Πληροφοριών και Έρευνας Απειλών της CheckPoint, σχολίασε: «Αυτό το μήνα, τόσο το Trickbot όσο και το Emotet βρέθηκανστη λίστα με τα δέκα πιο διαδεδομένα κακόβουλα λογισμικά. Αυτό είναιιδιαίτερα ανησυχητικό, δεδομένου ότι τα συγκεκριμένα δύο botnetsχρησιμοποιούνται σήμερα όχι μόνο για να υποκλέψουν τα προσωπικά δεδομέναχρηστών, αλλά και για να διαδώσουν το ransomware Ryuk. Το διαβόητο Ryukστοχεύει assets όπως βάσεις δεδομένων και backup servers, απαιτώντας λύτραύψους άνω του ενός εκατομμυρίου δολαρίων. Καθώς αυτά τα κακόβουλαπρογράμματα μεταβάλλονται συνεχώς, είναι ζωτικής σημασίας ζήτημα ναδιαθέτουμε μια ισχυρή γραμμή άμυνας με προηγμένα χαρακτηριστικά πρόληψηςαπειλών».

Οι 3 πιο διαδεδομένες απειλές κακόβουλου λογισμικού τον Απρίλιο 2019:

*Τα βέλη υποδεικνύουν τη μεταβολή στην κατάταξη σε σχέση με τονπροηγούμενο μήνα.

1. Cryptoloot - Λογισμικό παραγωγήςκρυπτονομισμάτων που χρησιμοποιεί την ισχύ της κεντρικής μονάδαςεπεξεργασίας (CPU) η του επεξεργαστή γραφικών (GPU) και τους υπάρχοντεςπόρους του θύματος για cryptomining - προσθέτοντας συναλλαγές στοblockchain και παράγοντας νέα νομίσματα. Ανταγωνίζεται το Coinhive,προσπαθώντας να το εκτοπίσει ζητώντας μικρότερο ποσοστό των εσόδων από τουςιστότοπους.

XMRig - Το XMRig είναι ένα λογισμικό CPU mining ανοικτού πηγαίου κώδικα για τηδιαδικασία παραγωγής του κρυπτονομίσματος Monero που παρατηρήθηκε σεκυκλοφορία για πρώτη φορά τον Μάιο του 2017.

3. ↑ JSEcoin - Λογισμικό εξόρυξης JavaScript που μπορεί ναενσωματώνεται σε ιστότοπους. Με το JSEcoin, μπορείτε να εκτελείτε τολογισμικό εξόρυξης απευθείας στο πρόγραμμα περιήγησης με αντάλλαγμα μιαεμπειρία περιήγησης χωρίς διαφημίσεις, νομίσματα παιχνιδιών και άλλακίνητρα.

Τον Απρίλιο το Triada αποτέλεσε το πιο διαδεδομένο κακόβουλο λογισμικό γιακινητά, αντικαθιστώντας το Hiddad στην πρώτη θέση της λίστας με τα κορυφαίακακόβουλα προγράμματα για κινητά. Το Lotoor παρέμεινε στη δεύτερη θέση μετο Hiddad να «πέφτει» στην τρίτη.

Οι 3 πιο διαδεδομένες απειλές κακόβουλου λογισμικού για κινητέςσυσκευές τον Απρίλιο:

1. Triada - Μodular backdoor για Android που εκχωρείδικαιώματα super user σε κακόβουλο λογισμικό που έχει ληφθεί, βοηθώντας τονα ενσωματωθεί σε διαδικασίες του συστήματος. Το Triada έχει παρατηρηθείεπίσης ότι παραποιεί διευθύνσεις URL που φορτώνονται στο πρόγραμμαπεριήγησης.

2. Lotoor- Εργαλείο κυβερνοπειρατείας (χάκινγκ) πουεκμεταλλεύεται ευπάθειες στο λειτουργικό σύστημα Android για την απόκτησηδικαιωμάτων πλήρους πρόσβασης (root) σε παραβιασμένες κινητές συσκευές.

3. Hiddad - Κακόβουλο λογισμικό Android που ανασυσκευάζεινόμιμες εφαρμογές και εν συνεχεία τις καθιστά διαθέσιμες σε third-partyκατάστημα. Η κύρια λειτουργία του είναι η εμφάνιση διαφημίσεων, ωστόσο,είναι επίσης ικανό να αποκτήσει πρόσβαση σε σημαντικά στοιχεία ασφάλειαςπου ενσωματώνονται στο λειτουργικό σύστημα, επιτρέποντας σε κάποιονεισβολέα να αποκτήσει ευαίσθητα δεδομένα του χρήστη.

