36.3 C
Athens
Σάββατο, 18 Σεπτεμβρίου, 2021

Formbook: Το πιο διαδεδομένο κακόβουλο λογισμικό τον Αύγουστο

Νέες μεθόδους και νέο κακόβουλο λογισμικό ενεργοποιούν οι χάκερς για τις επιθέσεις τους, προκαλώντας ανακατατάξεις στη λίστα των πιο διαδεομένων κακόβουλων προγραμμάτων που χρησικοποιήθηκαν τον Αύγουστο για να πλήξουν στόχους.

Σύμφωνα με τον Παγκόσμιο Δείκτη Απειλών για τον Αύγουστο του 2021 της Check Point Research, το τμήμα έρευνας της Check Point Software Technologies, το Formbook είναι πλέον το πιο διαδεδομένο κακόβουλο λογισμικό, ξεπερνώντας το Trickbot, το οποίο έπεσε στη δεύτερη θέση μετά από την τρίμηνη κυριαρχία.

Το τραπεζικό trojan, Qbot, οι διαχειριστές του οποίου είναι γνωστό ότι κάνουν διαλείμματα κατά τη διάρκεια του καλοκαιριού, έπεσε εντελώς από την πρώτη 10άδα μετά από μακρά παραμονή στη λίστα, ενώ το Remcos, ένα trojan απομακρυσμένης πρόσβασης (RAT), εισήλθε στο δείκτη για πρώτη φορά το 2021, καταλαμβάνοντας την έκτη θέση.

Πρωτοεμφανίστηκε το 2016

Το Formbook, που πρωτοεμφανίστηκε το 2016, είναι ένας infostealer που συλλέγει διαπιστευτήρια από διάφορους περιηγητές ιστού (web browsers), συλλέγει screenshots, παρακολουθεί και καταγράφει τις πληκτρολογήσεις και μπορεί να κατεβάζει και να εκτελεί αρχεία σύμφωνα με τις οδηγίες εντολών και ελέγχου (C&C). Πρόσφατα, το Formbook διανεμήθηκε μέσω εκστρατειών με θέμα το COVID-19 και ηλεκτρονικών μηνυμάτων ηλεκτρονικού “ψαρέματος” (phishing emails), ενώ τον Ιούλιο του 2021, το CPR ανέφερε ότι ένα νέο στέλεχος κακόβουλου λογισμικού που προέρχεται από το Formbook, το οποίο ονομάζεται XLoader, στοχεύει πλέον χρήστες macOS.

«Ο κώδικας του Formbook είναι γραμμένος σε C με ένθετα assembly και περιέχει μια σειρά από τεχνάσματα που τον καθιστούν πιο παραπλανητικό και πιο δύσκολο για τους ερευνητές να τον αναλύσουν», δήλωσε η Maya Horowitz, Αντιπρόεδρος έρευνας της Check Point Software. «Συνήθως διανέμεται μέσω phishing emails και συνημμένων αρχείων, ο καλύτερος τρόπος για να αποτρέψετε μια μόλυνση από το Formbook είναι να προσέχετε τυχόν emails που φαίνονται περίεργα ή προέρχονται από άγνωστους αποστολείς. Όπως πάντα, αν δεν φαίνεται εντάξει, πιθανότατα δεν είναι».

Η πιο συχνά εκμεταλλευόμενη ευπάθεια

Η CPR αποκάλυψε επίσης αυτό το μήνα ότι η “Web Server Exposed Git Repository Information Disclosure” είναι η πιο συχνά εκμεταλλευόμενη ευπάθεια, επηρεάζοντας το 45% των οργανισμών παγκοσμίως, ακολουθούμενη από την “HTTP Headers Remote Code Execution” που επηρεάζει το 43% των οργανισμών παγκοσμίως. Η Dasan GPON Router Authentication Bypass” καταλαμβάνει την τρίτη θέση στη λίστα με τις πιο συχνά εκμεταλλευόμενες ευπάθειες, με παγκόσμιο αντίκτυπο 40%.

Οι 3 πιο διαδεδομένες απειλές κακόβουλου λογισμικού   

*Τα βέλη αφορούν τη μεταβολή της κατάταξης σε σχέση με τον προηγούμενο μήνα.

Αυτόν τον μήνα, το Formbook είναι το πιο δημοφιλές κακόβουλο λογισμικό που επηρεάζει το 4,5% των οργανισμών παγκοσμίως, και ακολουθούν το Trickbot και το Agent Tesla, που επηρεάζουν το 4% και το 3% των οργανισμών παγκοσμίως αντίστοιχα.

