Prim Hírek

A Check Point Software Technologies Ltd., a világszerte vezető szerepet betöltő cyber-biztonsági megoldásokat szállító vállalat kutatórészlege, a Check Point Research (CPR) kiadta legújabb, 2022 júniusára vonatkozó Global Threat Index elemzését. A jelentés egy új, Android eszközöket támadó, banki kártékony program felbukkanásáról számol be, melynek neve MaliBot, és a FluBot májusi leállítását követően jelent meg. 

Ugyan csak most fedezték fel, a MaliBot máris a harmadik helyen áll a leggyakrabban előforduló mobil eszközöket támadó kártékony programok listáján. Különböző neveket használva kriptovaluta-bányász alkalmazásnak álcázza magát, és a mobil banki szolgáltatások felhasználóit veszi célba, hogy pénzügyi információkat lopjon el tőlük. A FluBothoz hasonlóan, a MaliBot is adathalász SMS üzeneteket (smishing) küldve próbálja rávenni áldozatait, hogy egy linkre kattintva, kártékony programot tartalmazó, hamis alkalmazást töltsenek le.

Június hónapban a rendkívül kitartó Emotet maradt a legyakrabban előforduló kártékony program, miközben a Snake Keylogger a harmadik helyre került az előző hónap során a lista nyolcadik helyén való felbukkanását követő megnövekedett aktivitása következtében. A Snake elsődleges funkciója a felhasználók billentyűleütéseinek a naplózása, majd az így begyűjtött adatokat továbbítja a fenyegetéseket indítók felé. Miközben májusban a Snake Keylogger PDF file-okkal terjedt, az utóbbi időszakban Word csatolmányokat tartalmazó, ajánlatkérő e-mailekben jelent meg. A kutatók arról is beszámoltak, hogy az Emotet egy új variánsa bukkant fel június hónap során, mely hitelkártya adatokat lop el és a Chrome böngésző használóit veszi célba. 

„Nagyon jó érzés látni azt, amikor a bűnüldöző szervek sikerrel lépnek fel egy cyber-bűnöző csoport vagy egy olyan kártékony program, mint a FluBot ellen. De sajnos nem kellett sok idő ahhoz, hogy egy új kártékony program lépjen a helyébe,” – mondta Maya Horowitz, a Check Point Software kutatásért felelős elnök-helyettese. „A cyber-bűnözők nagyon is tudatában vannak annak, hogy milyen központi szerepet játszanak a mobil eszközök a legtöbb ember életében és folyamatosan fejlesztik a megfelelő taktikákat. A fenyegetések gyorsan alakulnak, a mobil eszközöket célzó kártékony programok jelentős veszélyt képviselnek mind a személyes, mind a vállalati biztonság terén. Soha nem volt ilyen fontos a robusztus fenyegetésekkel szembeni védelmi megoldások használata.” 

A CPR ebben a hónapban arra is felhívta a figyelmet, hogy az „Apache Log4j Remote Code Execution” volt a leggyakrabban kihasznált sérülékenység, világszerte a szervezetek 43%-ánál jelent meg, szorosan követte a „Web Server Exposed Git Repository Information Disclosure”, mely a szervezetek 42,3%-ánál bukkant fel. Harmadik helyre került a „Web Servers Malicious URL Directory Traversal”, globális hatása 42,1%. 

bleepingcomputer.com

2022. június top három kártékony programcsaládja:

*A nyilak a helyezés előző hónaphoz képest történt változását jelzik.

A hónap során az Emotet tartotta magát az élen, világszerte a szervezetek 14%-ánál volt jelen, ezt követte a Formbook és a Snake Keylogger, mindkettő a szervezetek 4,4%-ánál jelent meg.

1.↔ Emotet – Fejlett, önmagát hirdető, moduláris trójai program. Eredetileg banki trójaiként volt ismert, az utóbbi időkben azonban más kártevők és hadjáratok terjesztőjeként használják. A jelenlét fenntartására különböző módszereket alkalmaz, míg a lebukás elkerülésére kitérő technikákat. Ráadásul rosszindulatú csatolmányokat vagy linkeket tartalmazó, adathalász spam emailekkel terjed.

