Raderad skadlig kod gör comeback – detta är de vanligaste skadliga koderna i december 2023

Forskare upptäckte ett återupplivande av Qbot malware, som upptäcktes i nätfiskeförsök riktade mot besöksnäringen. Under tiden hoppade nedladdaren FakeUpdates till första plats.

Vårt senaste globala hotindex för december 2023 såg forskare identifiera återuppståndelsen av Qbot, fyra månader efter att amerikanska och internationella brottsbekämpande myndigheter avvecklade dess infrastruktur i Operation Duck Hunt i augusti 2023. Samtidigt hoppade JavaScript-nedladdaren FakeUpdates till första plats och utbildning förblev den mest påverkade industri över hela världen.

Förra månaden användes Qbot skadlig kod av cyberbrottslingar som en del av en begränsad nätfiskeattack riktad mot organisationer inom hotellsektorn. I kampanjen upptäckte forskare att hackare imiterade IRS och skickade skadliga e-postmeddelanden som innehöll PDF-bilagor med inbäddade webbadresser länkade till ett Microsoft-installationsprogram. När det väl aktiverats utlöste detta en osynlig version av Qbot som utnyttjade ett inbäddat Dynamic Link Library (DLL). Före nedtagningen i augusti dominerade Qbot hotindexet och rankades som en av de tre vanligaste skadliga programmen under 10 månader i rad. Även om det inte har återvänt till listan, kommer de kommande månaderna att avgöra om det kommer att återta den ryktbarhet den hade tidigare.

Samtidigt fortsatte FakeUpdates sin uppgång till toppen efter att ha dykt upp igen i slutet av 2023 och nådde förstaplatsen med en global effekt på 2%. Nanocore behöll också en topp fem-position under sex månader i rad och tog tredjeplatsen i december, och det kom nya bidrag från Ramnit och Glupteba.

Att se Qbot i naturen mindre än fyra månader efter att dess distributionsinfrastruktur avvecklades är en påminnelse om att även om vi kan störa skadliga kampanjer, kommer aktörerna bakom dem att anpassa sig med ny teknik. Det är därför organisationer uppmuntras att anta ett förebyggande tillvägagångssätt för slutpunktssäkerhet och utföra due diligence om ursprunget och syftet med ett e-postmeddelande.

HLR avslöjade också att “Apache Log4j Remote Code Execution (CVE-2021-44228) och “Web Servers Malicious URL Directory Traversal” var de mest utnyttjade sårbarheterna som drabbade 46 % av organisationer världen över. “Zyxel ZyWALL Command Injection (CVE-2023-28771)” följde tätt med en global effekt på 43 %.

Populära skadliga programfamiljer

*Pilarna hänför sig till förändringen i rang jämfört med föregående månad.

FakeUpdates och Formbook var de vanligaste skadliga programmen förra månaden med en inverkan på 2 % globala organisationer, följt av Nanocore med en global effekt på 1 %.