  1. Formbook – Το Formbook είναι ένα infostealer που συλλέγει διαπιστευτήρια από διάφορα προγράμματα περιήγησης στο διαδίκτυο, συλλέγει screenshots, παρακολουθεί και καταγράφει τις πληκτρολογήσεις και μπορεί να κατεβάζει και να εκτελεί αρχεία σύμφωνα με τις εντολές C&C.
  2. Trickbot – To Trickbot είναι ένα κυρίαρχο τραπεζικό trojan που ενημερώνεται συνεχώς με νέες δυνατότητες, χαρακτηριστικά και κατανομή των μολύνσεων. Αυτό επιτρέπει στο Trickbot να είναι ένα ευέλικτο και προσαρμόσιμο malware λογισμικό που μπορεί να διανεμηθεί ως μέρος εκστρατειών πολλών χρήσεων.
  3. Agent TeslaΤο Agent Tesla είναι ένα προηγμένο RAT που λειτουργεί ως keylogger και infostealer, το οποίο είναι ικανό να παρακολουθεί και να συλλέγει την πληκτρολόγηση του θύματος και το πληκτρολόγιο του συστήματος, να λαμβάνει screenshots και να αποσπά διαπιστευτήρια από διάφορα λογισμικά που είναι εγκατεστημένα στον υπολογιστή του θύματος (συμπεριλαμβανομένων των Google Chrome, Mozilla Firefox και Microsoft Outlook email client).

Κυριότερες αξιοποιηθείσες ευπάθειες

Αυτόν τον μήνα η “Web Server Exposed Git Repository Information Disclosure” είναι η πιο συχνά εκμεταλλεύσιμη ευπάθεια, επηρεάζοντας το 45% των οργανισμών παγκοσμίως, ακολουθούμενη από την “HTTP Headers Remote Code Execution” που επηρεάζει το 43% των οργανισμών παγκοσμίως. Η “DDasan GPON Router Authentication Bypass” καταλαμβάνει την τρίτη θέση στη λίστα με τις ευπάθειες με τις περισσότερες εκμεταλλεύσεις, με παγκόσμιο αντίκτυπο 40%.

  1. Web Server Exposed Git Repository Information Disclosure – Έχει αναφερθεί μια ευπάθεια αποκάλυψης πληροφοριών στο Git Repository. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας θα μπορούσε να επιτρέψει την ακούσια αποκάλυψη πληροφοριών λογαριασμού.
  2. HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Συγκεκριμένα πεδία στους HTTP headers επιτρέπουν στον πελάτη και τον διακομιστή να μεταβιβάσουν πρόσθετες πληροφορίες. Ένας απομακρυσμένος εισβολέας μπορεί να χρησιμοποιήσει ένα ευάλωτο πεδίο του HTTP για να εκτελέσει αυθαίρετο κώδικα στη μηχανή του θύματος.
  3. Dasan GPON Router Authentication Bypass (CVE-2018-10561) Υπάρχει ευπάθεια που παρακάμπτει τον έλεγχο ταυτότητας στους δρομολογητές Dasan GPON. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας θα επέτρεπε σε απομακρυσμένους επιτιθέμενους να αποκτήσουν ευαίσθητες πληροφορίες και να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στο επηρεαζόμενο σύστημα.

Τop κακόβουλα προγράμματα για κινητά

Αυτόν τον μήνα το xHelper καταλαμβάνει την πρώτη θέση στα πιο διαδεδομένα κακόβουλα προγράμματα για κινητά, ακολουθούμενο από τα AlienBot και FluBot.

