Anatomia Ataku 4 – Top 5 Malware w 2022

Home / Aktualności / Anatomia Ataku 4 – Top 5 Malware w 2022

Malware to weapon of choice naszych adwersarzy – broń typu „uzbrój, dostarcz i zdetonuj”. Według statystyk opublikowanych na Security Boulevard, stan na Q1 2022 to istniejących ponad 1,1 miliarda programów malware. A 2. 338 860 nowych złośliwych programów i PUA jest wykrywanych każdego dnia!  Dzisiejszy artykuł zawiera w sobie omówienie typów malware na przykładzie 10 najpopularniejszych w 2022 rodzajów złośliwego oprogramowania (jak dotąd).  Złośliwe oprogramowanie można ukryć na serwerze lub w pliku, wstrzyknąć w aplikację czy opublikować na stronie internetowej. Ich metody kamuflażu i dostarczenia omówiliśmy w poprzednim artykule.

Słowem nawiązania – w większości przypadków malware rozprzestrzenia się za pośrednictwem podatnego na ataki oprogramowania, plików, witryn internetowych, reklam, załączników do wiadomości e-mail lub złośliwych linków. Każdy niechciany i destrukcyjny program – zwłaszcza ten, który naruszaj funkcje urządzenia, kradnie dane, szpieguje użytkowników i ogólnie powoduje chaos – jest złośliwym oprogramowaniem.

Poniżej lista 5 najpopularniejszych gatunków malware w 2022 wraz z komentarzami na temat ich cech charakterystycznych i sposobów dostarczenia:

  1. Oprogramowanie ransomware Clop

Clop to jedno z najnowszych zagrożeń typu ransomware. Jest to wariant niesławnego ransomware CryptoMix, niebezpiecznego wirusa szyfrującego pliki, który aktywnie unika wykrycia i szyfruje zapisane pliki rozszerzeniem .Clop.

Sposób działania:

Przed rozpoczęciem szyfrowania oprogramowanie ransomware Clop blokuje ponad 600 procesów systemu Windows i wyłącza wiele aplikacji systemu Windows 10, w tym WIndows Defender i Microsoft Security Essentials, znacznie ograniczając możliwości ochrony danych. Wykorzystuje szyfr AES do szyfrowania zdjęć, filmów, muzyki, dokumentów baz danych i dołącza rozszerzenie pliku .CLOP lub .CIOP, co uniemożliwia ofiarom dostęp do danych osobowych. Na przykład, “sample.jpg” zmienia nazwę na “sample.jpg.Clop”.

Sposób dostarczenia:

Wiadomości e-mail, nakazujące celom szybkie zainstalowanie pilnej aktualizacji systemu operacyjnego Windows. Kiedy użytkownicy zaczynają pobierać rzekomą aktualizację, pliki ransomware „.exe” trafiają na urządzenie. Mechanizmy kontroli bezpieczeństwa poczty e-mail i kompleksowe, skonsolidowane rozwiązanie zabezpieczające mogą pomóc w powstrzymaniu tego typu zdarzeń związanych ze złośliwym oprogramowaniem.

  1. Gameover Zeus

Gameover Zeus to rozszerzenie złośliwego oprogramowania botnet peer-to-peer (P2P) z rodziny Zeus, które kradnie dane uwierzytelniające banków i jest dystrybutorem ransomware CryptoLocker. Eksperci twierdzą, że najtrudniejszym aspektem tego oprogramowania jest fakt, że do realizacji transakcji nie wymaga on scentralizowanego serwera Command&Control i szyfrowana komunikacja peer-to-peer pomiędzy węzłami a serwerami.

Sposób działania:

Botnet służy przede wszystkim do kradzieży dużych sum pieniędzy w drodze oszustwa poprzez przejęcie tysięcy sesji bankowych klientów. Po infekcji komputera, wirus czeka, aż użytkownik wejdzie na swoją stronę bankową. Następnie Gameover identyfikuje i przechwytuje ich sesję online przy użyciu techniki znanej powszechnie jako man-in-the-browser (MITB). Złośliwe oprogramowanie potrafi również omijać dwuskładnikowe uwierzytelnianie i wyświetlać złośliwe komunikaty bezpieczeństwa bankowego, aby wyłudzić bezpieczne informacje w celu autoryzacji transakcji i nieuczciwie odebrać pieniądze swojej ofiary.

