H Νέα Έκδοση του Guloader Παραδίδει Κρυπτογραφημένα Cloud-Based Payloads

[nnn]

Δελτίο Τύπου:
– Η Check Point® Software Technologies Ltd. (NASDAQ: CHKP), κορυφαίος πάροχος λύσεων κυβερνοασφάλειας σε παγκόσμιο επίπεδο, δημοσίευσε τον Παγκόσμιο Δείκτη Απειλών για τον Μάιο του 2023. Οι ειδικοί αναλυτές αναφέρθηκαν σε μια νέα έκδοση του shellcode-based downloader GuLoader, το οποίο ήταν το τέταρτο πιο διαδεδομένο κακόβουλο λογισμικό τον περασμένο μήνα. Με πλήρως κρυπτογραφημένα ωφέλιμα φορτία και τεχνικές κατά της ανάλυσης, η τελευταία μορφή μπορεί να αποθηκευτεί χωρίς να εντοπιστεί σε γνωστές δημόσιες υπηρεσίες cloud, συμπεριλαμβανομένου του Google Drive. Εν τω μεταξύ, το Qbot και το Anubis κατέλαβαν την πρώτη θέση στις αντίστοιχες λίστες εμφάνισής τους, ενώ ο κλάδος Εκπαίδευση/Ερευνα παρέμεινε ο κλάδος με τη μεγαλύτερη εκμετάλλευση.

Το κακόβουλο λογισμικό GuLoader, το οποίο χρησιμοποιείται ευρέως από εγκληματίες του κυβερνοχώρου για να παρακάμπτει την ανίχνευση antivirus έχει υποστεί σημαντικές αλλαγές. Η τελευταία έκδοση χρησιμοποιεί μια εξελιγμένη τεχνική αντικατάστασης κώδικα σε μια νόμιμη διαδικασία, διευκολύνοντας την αποφυγή του από τα εργαλεία ασφαλείας παρακολούθησης διεργασιών. Τα payloads είναι πλήρως κρυπτογραφημένα και αποθηκεύονται απαρατήρητα σε γνωστές δημόσιες υπηρεσίες cloud, συμπεριλαμβανομένου του Google Drive. Αυτός ο μοναδικός συνδυασμός κρυπτογράφησης, πρωτογενούς δυαδικής μορφής και διαχωρισμού από τον εκάστοτε φορτωτή καθιστά τα ωφέλιμα φορτία αόρατα στα προγράμματα προστασίας από ιούς, αποτελώντας σημαντική απειλή για χρήστες και επιχειρήσεις σε όλο τον κόσμο.

Τον περασμένο μήνα, τόσο ο Qbot όσο και ο Anubis κατέλαβαν την πρώτη θέση στις αντίστοιχες λίστες εμφάνισής τους. Παρά τις προσπάθειες επιβράδυνσης της διανομής κακόβουλου λογισμικού με το μπλοκάρισμα των μακροεντολών στα αρχεία του Office, οι χειριστές του Qbot προσαρμόζουν γρήγορα τη διανομή και την παράδοσή τους. Πρόσφατα εθεάθη να κάνει κατάχρηση ενός ελαττώματος αντιγραφής dynamic link library (DLL) στο πρόγραμμα WordPad των Windows 10 για να μολύνει υπολογιστές.


"Τα δημόσια εργαλεία και υπηρεσίες αξιοποιούνται όλο και περισσότερο από τους εγκληματίες του κυβερνοχώρου για την παράδοση και την αποθήκευση κακόβουλων εκστρατειών. Η αξιοπιστία μιας πηγής δεν εγγυάται πλέον πλήρη ασφάλεια", δήλωσε η Maya Horowitz, αντιπρόεδρος έρευνας της Check Point Software. "Αυτό αναδεικνύει την επείγουσα ανάγκη για εκπαίδευση σχετικά με τον εντοπισμό ύποπτων δραστηριοτήτων. Σας συνιστούμε να μην αποκαλύπτετε προσωπικές πληροφορίες ή να μην κατεβάζετε συνημμένα αρχεία, εκτός εάν έχει επιβεβαιωθεί η αυθεντικότητα και η καλοήθης φύση του αιτήματος. Επιπλέον, είναι ζωτικής σημασίας να υπάρχουν προηγμένες λύσεις ασφαλείας όπως το Check Point Horizon XDR/XPR, οι οποίες μπορούν να αναγνωρίσουν αποτελεσματικά αν μια υποτιθέμενα καλοήθης συμπεριφορά είναι στην πραγματικότητα κακόβουλη, παρέχοντας ένα επιπλέον επίπεδο προστασίας από εξελιγμένες απειλές".