Οι ερευνητές της Check Point ανέλυσαν επίσης τις κυβερνο-ευπάθειες πουγίνονται συχνότερα αντικείμενο εκμετάλλευσης. Το OpenSSL TLS DTLS HeartbeatInformation Disclosure βρίσκεται στην κορυφή, επηρεάζοντας το 44% τωνοργανισμών παγκοσμίως. Για πρώτη φορά μετά από 12 μήνες η ευπάθειαCVE-2017-7269 βρέθηκε στη δεύτερη θέση, επηρεάζοντας το 40% των οργανισμώνπαγκοσμίως ενώ την τρίτη θέση καταλαμβάνει η ευπάθεια CVE-2017-5638επηρεάζοντας το 38% των οργανισμών σε όλο τον κόσμο.

Οι 3 ευπάθειες «που γίνονται συχνότερα αντικείμενο εκμετάλλευσης» γιατον Απρίλιο:

[*]↑ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160;CVE-2014-0346)- Μια ευπάθεια αποκάλυψης πληροφοριών που υπάρχει στο OpenSSL. Ηευπάθεια οφείλεται σε ένα σφάλμα κατά το χειρισμό πακέτων heartbeatTLS/DTLS. Ένας εισβολέας μπορεί να εκμεταλλευθεί αυτή την ευπάθεια γιανα αποκαλύψει περιεχόμενα της μνήμης ενός συνδεδεμένουσυστήματος-πελάτη ή διακομιστή.[*]↓ Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow(CVE-2017-7269)- Μέσω της αποστολής ενός κατασκευασμένου αιτήματος διαμέσου ενόςδικτύου στο Microsoft Windows Server 2003 R2 μέσω του MicrosoftInternet Information Services 6.0, ένας απομακρυσμένος εισβολέας θαμπορούσε να εκτελέσει τρίτο κώδικα ή να προκαλέσει συνθήκες άρνησηςυπηρεσιών στον διακομιστή στόχο. Αυτό οφείλεται κυρίως σε μια ευπάθειαυπερχείλισης ενδιάμεσης μνήμης, η οποία προκαλείται από την εσφαλμένηεπικύρωση μιας μεγάλης κεφαλίδας σε αίτημα HTTP.

3. Apache Struts2 Content-Type Remote Code Execution (CVE-2017-5638) - Yπάρχει μια ευπάθειααπομακρυσμένης εκτέλεσης κώδικα στο Apache Struts2 που κάνει χρήση τουπρογραμματιστή πολλαπλών κόμβων Jakarta. Ένας επιτιθέμενος θα μπορούσε ναεκμεταλλευτεί αυτή την ευπάθεια στέλνοντας ένα μη έγκυρο τύπο περιεχομένουως μέρος ενός request για file upload. Η επιτυχής εκμετάλλευση τηςευπάθειας θα μπορούσε να οδηγήσει στην εκτέλεση αυθαίρετου κώδικα στοεπηρεαζόμενο σύστημα.

* Η πλήρης λίστα με τις 10 πιο διαδεδομένες απειλές κακόβουλουλογισμικού στην Ελλάδα για τον Απρίλιο είναι:

Cryptoloot - Λογισμικό παραγωγής κρυπτονομισμάτων που χρησιμοποιεί την ισχύ τηςκεντρικής μονάδας επεξεργασίας (CPU) η του επεξεργαστή γραφικών (GPU) καιτους υπάρχοντες πόρους του θύματος για την παραγωγή κρυπτονομισμάτων -προσθέτοντας συναλλαγές στο blockchain και παράγοντας νέα νομίσματα.Ανταγωνίζεται το Coinhive.

Pony- Το Pony είναι ένα κακόβουλο Info Stealer, το οποίο σχεδιάστηκε κυρίως γιανα αποσπά στοιχεία χρηστών από μολυσμένες πλατφόρμες που λειτουργούν μεWindows και είναι επίσης γνωστό ως Pony Stealer, Pony Loader, FareIT καιπολλά άλλα. Το Pony δημιουργήθηκε το 2011 και μέχρι το 2013 ο πηγαίοςκώδικάς του κυκλοφόρησε δημοσίως, επιτρέποντας έτσι την εξέλιξη τωνdecentralized εκδόσεων. Εκτός από τη λειτουργία του Stealer, οι λειτουργίεςτου Pony επιτρέπουν στους επιτιθέμενους να παρακολουθούν τις δραστηριότητεςτου συστήματος και του δικτύου του χρήστη, να «κατεβάζουν» και ναεγκαθιστούν επιπλέον κακόβουλο λογισμικό, ακόμη και να μολύνουν επιπλέονυπολογιστές δημιουργώντας ένα δίκτυο από bots. Λόγω της φύσης του, το Ponyέχει αξιοποιηθεί από πολλούς φορείς επιθέσεων.

