TOP 3 malware podle Check Point Research: FormBook, XMRig a AgentTesla

TOP 3 malware - cyberattack security ilustrace

Výzkumný tým společnosti Check Point Research zveřejnil Celosvětový index dopadu hrozeb. Podle toho byl v září nejrozšířenějším malwarem FormBook, který umožňuje krádeže informací a prodává se na hackerských fórech.

Sílu špionážních malwarů potvrdil skokem na osmé místo Vidar, který umožňuje krást z infikovaných zařízení citlivé bankovní informace, přihlašovací údaje, IP adresy, historii prohlížeče a kryptopeněženky. Vidar byl šířen přes falešné webové stránky Zoom jako například zoomus[.]website a zoom-download[.]space.

Terče kyberútoků

Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se v září lehce posunula o 4 příčky mezi bezpečnější země a patřila jí celosvětově 38. pozice. Slovensko se naopak posunulo o 13 míst směrem k méně bezpečným zemím na aktuálně 55. místo.

Reklama/Advertisement

První, tedy nejnebezpečnější místo obsadilo už několik měsíců po sobě Mongolsko. Velmi výrazně se mezi nebezpečné země posunul Izrael a Egypt skokem  o 56, respektive 57 pozic.

Top 3 – malware:

Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vévodil v září FormBook, který měl v globálním měřítku dopad na 3 % organizací. Na druhou příčku se posunul XMRig s dopadem na 2 % společností, stejné množství organizací čelilo i zlodějskému malwaru AgentTesla.

  1.  FormBook – FormBook krade přihlašovací údaje z webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru.
  2.  XMRig – XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.
  3.  AgentTesla – AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. Agent Tesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje z různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook)

Top 3 – mobilní malware:

Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vládl nově bankovní trojan Anubis, následovaly bankovní trojan Hydra a spyware Joker.

  1.  Anubis – Anubis je bankovní trojan, určený pro mobilní telefony se systémem Android. Postupně je vylepšován, včetně funkcí pro vzdálený přístup, sledování stisknutých kláves, nahrávání zvuku a ransomwarových schopností. Byl odhalen už ve stovkách různých aplikací dostupných v obchodě Google.
  2. ↑ Hydra – Hydra je bankovní trojan, který krade přihlašovací údaje k finančním účtům a žádá o udělení rizikových práv.
  3.  Joker – Android spyware, který se často ukrývá v aplikacích v Google Play a krade SMS zprávy, seznamy kontaktů a informace o zařízení. Navíc skrytě přihlašuje oběti k placeným prémiovým službám.

Czech Point Research ilustrace

Top 3 – zranitelnosti:

Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především zranitelnost „Web Server Exposed Git Repository Information Disclosure” s dopadem na 43 % organizací. Těsně v závěsu následovala zranitelnost „Apache Log4j Remote Code Execution“ s dopadem na 42 % společností, Top 3 pak uzavírá zranitelnost „Command Injection Over HTTP“ s dopaden na 40 % organizací.

  1.  Web Server Exposed Git Repository Information Disclosure – Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu.
  2.  Apache Log4j Remote Code Execution (CVE-2021-44228) – Úspěšné zneužití této zranitelnosti může vzdálenému útočníkovi umožnit spuštění libovolného kódu na postiženém systému.
  3. ↑ Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086) – Zranitelnost může být útočníky vzdáleně zneužita zasláním speciálně vytvořeného požadavku oběti. Úspěšné zneužití by umožnilo útočníkům spustit libovolný kód na cílovém počítači.

Check Point analyzoval i malware útočící na podnikové sítě v České republice. Zlodějský malware FormBook byl sice nejrozšířenější hrozbou pro české organizace, ale jeho dopad klesl o více než polovinu. I další tradiční škodlivé kódy oslabily, naopak jsme viděli vzestup nových malwarů, což jen ukazuje, jak rozmanité je prostředí kybernetických hrozeb. 

Top malwarové rodiny v České republice – září 2022
Malwarová rodina Popis Dopad ve světě Dopad v ČR
FormBook FormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru. 2,96 % 5,49 %
AgentTesla AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). AgentTesla se prodává jako legitimní RAT a zákazníci platí 15–69 dolarů za uživatelskou licenci. 2,21 % 3,66 %
Snake Keylogger Snake je modulární .NET keylogger, který byl poprvé detekován koncem listopadu 2020. Mezi jeho hlavní funkce patří zaznamenávání stisknutých kláves, krádeže přihlašovacích údajů a odesílání ukradených dat útočníkům. Snake představuje hrozbu pro soukromí a online bezpečnost uživatelů, protože může krást prakticky všechny druhy citlivých informací a není snadné ho odhalit. 1,93 % 3,66 %
XMRig XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017. 2,73 % 2,44 %
AZORult AZORult je trojan, který shromažďuje a odesílá data z infikovaného systému. Jakmile je malware v systému nainstalován (obvykle je šířen nějakým exploit kitem, jako třeba RIG), může odesílat uložená hesla, lokální soubory, kryptopeněženky a informace o profilu počítače na vzdálený C&C server. 0,38 % 1,52 %
Cutwail Botnet Cutwail rozesílá nevyžádané e-maily. Malware je šířen trojanem Pushdo. Boti se připojují přímo k C&C serveru a dostávají pokyny o rozesílaných e-mailech. Po dokončení úkolu nahlásí boti spammerům přesné statistiky o počtu doručených e-mailů a hlášených chybách. Cutwail mohou hackeři využít také k DDoS útokům. 0,13 % 1,52 %
Remcos Remcos je RAT (Remote Access Trojan) poprvé detekovaný v roce 2016. Remcos se šíří sám prostřednictvím škodlivých dokumentů Microsoft Office, které jsou připojeny k e-mailovému spamu. Navíc dokáže obejít UAC zabezpečení systému Microsoft Windows a spouštět malware s pokročilými právy. 1,31 % 1,52 %
GhOst Backdoor.Win32.Ghost je škodlivý backdoor, který se zaměřuje na platformu Windows. Malware umožňuje útočníkům vzdáleně ovládat infikovaný počítač. 0,38 % 1,22 %
Crackonosh Crackonosh je kryptominer, který byl vložen do craknutých populárních programů nabízených na stránkách s pirátským softwarem. Útočníci se snaží zasáhnout co nejvíce obětí, a používají proto jako zbraň cracknuté videohry. Po spuštění Crackonosh nahradí základní služby systému Windows. Hrozba se dokáže také vyhnout detekci a smazat z napadeného systému anti-malwarová řešení. 0,70 % 1,22 %
Ramnit Ramnit je modulární bankovní trojan, který byl poprvé objeven v roce 2010. Dokáže krást přihlašovací údaje ke všem službám, které oběť používá, včetně bankovních účtů, pracovních účtů a účtů na sociálních sítích. Trojan komunikuje s řídícím a velícím serverem a stahuje další moduly. 2,07 % 1,22 %

Zdroj a foto: Czech Point Research, úvodní foto: Thomas Breher, Pixabay

Podívejte se i na další zajímavé články na webu IT Revue v rubrikách Hardware, Software, Elektronika nebo Ostatní. IT Revue můžete sledovat i na Facebooku nebo Instagramu.

 

 

Reklama/Advertisement