Το πιο διαδεδομένο κακόβουλο λογισμικό για τον Νοεμβρίου 2023: Ανακαλύφθηκε νέα καμπάνια AsyncRAT, Επάνοδος του FakeUpdates

Η Check Point® Software Technologies Ltd. (NASDAQ: CHKP), κορυφαίος πάροχος λύσεων κυβερνοασφάλειας παγκοσμίως, δημοσίευσε τον Παγκόσμιο Δείκτη Απειλών για τον Νοέμβριο του 2023. Τον περασμένο μήνα, οι ερευνητές ανακάλυψαν μια νέα καμπάνια AsyncRAT όπου κακόβουλα αρχεία HTML χρησιμοποιήθηκαν για τη διάδοση του συγκεκαλυμμένου κακόβουλου λογισμικού. Εν τω μεταξύ, το πρόγραμμα λήψης JavaScript, FakeUpdates, ανέβηκε κατευθείαν στη δεύτερη θέση μετά από απουσία δύο μηνών από τη λίστα των δέκα κορυφαίων και η εκπαίδευση παρέμεινε η βιομηχανία που επηρεάστηκε περισσότερο παγκοσμίως.

Το AsyncRAT είναι ένα Trojan απομακρυσμένης πρόσβασης (RAT) γνωστό για την ικανότητά του να παρακολουθεί και να ελέγχει εξ αποστάσεως συστήματα υπολογιστών χωρίς ανίχνευση. Το κακόβουλο λογισμικό, το οποίο ήρθε στην έκτη θέση στη λίστα των δέκα κορυφαίων του περασμένου μήνα, χρησιμοποιεί διάφορες μορφές αρχείων όπως PowerShell και BAT για την ενεργοποίηση της διαδικασίας. Κατά την καμπάνια του περασμένου μήνα, οι παραλήπτες έλαβαν ένα μήνυμα ηλεκτρονικού ταχυδρομείου που περιείχε έναν ενσωματωμένο σύνδεσμο. Μόλις έκαναν κλικ σε αυτόν, ο σύνδεσμος ενεργοποίησε τη λήψη ενός κακόβουλου αρχείου HTML, το οποίο στη συνέχεια προκάλεσε μια ακολουθία συμβάντων που σήμαιναν ότι το κακόβουλο λογισμικό θα μπορούσε να καμουφλαριστεί ως αξιόπιστη εφαρμογή για να αποφύγει τον εντοπισμό.

Εν τω μεταξύ, το πρόγραμμα λήψης, FakeUpdates, επανήλθε στην κορυφαία λίστα κακόβουλου λογισμικού μετά από διάλειμμα δύο μηνών. Γραμμένο σε JavaScript, το πλαίσιο διανομής του κακόβουλου λογισμικού αναπτύσσει παραβιασμένους ιστότοπους για να εξαπατήσει τους χρήστες να εκτελούν ψεύτικες ενημερώσεις προγράμματος περιήγησης. Έχει οδηγήσει σε περαιτέρω συμβιβασμό μέσω πολλών άλλων κακόβουλων προγραμμάτων, συμπεριλαμβανομένων των GootLoader, Dridex, NetSupport, DoppelPaymer και AZORult.

«Οι απειλές στον κυβερνοχώρο το μήνα Νοέμβριο επιβεβαιώνουν πώς οι φορείς απειλής αξιοποιούν φαινομενικά αβλαβείς μεθόδους για να διεισδύσουν σε δίκτυα. Η άνοδος της καμπάνιας AsyncRAT και η αναβίωση των FakeUpdates υπογραμμίζουν μια τάση όπου οι επιτιθέμενοι χρησιμοποιούν πολύ απλές μεθόδους παραπλάνησης για να παρακάμψουν τις παραδοσιακές άμυνες. Αυτό υπογραμμίζει την ανάγκη για τους οργανισμούς να υιοθετήσουν μια πολυεπίπεδη προσέγγιση ασφάλειας που δεν βασίζεται μόνο στην αναγνώριση γνωστών απειλών, αλλά έχει επίσης την ικανότητα να εντοπίζει, να αποτρέπει και να ανταποκρίνεται σε νέους φορείς επίθεσης πριν προκαλέσουν βλάβη», δήλωσε η Maya Horowitz, VP Research στην Check Point Software.

