Výzkumný tým kyberbezpečnostní společnosti Check Point Software Technologies upozorňuje na vzestup malwaru Snake Keylogger, který krade přihlašovací údaje a sleduje stisknuté klávesy
Výzkumný tým kyberbezpečnostní společnosti Check Point Software Technologies upozorňuje na vzestup malwaru Snake Keylogger, který krade přihlašovací údaje a sleduje stisknuté klávesy.
Podle celosvětového indexu dopadu hrozeb zůstal v červenci nejrozšířenějším škodlivým kódem Trickbot, ale na druhé místo se po intenzivní phishingové kampani posunul Snake Keylogger.
Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika klesla o 16 příček až na bezpečnější 82. pozici. Slovensko se v červenci také posunulo mezi bezpečnější země a to z 30. místa na 65. První, tedy nejnebezpečnější, místo patřilo Botswaně.
Snake Keylogger je modulární .NET keylogger a malware určený ke krádežím přihlašovacích údajů. Mezi jeho hlavní funkce patří zaznamenávání stisknutých kláves, krádeže přihlašovacích údajů a odesílání ukradených dat útočníkům. V posledních týdnech se Snake šířil zejména prostřednictvím phishingových e-mailů s různou tematikou.
Snake představuje hrozbu pro soukromí a online bezpečnost uživatelů, protože může krást prakticky všechny druhy citlivých informací a není snadné ho odhalit. Na hackerských fórech lze Snake Keylogger koupit za 25 až 500 dolarů, cena závisí na zvolené konfiguraci a službách.
Keyloggery jsou velmi nebezpečné, protože uživatelé mají tendenci používat stejné heslo a uživatelské jméno pro různé účty. Jakmile jsou ukradené přihlašovací údaje z jedné služby, získají kyberzločinci přístupy k celé řadě dalších služeb, proto je zásadní všude používat unikátní hesla. Pomoci s tím může třeba správce hesel, který umožní generování a správu robustních přístupových kombinací pro každou službu zvlášť.
„Pokud je to možné, neměli by uživatelé spoléhat jen na hesla, ale používat i vícefaktorové ověření nebo technologie pro jednotné přihlášení (SSO),“ říká Tomáš Růžička, SE Team leader v kyberbezpečnostní společnosti Check Point Software Technologies. „Co se používání hesel týče, nejlepší je zvolit pro každou službu unikátní silné heslo, takže i když se kyberzločinci zmocní jednoho z nich, nezískají rovnou přístup k dalším stránkám a službám. Keyloggery, jako je Snake, se často šíří prostřednictvím phishingových e-mailů, proto je důležité, aby uživatelé věděli, že si mají dávat pozor na detaily, jako jsou překlepy v odkazech a e-mailových adresách, a nikdy neklikali na podezřelé odkazy nebo neotevírali neznámé přílohy.“
Top 3 – malware:
Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vévodil v červenci Trickbot, který měl dopad na 4 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} organizací po celém světě. Na druhou příčku se posunul Snake Keylogger s dopadem na 3 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} společností, XMRig na třetím místě ovlivnil shodně 3 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} podniků.
- ↔ Trickbot – Trickbot je bankovní trojan, který je neustále vylepšován, takže je flexibilní a lze jej využít jako součást víceúčelových kampaní.
- ↑ Snake Keylogger – Snake je modulární .NET keylogger, který byl poprvé detekován koncem listopadu 2020. Mezi jeho hlavní funkce patří zaznamenávání stisknutých kláves, krádeže přihlašovacích údajů a odesílání ukradených dat útočníkům.
- ↓ XMRig – XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.
Top 3 – mobilní malware:
Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vládl znovu xHelper. Následoval malware jako služba AlienBot a Android malware Hiddad.
- ↔ xHelper – Škodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje.
- ↑ AlienBot – AlienBot je malware jako služba (MaaS) pro zařízení se systémem Android, který vzdálenému útočníkovi umožňuje vložit škodlivý kód do legitimních finančních aplikací, čímž útočník získá přístup k účtům obětí a nakonec zcela ovládne infikované zařízení.