1. ↑ FakeUpdates – FakeUpdates (AKA SocGholish) är ett nedladdningsverktyg skrivet i JavaScript. Den skriver nyttolasten till disken innan den startar dem. FakeUpdates kan leda till ytterligare kompromisser via ytterligare skadlig programvara, inklusive GootLoader, Dridex, NetSupport, DoppelPaymer och AZORult.
2. ↓ Formbook – Formbook är en Infostealer som riktar sig mot Windows OS och upptäcktes först 2016. Det marknadsförs som Malware as a Service (MaaS) i underjordiska hackingforum för dess starka undanflyktstekniker och relativt låga pris. Formbook samlar in referenser från olika webbläsare, samlar in skärmdumpar, övervakar och loggar tangenttryckningar och kan ladda ner och köra filer enligt order från dess C&C.
3. ↑ Nanocore – Nanocore är en fjärråtkomsttrojan som riktar sig till Windows-operativsystemanvändare och observerades först i naturen 2013. Alla versioner av RAT innehåller grundläggande plugins och funktioner som skärmdump, brytning av kryptovaluta, fjärrkontroll av skrivbordet och webbkamerasession stöld.
4. ↓ Remcos – Remcos är en RAT som först dök upp i naturen 2016. Remcos distribuerar sig själv genom skadliga Microsoft Office-dokument, som är bifogade till SPAM-e-postmeddelanden, och är utformad för att kringgå Microsoft Windows UAC-säkerhet och exekvera skadlig programvara med högnivåprivilegier.
5. ↑ AsyncRat – AsyncRat är en trojan som riktar sig mot Windows-plattformen. Denna skadliga programvara skickar information om det riktade systemet till en fjärrserver. Den tar emot kommandon från servern för att ladda ner och köra plugins, döda processer, avinstallera/uppdatera sig själv och ta skärmdumpar av det infekterade systemet.
6. ↓ AgentTesla – AgentTesla är en avancerad RAT som fungerar som en keylogger och informationsstöldare, som kan övervaka och samla in offrets tangentbordsinmatning, systemtangentbord, ta skärmdumpar och exfiltrera autentiseringsuppgifter till en mängd olika programvaror installerade på offrets dator (inklusive Google Chrome, Mozilla Firefox och e-postklienten Microsoft Outlook).
7. ↑ Phorpiex – Phorpiex är ett botnät (alias Trik) som har varit aktivt sedan 2010 och som på sin topp kontrollerade mer än en miljon infekterade värdar. Det är känt för att distribuera andra skadliga programfamiljer via spamkampanjer samt för att driva på storskaliga spam- och sextortionskampanjer.
8. ↓ NJRat – NJRat är en trojan med fjärråtkomst, som främst riktar sig till statliga myndigheter och organisationer i Mellanöstern. Trojanen dök upp först 2012 och har flera funktioner: fånga tangenttryckningar, komma åt offrets kamera, stjäla referenser lagrade i webbläsare, ladda upp och ladda ner filer, utföra process- och filmanipulationer och titta på offrets skrivbord. NJRat infekterar offer via nätfiskeattacker och drive-by-nedladdningar, och sprider sig via infekterade USB-nycklar eller nätverksenheter, med stöd av Command & Control-serverprogramvara.
9. ↑ Ramnit – Ramnit-trojanen är en typ av skadlig programvara som kan exfiltrera känslig data. Den här typen av data kan innehålla allt från bankuppgifter, FTP-lösenord, sessionscookies och personlig data.
10. ↑ Glupteba – Glupteba är känt sedan 2011 och är en bakdörr som gradvis mognat till ett botnät. År 2019 inkluderade den en C&C-adressuppdateringsmekanism genom offentliga Bitcoin-listor, en integrerad webbläsarstjälkapacitet och en routerutnyttjare.

Toppexploaterade sårbarheter  

Förra månaden var “Apache Log4j Remote Code Execution (CVE-2021-44228)” och “Web Servers Malicious URL Directory Traversal” de mest utnyttjade sårbarheterna, som påverkade 46 % av organisationerna globalt, följt av “Zyxel ZyWALL Command Injection (CVE-2023) -28771)” med en global effekt på 43 % .