  1. xHelper – Το xHelper είναι μια κακόβουλη εφαρμογή που βρίσκεται στο προσκήνιο από τον Μάρτιο του 2019 και χρησιμοποιείται για τη λήψη άλλων κακόβουλων εφαρμογών και την προβολή διαφημίσεων. Η εφαρμογή είναι ικανή να «κρύβεται» από τον χρήστη και να επανεγκατασταθεί αυτόματα σε περίπτωση που απεγκατασταθεί.
  2. AlienBot – AlienBot malware family is a Malware-as-a-Service (MaaS) for Android devices that allows a remote attacker, as a first step, to inject malicious code into legitimate financial applications. The attacker obtains access to victims’ accounts, and eventually completely controls their device.
  3. FluBot -Το FluBot είναι ένα κακόβουλο λογισμικό Android botnet που διανέμεται μέσω μηνυμάτων SMS phishing, τα οποία τις περισσότερες φορές παριστάνουν τις εταιρείες logistics delivery. Μόλις ο χρήστης κάνει κλικ στο σύνδεσμο μέσα στο μήνυμα, το FluBot εγκαθίσταται και αποκτά πρόσβαση σε όλες τις ευαίσθητες πληροφορίες του τηλεφώνου.
Τα top 10 ανα χώρα
MalwareΠαγκόσμιος αντίκτυποςΕλλάδα
Formbook4.45%11.01%
AgentTesla2.79%9.43%
Trickbot4.21%4.72%
Joker0.18%3.46%
Lokibot0.77%3.14%
Danabot0.43%2.83%
Remcos2.07%2.83%
Vidar0.98%2.52%
Glupteba2.18%2.20%
XMRig2.54%1.89%
xHelper1.00%1.89%
Nanocore1.03%1.89%
Scrinject0.61%1.89%
RigEK0.34%1.89%

 

Οι πιο διαδεδομένες απειλές κακόβουλου λογισμικού στην Ελλάδα για τον Αύγουστο είναι:

FormBook – Το FormBook είναι ένα InfoStealer που στοχεύει το λειτουργικό σύστημα των Windows και ανιχνεύθηκε για πρώτη φορά το 2016. Διαφημίζεται σε hacking forums ως ένα εργαλείο το οποίο διαθέτει ισχυρές τεχνικές αποφυγής και σχετικά χαμηλές τιμές. Το FormBook συλλέγει credentials από διάφορους web browsers και στιγμιότυπα οθόνης, παρακολουθεί και καταγράφει πληκτρολόγια και μπορεί να κατεβάσει και να εκτελέσει αρχεία σύμφωνα με τις οδηγίες C & C που του έχουν δοθεί.

AgentTesla -Το AgentTesla είναι ένα προηγμένο RAT (remote access Trojan) που λειτουργεί ως keylogger και υποκλέπτοντας κωδικούς πρόσβασης. Ενεργό από το 2014, το AgentTesla μπορεί να παρακολουθεί και να συλλέγει την πληκτρολόγηση και το clipboard του συστήματος του θύματος, ενώ μπορεί να καταγράφει στιγμιότυπα οθόνης και να αποσπά διαπιστευτήρια που εισάγονται για διάφορα λογισμικά που είναι εγκατεστημένα στο μηχάνημα του θύματος (συμπεριλαμβανομένων των Google Chrome, Mozilla Firefox και Microsoft Outlook email client). Το AgentTesla πωλείται ανοιχτά ως νόμιμο RAT με τους πελάτες να πληρώνουν $15 – $69 για άδειες χρήσης.

Κυρίαρχο τραπεζικό trojan που στοχεύει πλατφόρμες Windows

Trickbot – Το Trickbot κυρίαρχο τραπεζικό trojan που στοχεύει πλατφόρμες Windows και κυρίως μεταφέρεται μέσω spam ή από άλλες οικογένειες malware όπως το Emotet. Το Trickbot στέλνει πληροφορίες σχετικά με το μολυσμένο σύστημα και μπορεί επίσης να κατεβάσει και να εκτελέσει αυθαίρετα modules από μια μεγάλη γκάμα διαθέσιμων, όπως ένα VNC module για χρήση από απόσταση ή ένα SMB module για εξάπλωση εντός ενός επηρεασμένου δικτύου. Μόλις μολυνθεί ένα μηχάνημα, οι παράγοντες απειλής πίσω από το κακόβουλο λογισμικό Trickbot, χρησιμοποιούν αυτήν την ευρεία γκάμα modules όχι μόνο για να κλέψει τραπεζικά credentials από τον υπολογιστή-στόχο, αλλά και για πλευρική μετακίνηση και αναγνώριση στον ίδιο τον οργανισμό, πριν μια στοχευμένη επίθεση ransomware σε ολόκληρη την εταιρεία.

Jocker– Το Jocker είναι ένα κακόβουλο λογισμικό για Android, το οποίο διαδίδεται στο επίσημο Google Play Store με τη μεταμφίεση πολλών διαφορετικών ψευδών εφαρμογών. Το Joker προσπαθεί να εγγράψει τους χρήστες σε επί πληρωμή υπηρεσίες και μπορεί να δει τα μηνύματα κειμένου του θύματος, γεγονός που του δίνει τη δυνατότητα να εγγράψει το θύμα σε διάφορες ανεπιθύμητες υπηρεσίες χρησιμοποιώντας τον κωδικό επιβεβαίωσης που λαμβάνει μέσω SMS.

