De bibliotheek voor digitale criminaliteit

De meest gebruikte malware en kwetsbaarheden aanvallen

Gepubliceerd op 12 november 2020 om 08:00

De meest gebruikte malware en kwetsbaarheden aanvallen

'Trickbot'- en 'Emotet'-trojans zijn in oktober nog steeds de top twee van meest voorkomende malware. De trojans zijn verantwoordelijk voor de sterke toename van ransomware aanvallen op ziekenhuizen en zorgverleners wereldwijd.

Aanvallen op gezondheidszorg

De FBI en andere Amerikaanse overheidsinstanties hebben onlangs een waarschuwing afgegeven over ransomware aanvallen gericht op de gezondheidszorg, waarbij wordt gewaarschuwd dat de naar schatting meer dan een miljoen Trickbot-infecties wereldwijd worden gebruikt om bestand versleutelende ransomware zoals Ryuk te downloaden en te verspreiden. Ryuk wordt ook gedistribueerd via de Emotet-trojan, die voor de vierde maand op rij op de eerste plaats in de Top Malware Index staat.

Onderzoekers waarschuwen dat ze het aantal ransomware aanvallen sinds het begin van de coronavirus-pandemie hebben zien toenemen. De cybercriminelen proberen te profiteren van kwetsbaarheden in de beveiliging. De afgelopen drie maanden zijn deze aanvallen alarmerend gestegen, vooral in de gezondheidszorg.

Kwetsbaarheden

Het onderzoeksteam waarschuwt ook dat 'MVPower DVR Remote Code Execution' de meest voorkomende misbruikte kwetsbaarheid is die 43% van de organisaties wereldwijd treft, gevolgd door 'Dasan GPON Router Authentication Bypass' en 'HTTP Headers Remote Code Execution (CVE-2020-13756).' Met beide een impact op 42% van de organisaties wereldwijd.

Wat was malware ook alweer

Malware is een afkorting van de Engelse woorden “MALicious softWARE” of te wel “Schadelijke Software”, “kwaadaardige software”.

Eenvoudig gezegd is Malware een stukje software dat is geschreven met de bedoeling schade toe te brengen aan gegevens, apparaten, software en apps. Software die speciaal is ontworpen om toegang te krijgen of een computer te beschadigen zonder medeweten van de eigenaar. Meer info over malware, vind je hier.

Top 10 malware

* De pijlen hebben betrekking op de verandering in rang ten opzichte van de vorige.

1. ↔ Emotet

Emotet is een geavanceerde, zichzelf propagerende en modulaire trojan. Emotet werd ooit gebruikt als trojan voor het bankwezen en is recentelijk gebruikt als verspreider van andere malware of kwaadaardige campagnes. Het gebruikt meerdere methoden om persistentie- en ontwijkingstechnieken in stand te houden om detectie te voorkomen. Bovendien kan het worden verspreid via phishing-spam-e-mails met kwaadaardige bijlagen of links.

2. ↔ Trickbot

Trickbot is een dominante banktrojan die voortdurend wordt bijgewerkt met nieuwe mogelijkheden, functies en distributievectoren. Hierdoor is Trickbot een flexibele en aanpasbare malware die kan worden verspreid als onderdeel van campagnes met meerdere doelen.

3. ↑ Hiddad

Hiddad is een Android-malware die legitieme apps opnieuw verpakt en ze vervolgens vrijgeeft aan een externe winkel. De belangrijkste functie is om advertenties weer te geven, maar het kan ook toegang krijgen tot belangrijke beveiligingsdetails die in het besturingssysteem zijn ingebouwd.

4. ↓ Dridex

Dridex is een trojan die zich richt op het Windows-platform en naar verluidt is gedownload via een spam-e-mailbijlage. Dridex neemt contact op met een externe server en verstuurt informatie over het geïnfecteerde systeem. Het kan ook willekeurige modules downloaden en uitvoeren die zijn ontvangen van de externe server.

5. ↑ Formbook

Formbook is een Info Stealer die inloggegevens verzamelt uit verschillende webbrowsers, screenshots verzamelt, toetsaanslagen bewaakt en registreert, en bestanden kan downloaden en uitvoeren volgens zijn C & C-orders.

6. ↔ Qbot

Qbot is een banktrojan die voor het eerst verscheen in 2008, ontworpen om de bankgegevens en toetsaanslagen van gebruikers te stelen. Qbot wordt vaak verspreid via spam-e-mail en maakt gebruik van verschillende anti-VM-, anti-debugging- en anti-sandbox-technieken om analyse te belemmeren en detectie te omzeilen.

7. ↓ XMRig

XMRig is een open-source CPU-mining-software die wordt gebruikt voor het 'mining proces' van de Monero-cryptocurrency en is voor het eerst gezien in mei 2017.

8. ↑ Zloader

Zloader is een afstammeling van de alomtegenwoordige Zeus-bankmalware die webinjects gebruikt om inloggegevens, wachtwoorden en cookiesopslag in webbrowsers en andere gevoelige informatie van klanten van banken en financiële instellingen te stelen. Met de malware kunnen aanvallers verbinding maken met het geïnfecteerde systeem via een virtuele netwerk computer client, zodat ze frauduleuze transacties kunnen uitvoeren vanaf het apparaat van de gebruiker.