2.↔ Formbook – Információ tolvaj, mely a különböző böngészőkből gyűjt be hitelesítő adatokat, képernyőképeket, monitor és billentyűzet-leütés adatokat, és C&C utasításai alapján képes letölteni és végrehajtani utasításokat.

3.↑ Snake Keylogger – 2020 novemberében beazonosított moduláris .NET billentyűzetfigyelő és identitástolvaj; elsődleges funkciója a felhasználók billentyűleütéseinek a naplózása és az így begyűjtött adatok továbbítása a fenyegetéseket indítók felé.

A világszerte legtöbb támadást elszenvedő iparágak:

1. Oktatás/kutatás

2. Kormányzat/hadsereg

3. Egészségügy 

2022. június top három sérülékenysége:

Ebben a hónapban az „Apache Log4j Remote Code Execution” volt a leggyakrabban kihasznált sérülékenység, mely világszerte a vállalatok 43%-ánál jelent meg; szorosan követi a „Web Server Exposed Git Repository Information Disclosure”, mely a szervezetek 42,3%-ánál bukkant fel. Harmadik helyre került a „Web Servers Malicious URL Directory Traversal”, globális hatása 42,1%.

1.↑ Apache Log4j Remote Code Execution – Az Apache Log4j-ben található sérülékenység, mely távoli kódok végrehajtását teszi lehetővé. A rés sikeres kihasználásával a távoli támadó tetszőleges kódot futtathat az érintett rendszeren.

2.↑ Web Server Exposed Git Repository Information Disclosure – A Git Repository-ban jelentett adatszivárgásos sérülékenység, melyen keresztül a felhasználói fiókkal kapcsolatos információk kerülhetnek ki.

3.↓ Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) – Különböző web-szervereken tapasztalt útvonal-bejárási sebezhetőség, aminek oka egy input validációs hiba egy olyan web-szerveren, mely nem megfelelően tisztítja az URL-t az útvonal-bejárási mintázatokhoz. Sikeres visszaélés esetén a jogosulatlan távoli támadók tetszőleges file-okat tehetnek közzé vagy érhetnek el a sebezhető kiszolgálón.

2022. június top három, mobil eszközöket támadó kártékony programcsaládja:

Ebben a hónapban az AlienBot a legelterjedtebb program, őt követte a FluBot és az xHelper.

1. AlienBot – Az AlienBot kártékony programcsalád egy Android eszközökre fejlesztett MaaS (Malware-as-a-Service), mely lehetővé teszi a támadó számára, hogy első lépésként kártékony kódot juttasson be a legitim pénzügyi alkalmazásokba. A támadó hozzáférést szerez az áldozat felhasználói fiókjaihoz, végül pedig teljesen átveszi az irányítást az eszköz fölött.

2. Anubis – Android mobiltelefonokra tervezett banki trójai program. Felbukkanása óta újabib funkciókkal bővült, köztük távoli hozzáférés trójai (RAT), billentyűzet naplózó (keylogger), hangrögzítés, illetve különböző zsarolóprogram jellemzők. Több száz különböző, a Google Store-ban elérhető alkalmazásban fedezték fel.

3. MaliBot – Android banki kártékony program, mely eddig spanyol- és olaszországi felhasználókat célzott meg. Különböző neveken futó kripto-bányász alkalmazásoknak álcázza magát, pénzügyi információk, kripto pénztárcák és más személyes adatok eltulajdonítására fókuszál. 

A Check Point Global Threat Impact Index és a ThreatCloud Map alapja a Check Point ThreatCloud intelligence, mely a szenzorok százmillióinak, hálózatokban, végpontokon és mobilokon található globális hálózatából nyert adatok alapján valós idejű, fenyegetésekkel kapcsolatos információkat szolgáltat. Mindezt AI-alapú motorokkal és a Check Point Software Technologies kutatórészlege, a Check Point Research exkluzív kutatási adataival bővítik ki. 

A kártékony programcsaládok 2022. júniusi Top 10 listája megtalálható a Check Point Blogon.