Το LokiBot εντοπίστηκε για πρώτη φορά τον Φεβρουάριο του 2016

Lokibot– Το LokiBot εντοπίστηκε για πρώτη φορά τον Φεβρουάριο του 2016 και είναι ένας infostealer με εκδόσεις τόσο για τα Windows όσο και για το Android OS. Συλλέγει διαπιστευτήρια από διάφορες εφαρμογές, προγράμματα περιήγησης στο διαδίκτυο, προγράμματα ηλεκτρονικού ταχυδρομείου, εργαλεία διαχείρισης IT όπως το PuTTY και άλλα. Το LokiBot πωλείται σε φόρουμ hacking και πιστεύεται ότι ο πηγαίος κώδικάς του διέρρευσε, επιτρέποντας έτσι την εμφάνιση πολυάριθμων παραλλαγών. Από τα τέλη του 2017, ορισμένες εκδόσεις του LokiBot για Android περιλαμβάνουν λειτουργικότητα ransomware εκτός από τις δυνατότητες κλοπής πληροφοριών.

Danabot – Το Danabot είναι ένα Trickler που στοχεύει στην πλατφόρμα των Windows. Το κακόβουλο λογισμικό στέλνει πληροφορίες στον διακομιστή ελέγχου του και κατεβάζει και αποκρυπτογραφεί ένα αρχείο για να εκτελεστεί στον μολυσμένο υπολογιστή. Σύμφωνα με πληροφορίες, η ληφθείσα εντολή μπορεί να κατεβάσει άλλα κακόβουλα αρχεία στο δίκτυο. Επιπλέον, το κακόβουλο λογισμικό δημιουργεί μια συντόμευση στο φάκελο εκκίνησης του χρήστη για να επιτύχει την παραμονή του στο μολυσμένο σύστημα.

Ο Remcos είναι ένας RAT που εμφανίστηκε για πρώτη φορά το 2016

Remcos – Ο Remcos είναι ένας RAT που εμφανίστηκε για πρώτη φορά το 2016. Το Remcos διανέμεται μέσω κακόβουλων εγγράφων του Microsoft Office τα οποία επισυνάπτονται σε μηνύματα ηλεκτρονικού ταχυδρομείου SPAM και έχει σχεδιαστεί για να παρακάμπτει την ασφάλεια UAC των Microsoft Windowss και να εκτελεί κακόβουλο λογισμικό με υψηλού επιπέδου προνόμια.

Vidar– Το Vidar είναι ένα infolstealer που στοχεύει λειτουργικά συστήματα Windows. Για πρώτη φορά εντοπίστηκε στα τέλη του 2018, έχει σχεδιαστεί για να κλέβει κωδικούς πρόσβασης, δεδομένα πιστωτικών καρτών και άλλες ευαίσθητες πληροφορίες από διάφορα προγράμματα περιήγησης ιστού και ψηφιακά πορτοφόλια. Το Vidar έχει πωληθεί σε διάφορα διαδικτυακά φόρουμ και έχει χρησιμοποιηθεί dropper κακόβουλου λογισμικού  που κατεβάζει το GandCrab ransomware ως δευτερεύον ωφέλιμο φορτίο του.

Glupteba – Γνωστό από το 2011, το Glupteba είναι ένα backdoor που σταδιακά εξελίχθηκε σε botnet. Μέχρι το 2019 περιλάμβανε έναν μηχανισμό ενημέρωσης διευθύνσεων C&C μέσω δημόσιων λιστών BitCoin, μια ενσωματωμένη δυνατότητα κλοπής στοιχείων του προγράμματος περιήγησης και ένα πρόγραμμα εκμετάλλευσης δρομολογητών.

Το XMRig είναι ένα λογισμικό CPU mining ανοικτού πηγαίου κώδικα

XMRig – Το XMRig είναι ένα λογισμικό CPU mining ανοικτού πηγαίου κώδικα για τη διαδικασία παραγωγής του κρυπτονομίσματος Monero που παρατηρήθηκε σε κυκλοφορία για πρώτη φορά τον Μάιο του 2017.

xHelper – Το xHelper είναι μια κακόβουλη εφαρμογή που βρίσκεται στο προσκήνιο από τον Μάρτιο του 2019 και χρησιμοποιείται για τη λήψη άλλων κακόβουλων εφαρμογών και την προβολή διαφημίσεων. Η εφαρμογή είναι ικανή να «κρύβεται» από τον χρήστη και να επανεγκατασταθεί αυτόματα σε περίπτωση που απεγκατασταθεί.