Η CPR αποκάλυψε επίσης ότι το “Command Injection Over HTTP” ήταν η πιο εκμεταλλευόμενη ευπάθεια, επηρεάζοντας το 45% των οργανισμών παγκοσμίως, ακολουθούμενη από το “Web Servers Malicious URL Directory Traversal” με 42%. Το “Zyxel ZyWALL Command Injection (CVE-2023-28771)” ήρθε τρίτο με παγκόσμιο αντίκτυπο 41%

Κορυφαίες οικογένειες κακόβουλου λογισμικού

*Τα βέλη αφορούν την αλλαγή κατάταξης σε σχέση με τον προηγούμενο μήνα.

Το Formbook ήταν το πιο διαδεδομένο κακόβουλο λογισμικό τον περασμένο μήνα με αντίκτυπο 3% σε παγκόσμιους οργανισμούς, ακολουθούμενο από το FakeUpdates με παγκόσμιο αντίκτυπο 2% και το Remcos με παγκόσμιο αντίκτυπο 1%.

1. ↔ Formbook – Το Formbook είναι ένα Infostealer που στοχεύει το λειτουργικό σύστημα Windows και εντοπίστηκε για πρώτη φορά το 2016.Διατίθεται στην αγορά ως κακόβουλο λογισμικό ως υπηρεσία (MaaS) σε υπόγεια φόρουμ hacking για τις ισχυρές τεχνικές αποφυγής και τη σχετικά χαμηλή τιμή του. Το FormBook συλλέγει διαπιστευτήρια από διάφορα προγράμματα περιήγησης ιστού, συλλέγει στιγμιότυπα οθόνης, παρακολουθεί και καταγράφει πληκτρολογήσεις και μπορεί να κατεβάσει και να εκτελέσει αρχεία σύμφωνα με εντολές από το C &C.

• ↑ FakeUpdates – Το FakeUpdates (AKA SocGholish) είναι ένα πρόγραμμα λήψης γραμμένο σε JavaScript. Γράφει τα payloads στο δίσκο πριν από την έναρξή τους. Το FakeUpdates οδήγησε σε περαιτέρω συμβιβασμό μέσω πολλών πρόσθετων κακόβουλων προγραμμάτων, συμπεριλαμβανομένων των GootLoader, Dridex, NetSupport, DoppelPaymer και AZORult.

• ↔ Remcos – Το Remcos είναι ένα RAT που εμφανίστηκε για πρώτη φορά το 2016. Διανέμεται μέσω κακόβουλων εγγράφων του Microsoft Office, τα οποία επισυνάπτονται σε ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου και έχει σχεδιαστεί για να παρακάμπτει την ασφάλεια UAC των Microsoft Windows και να εκτελεί κακόβουλο λογισμικό με προνόμια υψηλού επιπέδου.

Βιομηχανίες με τις κορυφαίες επιθέσεις παγκοσμίως

Τον Νοέμβριο ο κλάδος Εκπαίδευση / Έρευνα παρέμεινε στην πρώτη θέση με τις περισσότερες επιθέσεις παγκοσμίως, ακολουθούμενος από τους κλάδους Επικοινωνίες και Κυβέρνηση / Στρατό.

1. Εκπαίδευση/Έρευνα
2. Επικοινωνίες
3. Κυβέρνηση/Στρατός

Ευπάθειες που έχουν υποστεί κορυφαία εκμετάλλευση

Τον περασμένο μήνα, το “Command Injection Over HTTP” ήταν η πιο εκμεταλλευόμενη ευπάθεια, επηρεάζοντας το 45% των οργανισμών παγκοσμίως , ακολουθούμενη από το “Web Servers Malicious URL Directory Traversal“ με το 42% των οργανισμών παγκοσμίως. Το “Zyxel ZyWALL Command Injection (CVE-2023-28771)” ήρθε τρίτο με παγκόσμιο αντίκτυπο 41%.

1. ↑ Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086) – Έχει αναφερθεί μια εντολή Injection over HTTP vulnerability. Ένας απομακρυσμένος εισβολέας μπορεί να εκμεταλλευτεί αυτό το ζήτημα στέλνοντας μια ειδικά σχεδιασμένη αίτηση στο θύμα. Η επιτυχής εκμετάλλευση θα επέτρεπε σε έναν εισβολέα να εκτελέσει αυθαίρετο κώδικα στον υπολογιστή-στόχο.

