Cybersecurity bedrijf Check Point constateert een sterke toename van het Emotet-botnet dat spamcampagnes verspreidt na een periode van inactiviteit, met als doel bankgegevens te stelen en zich te verspreiden binnen gerichte netwerken.
Wat was malware ook alweer
Malware is een afkorting van de Engelse woorden “MALicious softWARE” of te wel “Schadelijke Software”, “kwaadaardige software”.
Eenvoudig gezegd is Malware een stukje software dat is geschreven met de bedoeling schade toe te brengen aan gegevens, apparaten, software en apps. Software die speciaal is ontworpen om toegang te krijgen of een computer te beschadigen zonder medeweten van de eigenaar. Meer info over malware, vind je hier.
Top 10 malware
In de maand juli is Emotet de meest populaire malware met een wereldwijde impact van 5% van de organisaties, op de voet gevolgd door Dridex en Agent Tesla die elk 4% van de organisaties treffen .
1.↑ Emotet
Emotet is een geavanceerde, zichzelf voortplantende en modulaire Trojan.
Emotet was oorspronkelijk een banktrojan, maar wordt recentelijk gebruikt als distributeur van andere malware of kwaadaardige campagnes.
Het gebruikt meerdere methoden om persistentie- en ontwijking technieken in stand te houden om detectie te voorkomen. Bovendien kan het worden verspreid via phishing-spam-e-mails met kwaadaardige bijlagen of links.
2.↑ Dridex
Dridex is een Trojaans paard dat zich richt op het Windows-platform en naar verluidt wordt gedownload via een spam-e-mailbijlage.
Dridex neemt contact op met een externe server en verstuurt informatie over het geïnfecteerde systeem. Het kan ook willekeurige modules downloaden en uitvoeren die zijn ontvangen van de externe server.
3.↓ Agent Tesla
Agent Tesla is een geavanceerde RAT die functioneert als een keylogger en informatie deler die in staat is om de toetsenbord invoer van het slachtoffer, het systeem klembord, het maken van screenshots en het exfiltreren van inloggegevens van een verscheidenheid aan software die op de computer van een slachtoffer is geïnstalleerd (inclusief Google Chrome, Mozilla Firefox en Microsoft Outlook e-mailclient).
4.↑ Trickbot
Trickbot is een dominante multifunctionele bot die voortdurend wordt bijgewerkt met nieuwe mogelijkheden, functies en distributievectoren.
Hierdoor is Trickbot een flexibele en aanpasbare malware die kan worden verspreid als onderdeel van campagnes met meerdere doelen.
5.↑ Formbook
Formbook is een infoStealer die inloggegevens verzamelt van verschillende webbrowsers, screenshots verzamelt, toetsaanslagen bewaakt en registreert, en bestanden kan downloaden en uitvoeren volgens zijn C & C-orders.
6.↓ XMRig
XMRig is open-source CPU-mijnsoftware die wordt gebruikt voor het mijnbouwproces van de Monero-cryptocurrency en voor het eerst gezien in mei 2017.
7.↑ Mirai
Mirai is een bekende Internet-of-Things (IoT) malware die kwetsbare IoT-apparaten opspoort, zoals webcamera's, modems en routers, en deze in bots verandert.
Het botnet wordt door zijn operators gebruikt om massale Distribute Denial of Service (DDoS) -aanvallen uit te voeren.
8.↓ Ramnit
Ramnit is een banktrojan die bankgegevens, FTP-wachtwoorden, sessiecookies en persoonlijke gegevens steelt.
9.↓ Glupteba
Glupteba is een achterdeur die geleidelijk uitgroeide tot een botnet.
In 2019 omvatte het een C & C-adresupdatemechanisme via openbare BitCoin-lijsten, een integrale browser-stealer-mogelijkheid en een router-exploitant.
10.↑ RigEK
RigEK levert exploits voor Flash, Java, Silverlight en Internet Explorer. De infectieketen begint met een omleiding naar een landingspagina die JavaScript bevat dat controleert op kwetsbare plug-ins en de exploit levert.
Emotet
De nieuwste Global Threat Index voor de maand juli 2020 is gebleken dat na vijf maanden afwezigheid, Emotet weer gestegen is tot 1 ste plaats in de Index.
Sinds februari 2020 begonnen de activiteiten van Emotet - voornamelijk het verzenden van golven van malspam-campagnes - te vertragen en stopten ze uiteindelijk, totdat ze weer opduiken in juli. Dit patroon werd waargenomen in 2019 toen het Emotet-botnet zijn activiteit stopte tijdens de zomermaanden, maar in september werd hervat.
TrickBot en Qbot
In juli verspreidde Emotet malspam-campagnes en infecteerde het zijn slachtoffers met TrickBot en Qbot, die worden gebruikt om bankgegevens te stelen en zich binnen netwerken te verspreiden.
Sommige van de malspam-campagnes bevatten een kwaadaardig doc-bestand met namen als "form.doc" of "factuur.doc". Volgens onderzoekers lanceert het kwaadaardige document een PowerShell om het Emotet-binaire bestand van externe websites te halen en machines te infecteren en toe te voegen aan het botnet.
De hervatting van de activiteiten van Emotet onderstreept de schaal en kracht van het botnet wereldwijd.
Emotet eerder dit jaar inactief
Het is interessant dat Emotet eerder dit jaar enkele maanden inactief was en een patroon herhaalde dat Check Point voor het eerst zag in 2019.
Onderzoekers gaan ervan uit dat de ontwikkelaars achter het botnet de functies en mogelijkheden aan het updaten waren. Maar aangezien het weer actief is, moeten organisaties werknemers leren hoe ze de soorten malspam kunnen identificeren die deze bedreigingen met zich meebrengen en waarschuwen voor de risico's van het openen van e-mailbijlagen of het klikken op links van externe bronnen.