NanoCore – Το NanoCore είναι ένα Remote Access Trojan, το οποίο παρατηρήθηκε για πρώτη φορά το 2013 και στοχεύει χρήστες του λειτουργικού συστήματος Windows. Όλες οι εκδόσεις του RAT διαθέτουν βασικά πρόσθετα και λειτουργίες, όπως καταγραφή οθόνης, εξόρυξη κρυπτογραφικού νομίσματος, απομακρυσμένο έλεγχο της επιφάνειας εργασίας και κλοπή συνεδρίας webcam.

Το Scrinject είναι ένα Trojan, που δίνει στους εισβολείς απομακρυσμένη πρόσβαση στο μολυσμένο σύστημα

Scrinject – Το Scrinject είναι ένα Trojan, που δίνει στους εισβολείς απομακρυσμένη πρόσβαση στο μολυσμένο σύστημα.

Rig EK – Το Rig EK παρουσιάστηκε για πρώτη φορά τον Απρίλιο του 2014. Έκτοτε έχει λάβει αρκετές μεγάλες ενημερώσεις και συνεχίζει να είναι ενεργό μέχρι σήμερα. Το 2015, ως αποτέλεσμα μιας εσωτερικής διαμάχης μεταξύ των διαχειριστών του, διέρρευσε ο πηγαίος κώδικας και έχει διερευνηθεί διεξοδικά από ερευνητές. Το Rig παρέχει Exploits για Flash, Java, Silverlight και Internet Explorer. Η αλυσίδα μόλυνσης ξεκινά με μια ανακατεύθυνση σε μια σελίδα προορισμού που περιέχει JavaScript που ελέγχει για ευάλωτα plug-ins και παραδίδει το exploit.

Κοινοποιηση αρθρου

Τελευταια Νεα

LG Electronics: Απολαύστε πλούσιο ήχο με το νέο Soundbar SP9YA

Πολλαπλές λειτουργίες για κινηματογραφικό ήχο surroundΤο νέο Soundbar SP9YA της LG Electronics (LG) κυκλοφόρησε στην ελληνική αγορά, για να ταιριάξει απόλυτα με τις LG...

Το νέο Nissan Qashqai είναι πανέτοιμο για να “τρέξει”  στον Μαραθώνιο της Ρώμης

Ως το Επίσημο “Εξηλεκτρισμένο” Αυτοκίνητο της διοργάνωσης, το νέο Nissan Qashqai θα διανύσει τα 42 χιλιόμετρα του Μαραθωνίου της Ρώμης,  την Κυριακή 19 ΣεπτεμβρίουΣτο...

ΤΑΙΠΕΔ: Υποβολή Εκδήλωσης Ενδιαφέροντος από εννέα επενδυτικά σχήματα για τον Οργανισμό Λιμένος Ηρακλείου

Το Ταμείο Αξιοποίησης Ιδιωτικής Περιουσίας του Δημοσίου (ΤΑΙΠΕΔ), εταιρεία μέλος του Υπερταμείου (ΕΕΣΥΠ) ανακοινώνει ότι εννέα ενδιαφερόμενα μέρη υπέβαλαν Εκδήλωση Ενδιαφέροντος για την απόκτηση...

Η Schneider Electric κατακτά την πρώτη θέση στον κλάδο για τη βιωσιμότητα από τον οργανισμό αξιολόγησης ESG ζητημάτων, Vigeo Eiris

 Η Schneider Electric συμπεριλαμβάνεται στον δείκτη FTSE4Good και Euronext Vigeo Eiris μεταξύ των παγκόσμιων ηγετών βιωσιμότηταςΗ Schneider Electric, πρωτοπόρος στον ψηφιακό μετασχηματισμό της...

Η νέα Honda CB500X MY22 έρχεται με εντυπωσιακά χρώματα, βελτιωμένες επιδόσεις και αναβαθμισμένη τεχνολογία

Η mini-adventurer μοτοσυκλέτα της Honda που είναι κατάλληλη για κατόχους διπλώματος Α2 βελτιώνεται σημαντικά με έμφαση στις επιδόσεις. Από τις πιο αξιοσημείωτες βελτιώσεις είναι...