- ↓ Hiddad – Android malware, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.
Top 3 – zranitelnosti:
Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především zranitelnost „Web Server Exposed Git Repository Information Disclosure” s dopadem na 45 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} organizací. Druhé místo obsadila zranitelnost „HTTP Headers Remote Code Execution (CVE-2020-13756)“ s dopadem na 44 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} společností a Top 3 uzavírá zranitelnost „MVPower DVR Remote Code Execution“ s dopaden na 42 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} organizací.
1. ↑ Web Server Exposed Git Repository Information Disclosure – Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu.
2. ↓ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – Vzdálený útočník může zneužít zranitelnou HTTP hlavičku ke spuštění libovolného kódu na počítači oběti.
3. ↓ MVPower DVR Remote Code Execution – Zranitelnost, umožňující vzdálené spuštění kódu, byla objevena v zařízeních MVPower DVR. Útočníci mohou vzdáleně zneužít slabinu a spustit libovolný kód v daném routeru prostřednictvím speciálně vytvořeného požadavku.
Check Point analyzoval i malware útočící na podnikové sítě v České republice. Na první místo vystřelil Snake Keylogger, který měl v ČR ještě výrazně větší dopad než ve světě. Trickbot se i nadále drží mezi nejvýznamnějšími hrozbami. Vzestup zlodějských hrozeb potvrdil i drobným růstem na třetím místě FormBook a návratem do Top 10 AgentTesla.
| Top malwarové rodiny v České republice – červenec 2021 | |||
| Malwarová rodina | Popis | Dopad ve světě | Dopad v ČR |
| Snake Keylogger | Snake je modulární .NET keylogger, který byl poprvé detekován koncem listopadu 2020. Mezi jeho hlavní funkce patří zaznamenávání stisknutých kláves, krádeže přihlašovacích údajů a odesílání ukradených dat útočníkům. Snake představuje hrozbu pro soukromí a online bezpečnost uživatelů, protože může krást prakticky všechny druhy citlivých informací a není snadné ho odhalit. | 3,05 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} | 7,48 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} |
| Trickbot | Trickbot je modulární botnet a bankovní trojan, který se zaměřuje na platformu Windows. Šířen je především spamovými kampaněmi nebo jiným malwarem, jako je například Emotet. Trickbot odesílá informace o infikovaném systému a může také stahovat a spouštět libovolné moduly, od VNC modulu pro vzdálené ovládání až po SMB modul pro šíření v uvnitř napadené sítě. Jakmile je zařízení infikované, kyberzločinci využijí moduly ke krádeži bankovních přihlašovacích údajů, k dalšímu šíření hrozby a špehování napadené organizace a poslední fází je ransomwarový útok na celou společnost. | 4,09 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} | 5,26 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} |
| FormBook | FormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru. | 2,90 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} | 3,88 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} |
| AgentTesla | AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. Agent Tesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). Agent Tesla se prodává jako legitimní RAT a zákazníci platí 15–69 dolarů za uživatelskou licenci. | 1,42 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} | 2,22 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} |
| Snakkel | Trojan zaměřený na krádeže přihlašovacích údajů. | 0,25 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} | 1,94 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} |
| Remcos | Remcos je RAT (Remote Access Trojan) poprvé detekovaný v roce 2016. Remcos se šíří sám prostřednictvím škodlivých dokumentů Microsoft Office, které jsou připojeny k e-mailovému spamu, a je navržen tak, aby obešel UAC zabezpečení systému Microsoft Windows a spouštěl malware s vysokými právy. | 1,28 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} | 1,66 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} |
Online mapa kybernetických hrozeb ThreatCloud Map sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje každý den více než 3 miliardy webových stránek a 600 milionů souborů a každý den identifikuje více než 250 milionů škodlivých aktivit.
KOMENTÁŘE