Top 10 Malware April 2020

Gepubliceerd op 2 juni 2020 om 11:32

Top 10 Malware-samenstelling was redelijk consistent met maart 2020 met uitzondering van Bolek en Brambul.

Over het algemeen vormden de Top 10 Malware varianten 53% van de Total Malware-activiteit in april, tegenover 42% in maart.

Het is zeer waarschijnlijk dat Dridex, Kovter en ZueS een aanzienlijk deel van de Top 10 Malware blijven uitmaken.

In april 2020 zorgde malware die via malspam werd geleverd voor het grootste aantal waarschuwingen in de Top 10 Malware.

De activiteitsniveaus voor alle vectoren behalve het netwerk zijn de afgelopen maand afgenomen. In april keerde de infostealer Brambul terug, die de netwerkinfectievector gebruikt. Brambul is sinds juli 2019 niet meer te zien in de Top 10 Malware.

De ZeuS- en CryptoWall-waarschuwingen houden rekening met activiteit binnen de meervoudige infectievector. Bolek, Cerber, Dridex, Kovter, NanoCore en Ursnif veroorzaken in april 2020 malspam-gerelateerde infecties. Gh0st is momenteel de enige malware in de Top 10 waarvan de primaire initiatie-vector is verwijderd.

Brambul is momenteel de enige malware die gebruikmaakt van het initiëringsvectornetwerk. Er was deze maand geen Top 10 malware-activiteit die gebruik maakte van de malvertitie-initiatie-vector.

Er is een grote kans dat malspam de belangrijkste initiatie-vector blijft voor de Top 10 Malware.

Malware varianten

Dropped

Malware geleverd door andere malware die al op het systeem aanwezig is, een exploitkit, geïnfecteerde software van derden of handmatig door een hacker.

Momenteel wordt Gh0st geschrapt.

Multiple

Malware die momenteel de voorkeur geeft aan ten minste twee vectoren. ZeuS en CryptoWall gebruiken momenteel meerdere vectoren.

ZeuS wordt door andere malware verwijderd, maar wordt ook via malvertentie geleverd.

Malspam

Ongevraagde e-mails, die gebruikers naar kwaadwillende websites leiden of gebruikers ertoe verleiden malware te downloaden of te openen.

Top 10 malware met deze techniek Bolek, Cerber, Dridex, Kovter, NanoCore en Ursnif.

Netwerk

Malware die is geïntroduceerd door misbruik van legitieme netwerkprotocollen of tools, zoals het SMB-protocol of PowerShell op afstand. Brambul gebruikt deze vector.

Malware top 10

Dridex

Is een banktrojan die schadelijke macro's in Microsoft Office gebruikt met schadelijke ingesloten links of bijlagen. Dridex wordt verspreid via malspam-campagnes.

ZeuS

Is een modulaire banktrojan die toetsaanslagregistratie gebruikt om de inloggegevens van slachtoffers in gevaar te brengen wanneer de gebruiker een bankwebsite bezoekt. Sinds de release van de ZeuS-broncode in 2011 hebben veel andere malwarevarianten delen van de codebase overgenomen, wat betekent dat gebeurtenissen die als ZeuS zijn geclassificeerd, in feite andere malware kunnen zijn die delen van de ZeuS-code gebruikt.

CryptoWall

Is een ransomware die gewoonlijk wordt verspreid via malspam met schadelijke ZIP-bijlagen, Java-kwetsbaarheden en kwaadaardige advertenties. Na een succesvolle infectie scant CryptoWall het systeem op stationsletters, netwerkshares en verwijderbare stations. CryptoWall draait op zowel 32-bits als 64-bits systemen.

Kovter

Is een bestandsloze malware voor klikfraude en een downloader die detectie omzeilt door zich in registersleutels te verbergen. Rapportage geeft aan dat Kovter een achterdeur kan hebben mogelijkheden en gebruikt hooks binnen bepaalde API's voor persistentie.

Brambul

Is een systeeminformatie-stealer die zich verspreidt via het SMB-protocol door brute-force wachtwoord aanvallen te starten met behulp van een lijst met ingesloten wachtwoorden. Bovendien genereert de malware lijsten met willekeurige IP-adressen voor verdere externe aanvallen.

NanoCore

Is een RAT-verspreiding via malspam als een kwaadaardige Excel XLS-spreadsheet. Als RAT kan NanoCore opdrachten accepteren om bestanden te downloaden en uit te voeren, websites te bezoeken en registersleutels toe te voegen voor persistentie.

Cerber

Is een ontwijkende ransomware die in staat is om bestanden in de offline modus te versleutelen en staat erom bekend bestanden volledig te hernoemen en ze toe te voegen met een willekeurige extensie. Er zijn momenteel zes versies van Cerber, die speciaal zijn ontwikkeld om detectie door machine learning-algoritmen te omzeilen. Momenteel is versie 1 de enige versie van Cerber waarvoor een decryptortool beschikbaar is.

Bolek

Ook bekend als Kbot, is een banktrojan die bekend staat om zijn vermogen om zich snel door een netwerk te verspreiden, zoals zoals via USB en netwerkshares. Bolek heeft meerdere modules die worden gebruikt om bank- en persoonlijke informatie, inloggegevens te stelen en bestanden van systemen te exfiltreren.

Gh0st

Is een RAT die wordt gebruikt om geïnfecteerde eindpunten te beheren. Gh0st wordt door andere malware verwijderd om een ​​achterdeur naar een apparaat te maken waarmee een aanvaller het geïnfecteerde apparaat volledig kan beheren.

Ursnif

En zijn variant Dreambot zijn banktrojan die bekend staan ​​om het bewapenen van documenten. Ursnif heeft onlangs zijn webinjectieaanvallen geüpgraded met TLS-callbacks om zich te verdoezelen tegen anti-malwaresoftware. Ursnif verzamelt slachtofferinformatie van inlogpagina's en webformulieren.

Bron: Cisecurity