Ο τομέας της Εκπαίδευσης/Ερευνας εξακολουθεί να είναι ο κλάδος με τη μεγαλύτερη στόχευση, σύμφωνα με τον Δείκτη της Check Point. Η έκθεση αποκάλυψε επίσης ότι η ευπάθεια "Web Servers Malicious URL Directory Traversal" είναι η ευπάθεια με τη μεγαλύτερη εκμετάλλευση, επηρεάζοντας το 49% των οργανισμών παγκοσμίως. Ακολουθούν στενά οι ευπάθειες "Apache Log4j Remote Code Execution" και "HTTP Headers Remote Code Execution", επηρεάζοντας το 45% και το 44% των οργανισμών παγκοσμίως, αντίστοιχα.


Top malware οικογένειες
*Τα βέλη αφορούν τη μεταβολή της κατάταξης σε σχέση με τον προηγούμενο μήνα.
Το Qbot ήταν το πιο διαδεδομένο κακόβουλο λογισμικό τον περασμένο μήνα με αντίκτυπο 6% σε παγκόσμιους οργανισμούς, ακολουθούμενο από το Formbook με παγκόσμιο αντίκτυπο 5% και το AgentTesla με παγκόσμιο αντίκτυπο 3%.

1. ↑ Qbot – Το Qbot AKA Qakbot είναι ένα κακόβουλο λογισμικό πολλαπλών χρήσεων που εμφανίστηκε για πρώτη φορά το 2008. Σχεδιάστηκε για να κλέβει τα στοιχεία πρόσβασης ενός χρήστη, να καταγράφει πληκτρολογήσεις, να κλέβει cookies από προγράμματα περιήγησης, να κατασκοπεύει τραπεζικές δραστηριότητες και να αναπτύσσει πρόσθετο κακόβουλο λογισμικό. Συχνά διανέμεται μέσω spam email, το Qbot χρησιμοποιεί διάφορες τεχνικές anti-VM, anti-debugging και anti-sandbox για να εμποδίσει την ανάλυση και να αποφύγει την ανίχνευση. Ξεκινώντας το 2022, αναδείχθηκε ως ένα από τα πιο διαδεδομένα Trojans.
2. ↑ Formbook – Το Formbook είναι ένα Infostealer που στοχεύει το λειτουργικό σύστημα Windows και εντοπίστηκε για πρώτη φορά το 2016. Διατίθεται στην αγορά ως Malware as a Service (MaaS) σε underground φόρουμ hacking για τις ισχυρές τεχνικές αποφυγής και τη σχετικά χαμηλή τιμή του. Το FormBook συλλέγει διαπιστευτήρια από διάφορα προγράμματα περιήγησης στο διαδίκτυο, συλλέγει στιγμιότυπα οθόνης, παρακολουθεί και καταγράφει τις πληκτρολογήσεις και μπορεί να κατεβάζει και να εκτελεί αρχεία σύμφωνα με εντολές από το C&C του.

1. ↓ AgentTesla – Το AgentTesla είναι ένα προηγμένο RAT που λειτουργεί ως keylogger και κλέφτης πληροφοριών, το οποίο είναι ικανό να παρακολουθεί και να συλλέγει την είσοδο του πληκτρολογίου του θύματος, το πληκτρολόγιο του συστήματος, να λαμβάνει στιγμιότυπα οθόνης και να αποσπά διαπιστευτήρια σε διάφορα λογισμικά που είναι εγκατεστημένα στο μηχάνημα του θύματος (συμπεριλαμβανομένων των Google Chrome, Mozilla Firefox και Microsoft Outlook email client).

Κλάδοι με τις Περισσότερες Επιθέσεις Παγκοσμίως
Τον περασμένο μήνα, η εκπαίδευση/έρευνα παρέμεινε στην πρώτη θέση ως ο κλάδος με τη μεγαλύτερη εκμετάλλευση παγκοσμίως, ακολουθούμενος από τους κυβέρνηση/στρατός και υγειονομική περίθαλψη.
1. Εκπαίδευση/Ερευνα
2. Κυβέρνηση/Στρατός
3. Yγειονομική περίθαλψη

Ευπάθειες με τη μεγαλύτερη εκμετάλλευση
Τον περασμένο μήνα, η “Web Servers Malicious URL Directory Traversal” ήταν η ευπάθεια με τη μεγαλύτερη εκμετάλλευση, επηρεάζοντας το 49% των οργανισμών παγκοσμίως, ακολουθούμενη από την “Apache Log4j Remote Code Execution” που επηρέασε το 45% των οργανισμών παγκοσμίως. Τρίτη πιο συχνά χρησιμοποιούμενη ευπάθεια η “HTTP Headers Remote Code Execution” με παγκόσμιο αντίκτυπο 44%.

1. ↔ Web Servers Malicious URL Directory Traversal - Υπάρχει μια ευπάθεια διάσχισης καταλόγου σε διάφορους διακομιστές ιστού. Η ευπάθεια οφείλεται σε σφάλμα επικύρωσης εισόδου σε έναν διακομιστή ιστού που δεν καθαρίζει σωστά το URI για τα μοτίβα διάσχισης καταλόγου. Η επιτυχής εκμετάλλευση επιτρέπει σε μη εξουσιοδοτημένους απομακρυσμένους επιτιθέμενους να αποκαλύψουν ή να αποκτήσουν πρόσβαση σε αυθαίρετα αρχεία στον ευάλωτο διακομιστή.

