Anatomia Ataku 4 – Top 5 Malware w 2022
Malware to weapon of choice naszych adwersarzy – broń typu „uzbrój, dostarcz i zdetonuj”. Według statystyk opublikowanych na Security Boulevard, stan na Q1 2022 to istniejących ponad 1,1 miliarda programów malware. A 2. 338 860 nowych złośliwych programów i PUA jest wykrywanych każdego dnia! Dzisiejszy artykuł zawiera w sobie omówienie typów malware na przykładzie 10 najpopularniejszych w 2022 rodzajów złośliwego oprogramowania (jak dotąd). Złośliwe oprogramowanie można ukryć na serwerze lub w pliku, wstrzyknąć w aplikację czy opublikować na stronie internetowej. Ich metody kamuflażu i dostarczenia omówiliśmy w poprzednim artykule.
Słowem nawiązania – w większości przypadków malware rozprzestrzenia się za pośrednictwem podatnego na ataki oprogramowania, plików, witryn internetowych, reklam, załączników do wiadomości e-mail lub złośliwych linków. Każdy niechciany i destrukcyjny program – zwłaszcza ten, który naruszaj funkcje urządzenia, kradnie dane, szpieguje użytkowników i ogólnie powoduje chaos – jest złośliwym oprogramowaniem.
Poniżej lista 5 najpopularniejszych gatunków malware w 2022 wraz z komentarzami na temat ich cech charakterystycznych i sposobów dostarczenia:
- Oprogramowanie ransomware Clop
Clop to jedno z najnowszych zagrożeń typu ransomware. Jest to wariant niesławnego ransomware CryptoMix, niebezpiecznego wirusa szyfrującego pliki, który aktywnie unika wykrycia i szyfruje zapisane pliki rozszerzeniem .Clop.
Sposób działania:
Przed rozpoczęciem szyfrowania oprogramowanie ransomware Clop blokuje ponad 600 procesów systemu Windows i wyłącza wiele aplikacji systemu Windows 10, w tym WIndows Defender i Microsoft Security Essentials, znacznie ograniczając możliwości ochrony danych. Wykorzystuje szyfr AES do szyfrowania zdjęć, filmów, muzyki, dokumentów baz danych i dołącza rozszerzenie pliku .CLOP lub .CIOP, co uniemożliwia ofiarom dostęp do danych osobowych. Na przykład, „sample.jpg” zmienia nazwę na „sample.jpg.Clop”.
Sposób dostarczenia:
Wiadomości e-mail, nakazujące celom szybkie zainstalowanie pilnej aktualizacji systemu operacyjnego Windows. Kiedy użytkownicy zaczynają pobierać rzekomą aktualizację, pliki ransomware „.exe” trafiają na urządzenie. Mechanizmy kontroli bezpieczeństwa poczty e-mail i kompleksowe, skonsolidowane rozwiązanie zabezpieczające mogą pomóc w powstrzymaniu tego typu zdarzeń związanych ze złośliwym oprogramowaniem.
- Gameover Zeus
Gameover Zeus to rozszerzenie złośliwego oprogramowania botnet peer-to-peer (P2P) z rodziny Zeus, które kradnie dane uwierzytelniające banków i jest dystrybutorem ransomware CryptoLocker. Eksperci twierdzą, że najtrudniejszym aspektem tego oprogramowania jest fakt, że do realizacji transakcji nie wymaga on scentralizowanego serwera Command&Control i szyfrowana komunikacja peer-to-peer pomiędzy węzłami a serwerami.
Sposób działania:
Botnet służy przede wszystkim do kradzieży dużych sum pieniędzy w drodze oszustwa poprzez przejęcie tysięcy sesji bankowych klientów. Po infekcji komputera, wirus czeka, aż użytkownik wejdzie na swoją stronę bankową. Następnie Gameover identyfikuje i przechwytuje ich sesję online przy użyciu techniki znanej powszechnie jako man-in-the-browser (MITB). Złośliwe oprogramowanie potrafi również omijać dwuskładnikowe uwierzytelnianie i wyświetlać złośliwe komunikaty bezpieczeństwa bankowego, aby wyłudzić bezpieczne informacje w celu autoryzacji transakcji i nieuczciwie odebrać pieniądze swojej ofiary.
Sposób dostarczenia:
Ekipa stojąca za P2P ZeuS znana jest z wykorzystania Cutwail, jednego z największych i najbardziej znanych botnetów spamowych, do wysyłania ogromnych ilości wiadomości e-mail, które podszywają się pod znanych sprzedawców internetowych, firmy telefonii komórkowej, serwisów społecznościowych i instytucji finansowych. Zazwyczaj „triggery” występują w postaci faktury, potwierdzenia zamówienia lub ostrzeżenia o niezapłaconym rachunku (zazwyczaj z dużym saldem należności, aby zwiększyć prawdopodobieństwo, że ofiara kliknie odsyłacz). Odsyłacze w e-mailu zostały zastąpione odsyłaczami do skompromitowanych stron, które przekierowują ofiary do zestawu exploitów.
- Shlayer malware
Kampanie malvertisingowe dostarczające złośliwe oprogramowanie Shlayer dla macOS nadal trwają, pomimo załatania krytycznej luki zero-day (CVE-2021-30657) nadużywanej od miesięcy w celu kompromitowania ofiar poprzez omijanie wbudowanych zabezpieczeń systemu operacyjnego. Ostatnie kampanie malwersacyjne Shlayera powróciły do wykorzystywania fałszywych aktualizacji Flasha i taktyk socjotechnicznych, aby podstępnie zmusić ofiary do ręcznego zainstalowania złośliwego oprogramowania macOS i skompromitowania ich systemów.
