TM_326

10 13|7|2023 #326 Η Check Point Software Technologies δη μοσίευσε τον Πα- γκόσμιο Δείκτη Απειλών (Global Threat Index) για τον Ιούνιο του 2023. Οι ερευνητές διαπίστωσαν ότι το Trojan Qbot είναι το πιο διαδεδομένο κακόβουλο λογισμικό για το 1ο εξάμηνο του 2023, καταλαμβάνοντας την πρώτη θέση στους πέντε από τους έξι μήνες μέχρι σήμερα. Εν τω μεταξύ, το mobile Trojan SpinOk έφτασε στην κορυφή της λίστας κακόβουλου λογισμικού για πρώτη φορά μετά τον εντοπισμό του τον περασμένο μήνα, ενώ το ransomware έγινε επίσης ευρέως γνωστό μετά από μια ευ- πάθεια zero-day στο λογισμικό κοινής χρήσης αρχείων MOVEIt. Το Qbot, το οποίο εμφανίστηκε αρχικά το 2008 ως τραπεζικό Trojan, αναπτύσσεται συνεχώς, αποκτώντας πρόσθετες λει- τουργίες με σκοπό την κλοπή κωδικών πρόσβασης, μηνυμάτων ηλεκτρονικού ταχυδρομείου και στοιχείων πιστωτικών καρτών. Συνήθως διαδίδεται μέσω μηνυμάτων spam και χρησιμοποιεί διάφορες τεχνικές, όπως μεθόδους anti-VM, anti-debugging και anti-sandbox, για να παρεμποδίζει την ανάλυση και να αποφεύγει τον εντοπισμό. Επί του παρόντος, ο πρωταρχικός του ρόλος είναι να λειτουργεί ως loader για άλλο κακόβου- λο λογισμικό, λειτουργώντας ως σκαλοπάτι για τους δράστες ransomware επιθέσεων. Εντωμεταξύ, οι ερευνητές ανακάλυψαν ένα παραγωγικό κακό- βουλο λογισμικό για κινητά τηλέφωνα που έχει συγκεντρώσει μέχρι στιγμής 421 εκατομμύρια λήψεις. Τον περασμένο μήνα, για πρώτη φορά, το Trojanized Software Development Kit (SDK) SpinOk έφτασε στην κορυφή των οικογενειών κακόβουλου λο- γισμικού για κινητά. Χρησιμοποιημένο από πολλές δημοφιλείς εφαρμογές για σκοπούς marketing, αυτό το κακόβουλο λογι- σμικό έχει διεισδύσει σε εξαιρετικά δημοφιλείς εφαρμογές και παιχνίδια, ορισμένα από τα οποία ήταν διαθέσιμα στο Google Play Store. Ικανό να κλέβει ευαίσθητες πληροφορίες από τις συσκευές και να παρακολουθεί τις δραστηριότητες του πρόχει- ρου, το κακόβουλο λογισμικό SpinOk αποτελεί σοβαρή απειλή για την ιδιωτικότητα και την ασφάλεια των χρηστών, υπογραμ- μίζοντας την ανάγκη για προληπτικά μέτρα προστασίας των προσωπικών δεδομένων και των κινητών συσκευών. Αποτελεί επίσης μια έντονη υπενθύμιση των καταστροφικών δυνατοτή- των των επιθέσεων στην αλυσίδα εφοδιασμού λογισμικού. Τον περασμένο μήνα ξεκίνησε, επίσης, μια μεγάλης κλίμακας εκστρατεία ransomware που επηρέασε οργανισμούς σε όλο τον κόσμο. Τον Μάιο του 2023, η Progress Software Corporation αποκάλυψε μια ευπάθεια στα MOVEit Transfer και MOVEit Cloud (CVE-2023-34362) που θα μπορούσε να επιτρέψει μη εξουσιοδο- τημένη πρόσβαση στο περιβάλλον. Παρά την επιδιόρθωσή της εντός 48 ωρών, εγκληματίες του κυβερνοχώρου που συνδέονται με την ομάδα ransomware Clop, η οποία συνδέεται με τη Ρωσία, εκμεταλλεύτηκαν την ευπάθεια και εξαπέλυσαν επίθεση στην αλυσίδα εφοδιασμού εναντίον χρηστών του MOVEit. Μέχρι σή- μερα, 108 οργανισμοί – μεταξύ των οποίων επτά πανεπιστήμια των ΗΠΑ – έχουν καταγραφεί επίσημα σε λίστα, μετά το περιστα- τικό, με εκατοντάδες χιλιάδες αρχεία τους να έχουν υποκλαπεί. Κορυφαίες οικογένειες κακόβουλου λογισμικού Το Qbot ήταν το πιο διαδεδομένο κακόβουλο λογισμικό τον περασμένο μήνα με αντίκτυπο 7% σε παγκόσμιους οργανι- σμούς, ακολουθούμενο από το Formbook με παγκόσμιο αντί- κτυπο 4% και το Emotet με παγκόσμιο αντίκτυπο 3%. Είναι ένα κακόβουλο λογισμικό πολλαπλών χρήσεων που εμφανίστηκε για πρώτη φορά το 2008. Σχεδιάστηκε για να κλέβει τα διαπι- στευτήρια ενός χρήστη, να καταγράφει πληκτρολογήσεις, να κλέβει cookies από προγράμματα περιήγησης, να κατασκο- πεύει τραπεζικές δραστηριότητες και να αναπτύσσει πρόσθετο κακόβουλο λογισμικό. Συχνά διανέμεται μέσω spam email, το Qbot χρησιμοποιεί διάφορες τεχνικές anti-VM, anti-debugging και anti-sandbox για να εμποδίσει την ανάλυση και να αποφύγει την ανίχνευση. Το Formbook είναι ένα Infostealer που στοχεύει το λειτουργικό σύστημα Windows και εντοπίστηκε για πρώτη φορά το 2016. Διατίθεται στην αγορά ως κακόβουλο λογισμικό ως υπηρεσία (Malware as a Service - MaaS) σε υπόγεια φόρουμ hacking για τις ισχυρές τεχνικές αποφυγής και τη σχετικά χαμηλή τιμή του. Το FormBook συλλέγει διαπιστευτήρια από διάφορα προγράμ- ματα περιήγησης στο διαδίκτυο, συλλέγει στιγμιότυπα οθόνης, παρακολουθεί και καταγράφει τις πληκτρολογήσεις και μπορεί να κατεβάζει και να εκτελεί αρχεία σύμφωνα με εντολές από το C&C του. Το Emotet είναι ένα προηγμένο, αυτοδιαδιδόμενο και αρθρω- τό Trojan. Το Emotet κάποτε χρησιμοποιούταν ως τραπεζικός Trojan και πρόσφατα έγινε διανομέας για άλλα κακόβουλα προ- γράμματα ή κακόβουλες καμπάνιες. Χρησιμοποιεί πολλαπλές μεθόδους για τη διατήρηση της «επιμονής» και τις τεχνικές «αποφυγής», για την αποφυγή ανίχνευσης. Επιπλέον, μπορεί να διαδοθεί μέσω phishing spam e-mail που περιέχουν κακόβου- λα συνημμένα ή συνδέσμους. Check Point Παγκόσμιος δείκτης απειλών για τον Ιούνιο