Zlodějský malware Snake Keylogger hrozbou pro české firmy

DomůKyberbezpečnost

Zlodějský malware Snake Keylogger hrozbou pro české firmy

Výzkumný tým kyberbezpečnostní společnosti Check Point Software Technologies upozorňuje na vzestup malwaru Snake Keylogger, který krade přihlašovací údaje a sleduje stisknuté klávesy

Kyberzločinci maskují malware: Zneužívají hry nebo titulky k filmům
SentinelOne v Česku investuje miliardu, do nové pobočky hledá 300 developerů
Huawei a ZTE se nemohou účastnit tendru pražského letiště
Avast vydává dešifrovací nástroj k vyděračskému ransomwaru Rhysida

Výzkumný tým kyberbezpečnostní společnosti Check Point Software Technologies upozorňuje na vzestup malwaru Snake Keylogger, který krade přihlašovací údaje a sleduje stisknuté klávesy.

Podle celosvětového indexu dopadu hrozeb zůstal v červenci nejrozšířenějším škodlivým kódem Trickbot, ale na druhé místo se po intenzivní phishingové kampani posunul Snake Keylogger.

Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika klesla o 16 příček až na bezpečnější 82. pozici. Slovensko se v červenci také posunulo mezi bezpečnější země a to z 30. místa na 65. První, tedy nejnebezpečnější, místo patřilo Botswaně.

Snake Keylogger je modulární .NET keylogger a malware určený ke krádežím přihlašovacích údajů. Mezi jeho hlavní funkce patří zaznamenávání stisknutých kláves, krádeže přihlašovacích údajů a odesílání ukradených dat útočníkům. V posledních týdnech se Snake šířil zejména prostřednictvím phishingových e-mailů s různou tematikou.

Snake představuje hrozbu pro soukromí a online bezpečnost uživatelů, protože může krást prakticky všechny druhy citlivých informací a není snadné ho odhalit. Na hackerských fórech lze Snake Keylogger koupit za 25 až 500 dolarů, cena závisí na zvolené konfiguraci a službách.

Keyloggery jsou velmi nebezpečné, protože uživatelé mají tendenci používat stejné heslo a uživatelské jméno pro různé účty. Jakmile jsou ukradené přihlašovací údaje z jedné služby, získají kyberzločinci přístupy k celé řadě dalších služeb, proto je zásadní všude používat unikátní hesla. Pomoci s tím může třeba správce hesel, který umožní generování a správu robustních přístupových kombinací pro každou službu zvlášť.

„Pokud je to možné, neměli by uživatelé spoléhat jen na hesla, ale používat i vícefaktorové ověření nebo technologie pro jednotné přihlášení (SSO),“ říká Tomáš Růžička, SE Team leader v kyberbezpečnostní společnosti Check Point Software Technologies. „Co se používání hesel týče, nejlepší je zvolit pro každou službu unikátní silné heslo, takže i když se kyberzločinci zmocní jednoho z nich, nezískají rovnou přístup k dalším stránkám a službám. Keyloggery, jako je Snake, se často šíří prostřednictvím phishingových e-mailů, proto je důležité, aby uživatelé věděli, že si mají dávat pozor na detaily, jako jsou překlepy v odkazech a e-mailových adresách, a nikdy neklikali na podezřelé odkazy nebo neotevírali neznámé přílohy.“

Top 3 – malware:

Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vévodil v červenci Trickbot, který měl dopad na 4 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} organizací po celém světě. Na druhou příčku se posunul Snake Keylogger s dopadem na 3 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} společností, XMRig na třetím místě ovlivnil shodně 3 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} podniků.

  1. ↔ Trickbot – Trickbot je bankovní trojan, který je neustále vylepšován, takže je flexibilní a lze jej využít jako součást víceúčelových kampaní.
  2. ↑ Snake Keylogger – Snake je modulární .NET keylogger, který byl poprvé detekován koncem listopadu 2020. Mezi jeho hlavní funkce patří zaznamenávání stisknutých kláves, krádeže přihlašovacích údajů a odesílání ukradených dat útočníkům.
  3. ↓ XMRig – XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.

