Τrickbot: Το πιο διαδεδομένο κακόβουλο λογισμικό

Η Check Point Research, το Threat Intelligence τμήμα της Check Point® Software Technologies Ltd. (NASDAQ: CHKP), κορυφαίος πάροχος λύσεων κυβερνοασφάλειας παγκοσμίως, δημοσίευσε το Global Threat Index για το μήνα Σεπτέμβριο του 2021. Η ερευνητική ομάδα αναφέρει ότι το Trickbot επέστρεψε στην κορυφή της λίστας, ενώ είχε πέσει στη δεύτερη θέση τον Αύγουστο μετά από τριμηνιαία «βασιλεία».

Το trojan απομακρυσμένης πρόσβασης, njRAT μπήκε για πρώτη φορά στην πρώτη δεκάδα, παίρνοντας τη θέση του Phorpiex που δεν είναι πλέον ενεργό. Το Trickbot είναι ένα τραπεζικό trojan που μπορεί να κλέψει οικονομικά στοιχεία, διαπιστευτήρια λογαριασμού και προσωπικά δεδομένα, καθώς και να εξαπλωθεί σε ένα δίκτυο και να ξεκινήσει μια επίθεση  ransomware. Από την κατάργηση του Emotet τον περασμένο Ιανουάριο, το trojan Trickbot έχει κερδίσει δημοτικότητα. Αναβαθμίζεται συνεχώς με νέες δυνατότητες, χαρακτηριστικά και διαύλους διανομής που του επιτρέπουν να είναι ένα ευέλικτο και προσαρμόσιμο κακόβουλο λογισμικό, το οποίο μπορεί να διανεμηθεί ως μέρος εκστρατειών πολλαπλών σκοπών.

«Τον ίδιο μήνα που το Trickbot έγινε για άλλη μια φορά το πιο διαδεδομένο κακόβουλο λογισμικό, αναφέρθηκε ότι ένα από τα μέλη της συμμορίας αυτού συνελήφθη μετά από έρευνα στις ΗΠΑ», δήλωσε η Maya Horowitz, VP Research στην Check Point Software. «Εκτός από άλλες κατηγορίες που έχουν κατατεθεί φέτος στον αγώνα κατά του trojan, ελπίζουμε ότι η κυριαρχία της συμμορίας θα λήξει σύντομα. Αλλά, όπως πάντα, υπάρχει ακόμα πολύς δρόμος να διανύσουμε. Αυτή την εβδομάδα οι ερευνητές μας ανέφεραν ότι το 2021 υπάρχουν 40% περισσότερες επιθέσεις εβδομαδιαίως σε οργανισμούς παγκοσμίως σε σύγκριση με το 2020, αλλά οι περισσότερες από αυτές, αν όχι όλες, θα μπορούσαν να είχαν προληφθεί. Οι οργανισμοί δεν πρέπει να καθυστερούν πλέον την υιοθέτηση μιας πρόληψη-πρώτα προσέγγιση στην κυβερνοασφάλεια».

Η CPR αποκάλυψε επίσης αυτόν τον μήνα ότι το “Web Server Exposed Git Repository Information Disclosure” είναι η πιο συχνή προς εκμετάλλευση ευπάθεια, που επηρεάζει το 44% των οργανισμών παγκοσμίως, ακολουθούμενη από το “Command Injection Over HTTP” που επηρεάζει το 43% των οργανισμών παγκοσμίως. Το “HTTP Headers Remote Code Execution” καταλαμβάνει την τρίτη θέση στη λίστα των πιο ευάλωτων προς εκμετάλλευση ευπαθειών, με παγκόσμιο αντίκτυπο επίσης 43%.

Κορυφαίες οικογένειες κακόβουλων λογισμικών

*Τα βέλη αφορούν στη μεταβολή της κατάταξης σε σχέση με τον προηγούμενο μήνα.

Τον Σεπτέμβριο το Trickbot είναι το πιο δημοφιλές κακόβουλο λογισμικό που επηρεάζει το 4% των οργανισμών παγκοσμίως, ακολουθούμενο από το Formbook και το XMRig, με το καθένα να επηρεάζει το 3% των οργανισμών παγκοσμίως.

1. ↑ Trickbot – Το Trickbot είναι ένα modular Botnet και Τραπεζικό Trojan που ενημερώνεται συνεχώς με νέες δυνατότητες, δυνατότητες και διαύλους διανομής. Αυτό επιτρέπει στο Trickbot να είναι ένα ευέλικτο και προσαρμόσιμο κακόβουλο λογισμικό που μπορεί να διανεμηθεί ως μέρος καμπανιών πολλαπλών χρήσεων. 