1. ↑ Apache Log4j Remote Code Execution (CVE-2021-44228) – Det finns en sårbarhet för fjärrkörning av kod i Apache Log4j. Ett framgångsrikt utnyttjande av denna sårbarhet kan tillåta en fjärrangripare att exekvera godtycklig kod på det drabbade systemet.
2. ↔ Webbservrar skadlig URL-katalogövergång (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,-72501,-72501,CVE-72541,- CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2602,CVE-2602 ) Det finns en sårbarhet för katalogövergång på olika webbservrar. Sårbarheten beror på ett indatavalideringsfel i en webbserver som inte korrekt sanerar URI:n för kataloggenomgångsmönstren. Framgångsrik exploatering tillåter oautentiserade fjärrangripare att avslöja eller komma åt godtyckliga filer på den sårbara servern.
3. ↔ Zyxel ZyWALL Command Injection (CVE-2023-28771) – Det finns en sårbarhet för kommandoinjektion i Zyxel ZyWALL. Ett framgångsrikt utnyttjande av denna sårbarhet skulle tillåta fjärrangripare att utföra godtyckliga OS-kommandon i det påverkade systemet.
4. ↓ Kommandoinjektion över HTTP (CVE-2021-43936, CVE-2022-24086) – En sårbarhet för kommandoinjektion över HTTP har rapporterats. En fjärrangripare kan utnyttja det här problemet genom att skicka en specialgjord begäran till offret. Framgångsrik exploatering skulle tillåta en angripare att exekvera godtycklig kod på måldatorn.
5. ↑ PHP Easter Egg Information Disclosure (CVE-2015-2051) – En sårbarhet för informationsröjande har rapporterats på PHP-sidorna. Sårbarheten beror på felaktig webbserverkonfiguration. En fjärrangripare kan utnyttja denna sårbarhet genom att skicka en specialgjord URL till en påverkad PHP-sida.
6. ↑ MVPower CCTV DVR Fjärrkodexekvering (CVE-2016-20016)- En sårbarhet för fjärrkörning av kod finns i MVPower CCTV DVR. Ett framgångsrikt utnyttjande av denna sårbarhet kan tillåta en fjärrangripare att exekvera godtycklig kod på det drabbade systemet.
7. ↓ WordPress portable-phpMyAdmin Plugin Authentication Bypass (CVE-2012-5469) – Det finns en sårbarhet för kringgå autentisering i WordPress portable-phpMyAdmin Plugin. Ett framgångsrikt utnyttjande av denna sårbarhet skulle göra det möjligt för fjärrangripare att få känslig information och få obehörig åtkomst till det drabbade systemet.
8. ↑ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160, CVE-2014-0346) – OpenSSL TLS DTLS Heartbeat Information Disclosure En sårbarhet för informationsröjande finns i OpenSSL. Sårbarheten, aka Heartbleed, beror på ett fel vid hantering av TLS/DTLS hjärtslagspaket. En angripare kan utnyttja denna sårbarhet för att avslöja minnesinnehållet i en ansluten klient eller server.
9. ↓ HTTP Headers Fjärrkodexekvering – HTTP-headers låter klienten och servern skicka ytterligare information med en HTTP-begäran. En fjärrangripare kan använda ett sårbart HTTP-huvud för att köra godtycklig kod på offrets dator.
10. ↑ D-Link Multiple Products Remote Code Execution (CVE-2015-2051) – En sårbarhet för fjärrkörning av kod finns i flera D-Link-produkter. Ett framgångsrikt utnyttjande av denna sårbarhet kan tillåta en fjärrangripare att exekvera godtycklig kod på det drabbade systemet.

Topp skadlig programvara för mobil

Förra månaden förblev Anubis på första plats som den vanligaste mobila skadliga programvaran, följt av AhMyth och Hiddad .

1. Anubis – Anubis är en trojansk skadlig programvara för banker designad för Android-mobiltelefoner. Sedan den först upptäcktes har den fått ytterligare funktioner inklusive Remote Access Trojan (RAT) funktionalitet, keylogger, ljudinspelningsfunktioner och olika ransomware-funktioner. Det har upptäckts på hundratals olika applikationer tillgängliga i Google Store.
2. AhMyth – AhMyth är en Remote Access Trojan (RAT) som upptäcktes 2017. Den distribueras via Android-appar som finns på appbutiker och olika webbplatser. När en användare installerar en av dessa infekterade appar kan skadlig programvara samla in känslig information från enheten och utföra åtgärder som tangentloggning, ta skärmdumpar, skicka SMS och aktivera kameran, som vanligtvis används för att stjäla känslig information.
3. Hiddad – Hiddad är en skadlig programvara för Android som packar om legitima appar och sedan släpper dem till en tredjepartsbutik. Dess huvudsakliga funktion är att visa annonser, men den kan också få tillgång till viktiga säkerhetsdetaljer inbyggda i operativsystemet.

Toppattackerade industrier globalt

Förra månaden förblev utbildning/forskning som den mest riktade branschen globalt, följt av kommunikation och regering/militär.

1. Utbildning/Forskning
2. Kommunikationer
3. Regering/militär

Check Points Global Threat Impact Index och dess ThreatCloud-karta drivs av Check Points ThreatCloud -intelligens. ThreatCloud tillhandahåller hotintelligens i realtid som härrör från hundratals miljoner sensorer över hela världen, över nätverk, slutpunkter och mobiler. Intelligensen är berikad med AI-baserade motorer och exklusiv forskningsdata från Check Point Research, Check Point Software Technologies underrättelse- och forskningsarm.