Top 3 – mobilní malware:

Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vládl znovu xHelper. Následoval malware jako služba AlienBot a Android malware Hiddad.

  1. ↔ xHelper – Škodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje.
  2. ↑ AlienBot – AlienBot je malware jako služba (MaaS) pro zařízení se systémem Android, který vzdálenému útočníkovi umožňuje vložit škodlivý kód do legitimních finančních aplikací, čímž útočník získá přístup k účtům obětí a nakonec zcela ovládne infikované zařízení.
  3. ↓ Hiddad – Android malware, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.

Top 3 – zranitelnosti:

Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především zranitelnost „Web Server Exposed Git Repository Information Disclosure” s dopadem na 45 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} organizací. Druhé místo obsadila zranitelnost „HTTP Headers Remote Code Execution (CVE-2020-13756)“ s dopadem na 44 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} společností a Top 3 uzavírá zranitelnost „MVPower DVR Remote Code Execution“ s dopaden na 42 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} organizací.

1.      Web Server Exposed Git Repository Information Disclosure – Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu.

2.      HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – Vzdálený útočník může zneužít zranitelnou HTTP hlavičku ke spuštění libovolného kódu na počítači oběti.

3.      MVPower DVR Remote Code Execution – Zranitelnost, umožňující vzdálené spuštění kódu, byla objevena v zařízeních MVPower DVR. Útočníci mohou vzdáleně zneužít slabinu a spustit libovolný kód v daném routeru prostřednictvím speciálně vytvořeného požadavku.

Check Point analyzoval i malware útočící na podnikové sítě v České republice. Na první místo vystřelil Snake Keylogger, který měl v ČR ještě výrazně větší dopad než ve světě. Trickbot se i nadále drží mezi nejvýznamnějšími hrozbami. Vzestup zlodějských hrozeb potvrdil i drobným růstem na třetím místě FormBook a návratem do Top 10 AgentTesla.

Top malwarové rodiny v České republice – červenec 2021
Malwarová rodina Popis Dopad ve světě Dopad v ČR
Snake Keylogger Snake je modulární .NET keylogger, který byl poprvé detekován koncem listopadu 2020. Mezi jeho hlavní funkce patří zaznamenávání stisknutých kláves, krádeže přihlašovacích údajů a odesílání ukradených dat útočníkům. Snake představuje hrozbu pro soukromí a online bezpečnost uživatelů, protože může krást prakticky všechny druhy citlivých informací a není snadné ho odhalit. 3,05 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} 7,48 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762}
Trickbot Trickbot je modulární botnet a bankovní trojan, který se zaměřuje na platformu Windows. Šířen je především spamovými kampaněmi nebo jiným malwarem, jako je například Emotet. Trickbot odesílá informace o infikovaném systému a může také stahovat a spouštět libovolné moduly, od VNC modulu pro vzdálené ovládání až po SMB modul pro šíření v uvnitř napadené sítě. Jakmile je zařízení infikované, kyberzločinci využijí moduly ke krádeži bankovních přihlašovacích údajů, k dalšímu šíření hrozby a špehování napadené organizace a poslední fází je ransomwarový útok na celou společnost. 4,09 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} 5,26 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762}
FormBook FormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru. 2,90 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} 3,88 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762}
AgentTesla AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. Agent Tesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). Agent Tesla se prodává jako legitimní RAT a zákazníci platí 15–69 dolarů za uživatelskou licenci. 1,42 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} 2,22 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762}
Snakkel Trojan zaměřený na krádeže přihlašovacích údajů. 0,25 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} 1,94 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762}
Remcos Remcos je RAT (Remote Access Trojan) poprvé detekovaný v roce 2016. Remcos se šíří sám prostřednictvím škodlivých dokumentů Microsoft Office, které jsou připojeny k e-mailovému spamu, a je navržen tak, aby obešel UAC zabezpečení systému Microsoft Windows a spouštěl malware s vysokými právy. 1,28 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} 1,66 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762}

Online mapa kybernetických hrozeb ThreatCloud Map sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje každý den více než 3 miliardy webových stránek a 600 milionů souborů a každý den identifikuje více než 250 milionů škodlivých aktivit.

KOMENTÁŘE

WORDPRESS: 0
DISKUZE 0