Lokibot - Το Lokibot είναι λογισμικό υποκλοπής πληροφοριών που διαδίδεται κυρίως μέσωemail ηλεκτρονικού ψαρέματος (phishing) και χρησιμοποιείται για τηνυποκλοπή δεδομένων όπως διαπιστευτηρίων ηλεκτρονικού ταχυδρομείου, καθώςκαι κωδικών πρόσβασης σε ηλεκτρονικά πορτοφόλια κρυπτονομισμάτων καιδιακομιστές FTP.

Hawkeye- Το Hawkeye είναι ένα κακόβουλο Info Stealer, το οποίο σχεδιάστηκε κυρίωςγια να αποσπά στοιχεία χρηστών από μολυσμένες πλατφόρμες που λειτουργούν μεWindows. Μέσα στους τελευταίους μήνες, το Hawkeye έχει βελτιωθείσυμπεριλαμβάνοντας πλέον, εκτός από την κλοπή κωδικών email και webbrowser, δυνατότητες keylogging. Συχνά πωλείται στην αγορά ως MaaS (Malwareas a Service) μέσω διαφόρων infection chain τεχνικών.

AgentTesla -Το AgentTesla είναι ένα εξελιγμένο RAT που λειτουργεί ως keylogger και ωςλογισμικό κλοπής κωδικών πρόσβασης μολύνοντας υπολογιστές από το 2014. ΤοAgentTesla έχει τη δυνατότητα να παρακολουθεί και να συλλέγει τιςκαταχωρήσεις του πληκτρολογίου του θύματος και το system clipboard, ναλαμβάνει στιγμιότυπα οθόνης και να απομακρύνει τα credentials από λογισμικόεγκατεστημένο στο μηχάνημα του θύματος (συμπεριλαμβανομένου του GoogleChrome, του Mozilla Firefox και του email client του Microsoft Outlook). ΤοAgentTesla πωλείται ως νόμιμο RAT με τους ενδιαφερόμενους να πληρώνουν 15 -69 δολάρια για μια άδεια χρήστη.

JSEcoin - Λογισμικό παραγωγής JavaScript που μπορεί να ενσωματώνεται σε ιστότοπους.Με το JSEcoin, μπορείτε να εκτελείτε το λογισμικό παραγωγής απευθείας στοπρόγραμμα περιήγησης με αντάλλαγμα μια εμπειρία περιήγησης χωρίςδιαφημίσεις, νομίσματα παιχνιδιών και άλλα κίνητρα.

Emotet - Εξελιγμένο modular Trojan που αυτοαναπαράγεται. Το Emotet κάποτελειτουργούσε ως δούρειος ίππος υποκλοπής στοιχείων τραπεζικών λογαριασμώνκαι πρόσφατα χρησιμοποιείται για να διανέμεται άλλο κακόβουλο λογισμικό ήσε εκστρατείες διάδοσης malware. Χρησιμοποιεί πολλές μεθόδους και τεχνικέςαποφυγής για να παραμένει στο σύστημα και να αποφεύγει την ανίχνευση.Επιπλέον, μπορεί να διαδίδεται μέσω ανεπιθύμητων email ηλεκτρονικούψαρέματος (phishing) που περιέχουν συνημμένα ή συνδέσμους με κακόβουλοπεριεχόμενο.

Dorkbot - Worm που βασίζεται στο IRC, σχεδιασμένο για να επιτρέπει την απομακρυσμένηεκτέλεση κώδικα από το χειριστή του, καθώς και τη λήψη πρόσθετου κακόβουλουλογισμικού στο μολυσμένο σύστημα, με βασικό σκοπό την υποκλοπή ευαίσθητωνπληροφοριών και την πραγματοποίηση επιθέσεων άρνησης υπηρεσιών.

Sload

XMRig - Το XMRig είναι ένα λογισμικό CPU mining ανοικτού πηγαίου κώδικα το οποίοχρησιμοποιείται για τη διαδικασία παραγωγής του κρυπτονομίσματος Monero καιπαρατηρήθηκε σε κυκλοφορία για πρώτη φορά τον Μάιο του 2017.
Συνημμένα
check-point-logo.PNG
Δεν απαντάω σε προσωπικά μηνύματα με ερωτήσεις που καλύπτονται από τις ενότητες του forum. Για ο,τι άλλο είμαι εδώ για εσάς.
- follow me @twitter

Απάντηση

Επιστροφή στο “Τεχνολογικά Θέματα, Νέα και Ειδήσεις”

Μέλη σε σύνδεση

Μέλη σε αυτήν τη Δ. Συζήτηση: Δεν υπάρχουν εγγεγραμμένα μέλη και 6 επισκέπτες