9. ↑ XHelper

xHelper is een kwaadaardige applicatie die sinds maart 2019 is gezien en wordt gebruikt voor het downloaden van andere kwaadaardige apps en het weergeven van advertenties. De applicatie kan zichzelf verbergen voor de gebruiker en zichzelf opnieuw installeren als deze wordt verwijderd.

10. ↓ Ramnit

Ramnit is een banktrojan die bankgegevens, FTP-wachtwoorden, sessiecookies en persoonlijke gegevens steelt.

Meest misbruikte kwetsbaarheden

1. ↔ MVPower DVR Remote Code Execution

Er bestaat een beveiligingslek met betrekking tot het uitvoeren van externe code in MVPower DVR-apparaten. Een externe aanvaller kan deze zwakte misbruiken om via een vervaardigd verzoek willekeurige code in de getroffen router uit te voeren.

2. ↔ Dasan GPON Router Authentication Bypass (CVE-2018-10561)

Een beveiligingslek met betrekking tot authenticatie omzeilen dat voorkomt in Dasan GPON-routers. Succesvol misbruik van dit beveiligingslek zou aanvallers op afstand in staat stellen gevoelige informatie te verkrijgen en ongeautoriseerde toegang te krijgen tot het getroffen systeem.

3. ↑ HTTP-headers Externe code-uitvoering (CVE-2020-13756)

HTTP-headers laten de client en de server aanvullende informatie doorgeven met een HTTP-verzoek. Een externe aanvaller kan een kwetsbare HTTP-header gebruiken om willekeurige code op de slachtoffercomputer uit te voeren.

4. ↑ Draytek Vigor Command Injection (CVE-2020-8515)

Er bestaat een kwetsbaarheid voor commando-injectie in Draytek Vigor. Succesvol misbruik van dit beveiligingslek kan ertoe leiden dat een externe aanvaller willekeurige code op het getroffen systeem kan uitvoeren .

5. ↓ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346)

Er bestaat een beveiligingslek met betrekking tot het vrijgeven van informatie in OpenSSL. Het beveiligingslek is te wijten aan een fout bij het verwerken van TLS / DTLS-heartbeat-pakketten. Een aanvaller kan dit beveiligingslek gebruiken om de geheugeninhoud van een aangesloten client of server vrij te geven.

6. ↑ WordPress portable-phpMyAdmin Plugin Authentication Bypass (CVE-2012-5469)

Een beveiligingslek met betrekking tot het omzeilen van authenticatie in de WordPress portable-phpMyAdmin Plugin. Succesvol misbruik van dit beveiligingslek zou aanvallers op afstand in staat stellen gevoelige informatie te verkrijgen en ongeautoriseerde toegang te krijgen tot het getroffen systeem.

7. ↓ Web Server Exposed Git Repository Informatie vrijgeven

Een beveiligingslek met betrekking tot het vrijgeven van informatie dat is gerapporteerd in Git Repository. Succesvol misbruik van dit beveiligingslek kan leiden tot onbedoelde openbaarmaking van accountgegevens.

8. ↔ SQL-injectie (verschillende technieken)

Het invoegen van een injectie van SQL-query's in de invoer van client naar applicatie, terwijl een beveiligingslek in de software van een applicatie wordt misbruikt.

9. ↑ w00tw00t beveiligingsscanner

w00tw00t is een product voor het scannen van kwetsbaarheden. Externe aanvallers kunnen w00tw00t gebruiken om kwetsbaarheden op een doelserver te detecteren.

10. ↑ PHP DIESCAN vrijgeven van informatie

Er is een beveiligingslek met betrekking tot het vrijgeven van informatie gerapporteerd op de PHP-pagina's. Succesvol misbruik kan leiden tot het vrijgeven van gevoelige informatie van de server.

Top mobiele malware

1. Hiddad

Hiddad is een Android-malware die legitieme apps opnieuw verpakt en deze vervolgens vrijgeeft aan een externe winkel. De belangrijkste functie is om advertenties weer te geven, maar het kan ook toegang krijgen tot belangrijke beveiligingsdetails die in het besturingssysteem zijn ingebouwd.

2. xHelper 

xHelper is een kwaadaardige applicatie die sinds maart 2019 is gezien en wordt gebruikt voor het downloaden van andere kwaadaardige apps en het weergeven van advertenties. De applicatie kan zichzelf verbergen voor de gebruiker en zichzelf opnieuw installeren als deze wordt verwijderd.

3. Lotoor

Lotoor is een hacktool die kwetsbaarheden op het Android-besturingssysteem misbruikt om rootrechten te verkrijgen op gecompromitteerde mobiele apparaten.

De beste bescherming tegen Malware blijft het gebruikelijke advies

  • Update zodra er een nieuwe update (tip 3) is van uw software.
  • Wees voorzichtig met welke e-mail bijlagen (Tip 5) u opent en wees voorzichtig bij het surfen en blijf weg van verdachte websites (tip 7).
  • Installeer een antivirusprogramma (tip 1) van hoge kwaliteit.

Bron: checkpoint.com


«