Chociaż Flash Player osiągnął koniec życia dla macOS z dniem 31 grudnia 2020 r., nie powstrzymało to operatorów Shlayera od dalszego nadużywania go.
Sposób działania:
Shlayer eskaluje przywileje za pomocą sudo przy użyciu techniki wywołującej /usr/libexec/security_authtrampoline”. Następnym krokiem jest pobranie dodatkowych payloadów, które zawierają adware i upewnia się, że będą mogły być uruchomione na skompromitowanym Macu poprzez wyłączenie mechanizmu ochrony Gatekeeper. Po wykonaniu tej czynności wszystkie dodatkowe payloadery pobrane i uruchomione przez Shlayera będą postrzegane jako oprogramowanie z białej listy, ponieważ system operacyjny nie będzie już sprawdzał, czy są one podpisane za pomocą Apple Developer ID. Ponadto, na wszelki wypadek, gdyby złośliwe oprogramowanie nie było w stanie wyłączyć Gatekeepera na zainfekowanym komputerze Mac, niektóre payloadery drugiego etapu również są podpisane identyfikatorami deweloperów.
Sposób dostarczenia:
Najczęstszą metodą dystrybucji Shlayera są złośliwe reklamy, które przekierowują użytkowników Safari do stron wyświetlających alert o nieaktualnym Adobe Flash Playerze. Przykładem niedawnej i trwającej kampanii złośliwych reklam jest witryna approvedfornext[…]com, która przekierowuje użytkowników Safari do strony wyświetlającej ostrzeżenie o nieaktualnym odtwarzaczu Adobe Flash Player
- Agent Tesla
Agent Tesla to trojan zdalnego dostępu (RAT), który wydobywa dane uwierzytelniające, rejestruje naciśnięcia klawiszy, kopiuje dane ze schowka i zbiera obrazy z komputera ofiary. W ostatnich latach złośliwe oprogramowanie zyskało ogromny wzrost popularności, a ponad 6000 nikczemnych osób płaci abonament w celu uzyskania licencji na oprogramowanie.
Sposób działania:
Podstawową funkcją jest zbieranie poufnych informacji z komputera ofiary, w tym rejestrowanie naciśnięć klawiszy i danych w schowku systemowym, kradzież zapisanych danych uwierzytelniających oprogramowania (przeglądarek, klientów poczty, VPN, FTP, IM, itp.), kradzież plików cookies przeglądarki oraz wykonywanie zrzutów ekranu.
Sposób dostarczenia:
Złośliwe oprogramowanie zawiera wiele funkcji zaprojektowanych, aby pomóc mu pozostać niewykrytym przez systemy sieciowe i często pojawia się w postaci załącznika do wiadomości e-mail np. Wbudowane w zamówienia pdf za pomocą obfuskacji.
- Fleeceware
Fleeceware jest podstępny, ponieważ w kodzie takich aplikacji zazwyczaj nie ma nic złośliwego. Nie kradną one danych użytkownika ani nie próbują przejąć kontroli nad urządzeniem, co oznacza, że nie ma w nich nic złośliwego, co mogłoby zostać wychwycone przez proces weryfikacji Google i Apple. Zamiast tego, te oszustwa opierają się na aplikacjach, które działają jak w reklamie, ale pochodzą z ukrytych, nadmiernych opłat abonamentowych. Aplikacja latarki, która kosztuje 9 dolarów za tydzień lub podstawowa aplikacja filtrów fotograficznych, która wynosi 30 dolarów za miesiąc, to wszystko jest oszustwem, ponieważ można uzyskać te same typy narzędzi za darmo, lub znacznie taniej, z innych aplikacji.
Sposób działania:
Narażenie na nadmierne opłaty w ramach „abonamentu” – relatywnie niegroźne choć uciążliwe.
Sposób doświadczenia:
Oficjalne sklepy z aplikacjami dostawców OS na urządzenia mobilne.
Powyższe to tylko najpopularniejsze rodzaje złośliwego oprogramowania. Całość zjawiska jest prawdziwą plagą, co obrazują poniższe wnioski z raportu Cybereason zatytułowanygo Ransomware: The True Cost to Business:
- 2/3 organizacji stwierdziło, że poniosło straty w przychodach po ataku ransomware.
- Nieco ponad 1/2 organizacji stwierdziło, że po ataku doznała uszczerbku na swojej marce i reputacji.
- Około 1/3 respondentów stwierdziła, że po ataku ransomware straciła talenty na poziomie C-Level.
- 3/10 uczestników badania wskazało, że byli zmuszeni do zwolnienia pracowników z powodu presji finansowej spowodowanej atakiem ransomware.
- 1/4 organizacji tymczasowo zamknęła swoje operacje biznesowe po doświadczeniu infekcji ransomware.
Pamiętaj, że jeżeli należysz do organizacji przetwarzającej szczególnie wrażliwe dane, możesz spodziewać się tzw. Advanced persistent threat – czyli specjalnie przygotowanego malware, mającego zainfekować właśnie Ciebie. Chcesz wiedzieć jak się bronić? A może masz już strategię i zależy Ci na odpowiednich narzędziach bądź jej weryfikacji? Napisz!