2. ↓ Formbook – Το Formbook είναι ένα infostealer που συλλέγει διαπιστευτήρια από διάφορα προγράμματα περιήγησης στο διαδίκτυο και στιγμιότυπα οθόνης, παρακολουθεί και καταγράφει τις πληκτρολογήσεις και μπορεί να κατεβάσει και να εκτελέσει αρχεία σύμφωνα με τις εντολές του C&C.

3. ↑ XMRig – Το XMRig είναι ένα λογισμικό εξόρυξης CPU ανοιχτού κώδικα που χρησιμοποιείται για τη διαδικασία εξόρυξης του κρυπτονομίσματος Monero και πρωτοεμφανίστηκε τον Μάιο του 2017.

Οι πιο εκμεταλλεύσιμες ευπάθειες   

Τον Σεπτέμβριο το “Web Server Exposed Git Repository Information Disclosure” είναι η περισσότερο εκμεταλλευόμενη ευπάθεια, επηρεάζοντας το 44% των οργανισμών παγκοσμίως, ακολουθούμενη από το “Command Injection Over HTTP” που επηρεάζει το 43% των οργανισμών παγκοσμίως. Το “HTTP Headers Remote Code Execution” καταλαμβάνει την τρίτη θέση στη λίστα των πιο ευάλωτων προς εκμετάλλευση ευπαθειών, με παγκόσμιο αντίκτυπο επίσης το 43%.

1.    ↔ Web Server Exposed Git Repository Information Disclosure –  Έχει αναφερθεί ευπάθεια αποκάλυψης πληροφοριών στο Git Repository. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας θα μπορούσε να επιτρέψει την ακούσια αποκάλυψη πληροφοριών ενός λογαριασμού.

2. ↑ Command Injection Over HTTP – Έχει αναφερθεί μια διανομή εντολής μέσω ευπάθειας του HTTP. Ένας απομακρυσμένος εισβολέας μπορεί να εκμεταλλευτεί αυτό το ζήτημα στέλνοντας ένα ειδικά κατασκευασμένο αίτημα στο θύμα. Η επιτυχής εκμετάλλευση θα επέτρεπε σε έναν εισβολέα να εκτελέσει αυθαίρετο κώδικα στο μηχάνημα -στόχο.

3. ↓ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Οι HTTP headers επιτρέπουν στον πελάτη και τον διακομιστή να διαβιβάσουν πρόσθετες πληροφορίες με ένα αίτημα HTTP. Ένας απομακρυσμένος εισβολέας μπορεί να χρησιμοποιήσει ένα ευάλωτο HTTP header για την εκτέλεση αυθαίρετου κώδικα στο μηχάνημα του θύματος.

Κορυφαία Malwares για κινητά

Τον Σεπτέμβριο το xHelper παρέμεινε στην πρώτη θέση στα πιο διαδεδομένα κακόβουλα προγράμματα για κινητά, ακολουθούμενο από το AlienBot και το FluBot.

1. xHelper – Μια κακόβουλη εφαρμογή που εμφανίστηκε πρώτη φορά τον Μάρτιο του 2019 και χρησιμοποιείται για τη λήψη άλλων κακόβουλων εφαρμογών και την προβολή διαφημίσεων. Η εφαρμογή μπορεί να κρυφτεί από τον χρήστη και μπορεί ακόμη και να επανεγκατασταθεί σε περίπτωση κατάργησης της.

2. AlienBot – Η οικογένεια κακόβουλου λογισμικού AlienBot είναι ένα Malware-as-a-Service (MaaS) για Android συσκευές που επιτρέπει σε έναν απομακρυσμένο εισβολέα, αρχικά, να εισάγει κακόβουλο κώδικα σε νόμιμες οικονομικές εφαρμογές. Ο εισβολέας αποκτά πρόσβαση στους λογαριασμούς των θυμάτων και τελικά ελέγχει πλήρως τη συσκευή τους.

3. FluBot – Το FluBot είναι ένα κακόβουλο λογισμικό Android που διανέμεται μέσω μηνυμάτων (SMS) ηλεκτρονικού ψαρέματος (phishing) και συνήθως υποδύεται μεταφορικές εταιρείες logistics. Μόλις ο χρήστης κάνει κλικ στον σύνδεσμο που υπάρχει στο μήνυμα, το FluBot εγκαθίσταται και αποκτά πρόσβαση σε όλες τις ευαίσθητες πληροφορίες του τηλεφώνου.