1. ↔ Apache Log4j Remote Code Execution (CVE-2021-44228) - Μια ευπάθεια απομακρυσμένης εκτέλεσης κώδικα υπάρχει στον Apache Log4j. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας θα μπορούσε να επιτρέψει σε έναν απομακρυσμένο εισβολέα να εκτελέσει αυθαίρετο κώδικα στο επηρεαζόμενο σύστημα.

1. ↔ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) - To πρωτοκόλλου HTTP επιτρέπει στον client και τον server να διαβιβάζουν πρόσθετες πληροφορίες μαζί με ένα αίτημα HTTP. Ένας απομακρυσμένος εισβολέας μπορεί να χρησιμοποιήσει μια ευάλωτη επικεφαλίδα HTTP για να εκτελέσει αυθαίρετο κώδικα στο μηχάνημα του θύματος.

Too Κακοβουλα Λογισμικά Κινηττών
Τον περασμένο μήνα το Anubis ανέβηκε στην πρώτη θέση ως το πιο διαδεδομένο κακόβουλο λογισμικό για κινητά, ακολουθούμενο από τα AhMyth και Hiddad.

1. Anubis – Το Anubis είναι ένα κακόβουλο τραπεζικό Trojan που έχει σχεδιαστεί για κινητά τηλέφωνα Android. Από τότε που εντοπίστηκε αρχικά, έχει αποκτήσει πρόσθετες λειτουργίες, όπως λειτουργία Remote Access Trojan (RAT), keylogger, δυνατότητες καταγραφής ήχου και διάφορα ransomware χαρακτηριστικά. Έχει εντοπιστεί σε εκατοντάδες διαφορετικές εφαρμογές που είναι διαθέσιμες στο Google Store.

1. AhMyth - Το AhMyth είναι ένα Trojan Remote Access (RAT) που ανακαλύφθηκε το 2017. Διανέμεται μέσω εφαρμογών Android που μπορούν να βρεθούν σε καταστήματα εφαρμογών και σε διάφορους ιστότοπους. Όταν ένας χρήστης εγκαθιστά μία από αυτές τις μολυσμένες εφαρμογές, το κακόβουλο λογισμικό μπορεί να συλλέξει ευαίσθητες πληροφορίες από τη συσκευή και να εκτελέσει ενέργειες όπως keylogging, λήψη στιγμιότυπων οθόνης, αποστολή μηνυμάτων SMS και ενεργοποίηση της κάμερας, η οποία συνήθως χρησιμοποιείται για την κλοπή ευαίσθητων πληροφοριών.
2. Hiddad - Το Hiddad είναι ένα κακόβουλο λογισμικό Android που επανασυσκευάζει νόμιμες εφαρμογές και στη συνέχεια τις κυκλοφορεί σε ένα κατάστημα τρίτων. Η κύρια λειτουργία του είναι η εμφάνιση διαφημίσεων, αλλά μπορεί επίσης να αποκτήσει πρόσβαση σε βασικές λεπτομέρειες ασφαλείας που είναι ενσωματωμένες στο λειτουργικό σύστημα.

Τα νούμερα στην Ελλάδα έχουν ως εξής:

Malware_Family_Name	Global Impact	Country Impact
Emotet	2.81%	11.35%
Lokibot	1.66%	9.61%
Formbook	4.53%	9.61%
Qbot	5.88%	9.39%
AgentTesla	3.28%	5.46%
Guloader	3.07%	5.46%
Pony	0.51%	3.28%
Nanocore	1.63%	2.84%
Esfury	0.74%	2.18%
XMRig	2.70%	2.18%

Ο Παγκόσμιος Δείκτης Επιπτώσεων Απειλών της Check Point και το ThreatCloud Map βασίζονται στην ευφυΐα ThreatCloud της Check Point. Το ThreatCloud παρέχει πληροφορίες για απειλές σε πραγματικό χρόνο που προέρχονται από εκατοντάδες εκατομμύρια αισθητήρες παγκοσμίως, σε δίκτυα, τερματικά σημεία και κινητά τηλέφωνα. Η νοημοσύνη εμπλουτίζεται με μηχανές βασισμένες στην Τεχνητή Νοημοσύνη και αποκλειστικά ερευνητικά δεδομένα από την Check Point Research, τον βραχίονα νοημοσύνης και έρευνας της Check Point Software Technologies.

Η πλήρης λίστα με τις δέκα κορυφαίες οικογένειες κακόβουλου λογισμικού τον Απρίλιο βρίσκεται στο ιστολόγιο της Check Point.

[globalnoise]

Όταν θέλω να τιμωρήσω τον εγκέφαλο μου για κάτι, τον αναγκάζω να διαβάσει CHECK POINT RESEARCH δελτία τύπου στα ελληνικά