Přeskočit na obsah

FormBook se stal nejčastější hrozbou pro světové i české počítačové sítě

Podle Celosvětového indexu dopadu hrozeb byl v srpnu nejrozšířenějším malwarem FormBook.

Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se nadále drží na bezpečnější 80. pozici, Slovensko v srpnu také nezaznamenalo výraznější posun a patřila mu 63. příčka. Na první místo se posunula Etiopie, která se v posledních měsících drží dlouhodobě mezi nejnebezpečnějšími zeměmi. Mezi méně bezpečné země se posunula Nigérie, které v červenci patřila 83. pozice a v srpnu 23., a Bahrajn, který z 81. příčky vyskočil až na 32. místo.

Bankovní trojan Qbot patřil řadu měsíců mezi nejrozšířenější škodlivé kódy, ale jeho provozovatelé přes léto nebyli aktivní, takže vypadl z Top 10. Naopak trojan pro vzdálený přístup Remcos se vyhoupl až na 6. příčku a letos se do Top 10 dostal vůbec poprvé.

FormBook byl poprvé odhalen v roce 2016 a jedná se o zlodějský malware, který krade přihlašovací údaje z webových prohlížečů, pořizuje snímky obrazovky, sleduje stisknuté klávesy a může stahovat a spouštět soubory na základě příkazů z řídícího a velícího (C&C) serveru. FormBook byl nyní distribuován také prostřednictvím kampaní s koronavirovou tématikou a pomocí phishingových e-mailů. Check Point v červenci informoval, že nový kmen nazvaný XLoader cílí na uživatele systému MacOS.

Top 3 – malware:

Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vévodil v srpnu FormBook, který měl dopad na 4,5 % organizací po celém světě. Na druhou příčku klesl Trickbot s dopadem na 4 % společností, AgentTesla na třetím místě ovlivnil 3 % podniků.

1. ↑ FormBook – FormBook krade přihlašovací údaje z webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru.

2. ↓ Trickbot – Trickbot je bankovní trojan, který je neustále vylepšován, takže je flexibilní a lze jej využít jako součást víceúčelových kampaní.

3. ↑ AgentTesla – AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook).

Top 3 – mobilní malware:

Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vládl znovu xHelper. Následoval „malware jako služba“ AlienBot a Android botnet FluBot.

1. ↔ xHelper – Škodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje.

2. ↔ AlienBot – AlienBot je malware jako služba (MaaS) pro zařízení se systémem Android, který vzdálenému útočníkovi umožňuje vložit škodlivý kód do legitimních finančních aplikací, čímž útočník získá přístup k účtům obětí a nakonec zcela ovládne infikované zařízení.

3. ↑ FluBot – FluBot je Android botnet, který se šíří prostřednictvím phishingových SMS zpráv, nejčastěji se vydávajících za zprávy od přepravních společností. Jakmile uživatel klikne na odkaz ve zprávě, FluBot se nainstaluje a získá přístup ke všem citlivým informacím v telefonu.

Top 3 – zranitelnosti:

Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především zranitelnost „Web Server Exposed Git Repository Information Disclosure” s dopadem na 45 % organizací. Druhé místo obsadila zranitelnost „HTTP Headers Remote Code Execution (CVE-2020-13756)“ s dopadem na 43 % společností a Top 3 uzavírá zranitelnost „Dasan GPON Router Authentication Bypass“ s dopaden na 40 % organizací.

1. ↔ Web Server Exposed Git Repository Information Disclosure – Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu.

2. ↔ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – Vzdálený útočník může zneužít zranitelnou HTTP hlavičku ke spuštění libovolného kódu na počítači oběti.

3. ↑ Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Zranitelnost umožňuje obejít ověření v routerech Dasan GPON. Úspěšné zneužití by umožnilo útočníkům získat citlivé informace a neoprávněný přístup do postiženého systému.

Check Point analyzoval i malware útočící na podnikové sítě v České republice. Zlodějský malware Snake Keylogger po raketovém vzestupu v červenci v srpnu vypadl z Top 10. Na první příčku se tak posunul FormBook, další škodlivý kód zaměřený na krádeže dat a přihlašovacích údajů. Na české organizace také útočí poměrně výrazně spyware Joker, který v minulosti opakovaně pronikl na Google Play.

TZ

@RadekVyskovsky

Zdroj: IT SECURITY NETWORK NEWS

Zdroj: ICT NETWORK NEWS