Bedrijven moeten ook kijken naar het inzetten van anti-malware oplossingen die kunnen voorkomen dat dergelijke inhoud eindgebruikers bereikt.
Meest misbruikte kwetsbaarheden
Deze maand is "MVPower DVR Remote Code Execution" de meest voorkomende misbruikte kwetsbaarheid, die 44% van de organisaties wereldwijd treft , gevolgd door "OpenSSL TLS DTLS Heartbeat Information Disclosure", die 42% van de organisaties wereldwijd treft . " Command Injection Over HTTP Payload" staat op de derde plaats, met een wereldwijde impact van 38%.
1.↑ MVPower DVR Remote Code Execution
Een kwetsbaarheid voor het uitvoeren van externe code in MVPower DVR-apparaten. Een externe aanvaller kan deze zwakte misbruiken om via een vervaardigd verzoek willekeurige code in de getroffen router uit te voeren.
2.↓ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346)
Een beveiligingslek met betrekking tot het vrijgeven van informatie in OpenSSL. Het beveiligingslek is te wijten aan een fout bij het verwerken van TLS / DTLS-heartbeat-pakketten.
Een aanvaller kan dit beveiligingslek gebruiken om de geheugeninhoud van een aangesloten client of server vrij te geven.
3.↑ Commando-injectie via HTTP-payload
Er is melding gemaakt van een beveiligingslek met betrekking tot het injecteren van opdrachten via HTTP-payload.
Een externe aanvaller kan dit probleem misbruiken door een speciaal ontworpen verzoek naar het slachtoffer te sturen. Succesvol misbruik zou een aanvaller in staat stellen willekeurige code op de doelcomputer uit te voeren.
4.↔ Dasan GPON Router Authentication Bypass (CVE-2018-10561)
Er bestaat een beveiligingslek met betrekking tot authenticatie omzeilen in Dasan GPON-routers.
Succesvol misbruik van dit beveiligingslek zou aanvallers op afstand in staat stellen om gevoelige informatie te verkrijgen en ongeautoriseerde toegang te krijgen tot het getroffen systeem.
5.↑ HTTP-headers Uitvoering van externe code (CVE-2020-13756)
HTTP-headers laten de client en de server aanvullende informatie doorgeven met een HTTP-verzoek.
Een externe aanvaller kan een kwetsbare HTTP-header gebruiken om willekeurige code op de slachtoffercomputer uit te voeren.
6.↑ Apache Struts2 Content-Type Remote Code Execution
Er bestaat een beveiligingslek met betrekking tot het uitvoeren van externe code in de Apache Struts2 met behulp van Jakarta multipart parser.
Een aanvaller kan misbruik maken van dit beveiligingslek door een ongeldig inhoudstype te verzenden als onderdeel van een bestand upload verzoek. Succesvol misbruik kan leiden tot de uitvoering van willekeurige code op het getroffen systeem.
7.↓ Web Server Exposed Git Repository Informatie vrijgeven
Er is een beveiligingslek met betrekking tot het vrijgeven van informatie gerapporteerd in Git Repository.
Succesvol misbruik van dit beveiligingslek kan leiden tot onbedoelde openbaarmaking van accountgegevens.
8.↑ SQL-injectie (verschillende technieken)
Het invoegen van een injectie van SQL-query's in de invoer van client naar applicatie, terwijl een beveiligingsprobleem in de software van een applicatie wordt misbruikt.
9.↑ PHP php-cgi query string parameter code uitvoering
Er is melding gemaakt van een beveiligingslek met betrekking tot het uitvoeren van externe code in PHP. De kwetsbaarheid is te wijten aan het onjuist parseren en filteren van queryreeksen door PHP.
Een externe aanvaller kan dit probleem misbruiken door vervaardigde HTTP-verzoeken te verzenden. Succesvol misbruik zou een aanvaller in staat stellen willekeurige code op het doelwit uit te voeren.
10.↓ WordPress portable-phpMyAdmin Plugin Authentication Bypass
Er bestaat een beveiligingslek met betrekking tot authenticatie omzeilen in de WordPress portable-phpMyAdmin Plugin.
Succesvol misbruik van dit beveiligingslek zou aanvallers op afstand in staat stellen om gevoelige informatie te verkrijgen en ongeautoriseerde toegang te krijgen tot het getroffen systeem.
Kwetsbaarheden
Het onderzoeksteam waarschuwt ook dat "MVPower DVR Remote Code Execution" de meest voorkomende kwetsbaarheid is, die 44% van de organisaties wereldwijd treft, gevolgd door "OpenSSL TLS DTLS Heartbeat Information Disclosure", die 42% van de organisaties wereldwijd treft. "Command Injection Over HTTP Payload" staat op de derde plaats, met een wereldwijde impact van 38%.
Top mobiele malware families
Deze maand is xHelper de meest populaire malware, gevolgd door Necro en PreAMo.
1.xHelper
Een kwaadaardige applicatie die sinds maart 2019 is gespot, gebruikt voor het downloaden van andere kwaadaardige apps en het weergeven van advertenties.
De applicatie kan zichzelf verbergen voor de gebruiker en zichzelf opnieuw installeren voor het geval deze is verwijderd.
2.Necro
Necro is een Android Trojan Dropper. Het kan andere malware downloaden, opdringerige advertenties weergeven en geld stelen door betaalde abonnementen in rekening te brengen.
3.PreAMo
PreAmo is een Android-malware die de gebruiker imiteert door op banners te klikken die zijn opgehaald van drie reclamebureaus: Presage, Admob en Mopub.
Bron: checkpoint.com, diverse, hackers