2. ↑ Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Υπάρχει μια ευπάθεια διέλευσης καταλόγου σε διαφορετικούς διακομιστές ιστού. Το θέμα ευπάθειας οφείλεται σε σφάλμα επικύρωσης εισόδου σε διακομιστή web που δεν απολυμαίνει σωστά το URI για τα μοτίβα διέλευσης καταλόγου. Η επιτυχής εκμετάλλευση επιτρέπει στους απομακρυσμένους εισβολείς χωρίς έλεγχο ταυτότητας να αποκαλύπτουν ή να έχουν πρόσβαση σε αυθαίρετα αρχεία στον ευάλωτο διακομιστή.

3. ↓ Zyxel ZyWALL Command Injection (CVE-2023-28771) – Υπάρχει ευπάθεια έγχυσης εντολών στο Zyxel ZyWALL. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας θα επέτρεπε στους απομακρυσμένους εισβολείς να εκτελούν αυθαίρετες εντολές λειτουργικού συστήματος στο σύστημα που επηρεάζεται.

Κορυφαία κακόβουλα προγράμματα για κινητά

Τον περασμένο μήνα το Anubis παρέμεινε στην πρώτη θέση ως το πιο διαδεδομένο κακόβουλο λογισμικό για κινητά, ακολουθούμενο από το AhMyth και το SpinOk.

1. Anubis – Το Anubisείναι ένα τραπεζικό κακόβουλο λογισμικό Trojan σχεδιασμένο για κινητά τηλέφωνα Android. Από τότε που εντοπίστηκε αρχικά, έχει αποκτήσει πρόσθετες λειτουργίες, όπως λειτουργικότητα Trojan Remote Access (RAT), keylogger, δυνατότητες εγγραφής ήχου και διάφορες δυνατότητες ransomware. Έχει εντοπιστεί σε εκατοντάδες διαφορετικές εφαρμογές που είναι διαθέσιμες στο Google Store.

2. AhMyth – Το AhMythείναι ένα Trojan απομακρυσμένης πρόσβασης (RAT) που ανακαλύφθηκε το 2017. Διανέμεται μέσω εφαρμογών Android που μπορούν να βρεθούν σε καταστήματα εφαρμογών και διάφορους ιστότοπους. Όταν ένας χρήστης εγκαθιστά μία από αυτές τις μολυσμένες εφαρμογές, το κακόβουλο λογισμικό μπορεί να συλλέξει ευαίσθητες πληροφορίες από τη συσκευή και να εκτελέσει ενέργειες όπως keylogging, λήψη στιγμιότυπων οθόνης, αποστολή μηνυμάτων SMS και ενεργοποίηση της κάμερας, η οποία συνήθως χρησιμοποιείται για την κλοπή ευαίσθητων πληροφοριών.

3. SpinOk – Το SpinOkείναι μια ενότητα λογισμικού Android που λειτουργεί ως λογισμικό υποκλοπής spyware. Συλλέγει πληροφορίες σχετικά με αρχεία που είναι αποθηκευμένα σε συσκευές και μπορεί να τις μεταφέρει σε κακόβουλους παράγοντες απειλής. Η κακόβουλη μονάδα βρέθηκε παρούσα σε περισσότερες από 100 εφαρμογές Android και κατέβηκε περισσότερες από 421.000.000 φορές μέχρι τον Μάιο του 2023.

To Global Threat Impact Index της Check Point και ο χάρτης ThreatCloud υποστηρίζονται από τo ThreatCloud intelligence της Check Point . Το ThreatCloud παρέχει πληροφορίες απειλών σε πραγματικό χρόνο που προέρχονται από εκατοντάδες εκατομμύρια αισθητήρες παγκοσμίως, μέσω δικτύων, τελικών σημείων και κινητών τηλεφώνων. Η ευφυΐα εμπλουτίζεται με μηχανές που βασίζονται στην τεχνητή νοημοσύνη και αποκλειστικά ερευνητικά δεδομένα από την Check Point Research, το τμήμα έρευνας της Check Point Software Technologies.

Μπορείτε να βρείτε την πλήρη λίστα των δέκα κορυφαίων οικογενειών κακόβουλου λογισμικού για τον Νοέμβριο στο ιστολόγιο Check Point.