Sposób dostarczenia:

Ekipa stojąca za P2P ZeuS znana jest z wykorzystania Cutwail, jednego z największych i najbardziej znanych botnetów spamowych, do wysyłania ogromnych ilości wiadomości e-mail, które podszywają się pod znanych sprzedawców internetowych, firmy telefonii komórkowej, serwisów społecznościowych i instytucji finansowych. Zazwyczaj „triggery” występują w postaci faktury, potwierdzenia zamówienia lub ostrzeżenia o niezapłaconym rachunku (zazwyczaj z dużym saldem należności, aby zwiększyć prawdopodobieństwo, że ofiara kliknie odsyłacz). Odsyłacze w e-mailu zostały zastąpione odsyłaczami do skompromitowanych stron, które przekierowują ofiary do zestawu exploitów.

  1. Shlayer malware

Kampanie malvertisingowe dostarczające złośliwe oprogramowanie Shlayer dla macOS nadal trwają, pomimo załatania krytycznej luki zero-day (CVE-2021-30657) nadużywanej od miesięcy w celu kompromitowania ofiar poprzez omijanie wbudowanych zabezpieczeń systemu operacyjnego. Ostatnie kampanie malwersacyjne Shlayera powróciły do wykorzystywania fałszywych aktualizacji Flasha i taktyk socjotechnicznych, aby podstępnie zmusić ofiary do ręcznego zainstalowania złośliwego oprogramowania macOS i skompromitowania ich systemów.

Chociaż Flash Player osiągnął koniec życia dla macOS z dniem 31 grudnia 2020 r., nie powstrzymało to operatorów Shlayera od dalszego nadużywania go.

Sposób działania:

Shlayer eskaluje przywileje za pomocą sudo przy użyciu techniki wywołującej /usr/libexec/security_authtrampoline”. Następnym krokiem jest pobranie dodatkowych payloadów, które zawierają adware i upewnia się, że będą mogły być uruchomione na skompromitowanym Macu poprzez wyłączenie mechanizmu ochrony Gatekeeper. Po wykonaniu tej czynności wszystkie dodatkowe payloadery pobrane i uruchomione przez Shlayera będą postrzegane jako oprogramowanie z białej listy, ponieważ system operacyjny nie będzie już sprawdzał, czy są one podpisane za pomocą Apple Developer ID. Ponadto, na wszelki wypadek, gdyby złośliwe oprogramowanie nie było w stanie wyłączyć Gatekeepera na zainfekowanym komputerze Mac, niektóre payloadery drugiego etapu również są podpisane identyfikatorami deweloperów.

Sposób dostarczenia:

Najczęstszą metodą dystrybucji Shlayera są złośliwe reklamy, które przekierowują użytkowników Safari do stron wyświetlających alert o nieaktualnym Adobe Flash Playerze. Przykładem niedawnej i trwającej kampanii złośliwych reklam jest witryna approvedfornext[…]com, która przekierowuje użytkowników Safari do strony wyświetlającej ostrzeżenie o nieaktualnym odtwarzaczu Adobe Flash Player

  1. Agent Tesla

Agent Tesla to trojan zdalnego dostępu (RAT), który wydobywa dane uwierzytelniające, rejestruje naciśnięcia klawiszy, kopiuje dane ze schowka i zbiera obrazy z komputera ofiary. W ostatnich latach złośliwe oprogramowanie zyskało ogromny wzrost popularności, a ponad 6000 nikczemnych osób płaci abonament w celu uzyskania licencji na oprogramowanie.

Sposób działania:

Podstawową funkcją jest zbieranie poufnych informacji z komputera ofiary, w tym rejestrowanie naciśnięć klawiszy i danych w schowku systemowym, kradzież zapisanych danych uwierzytelniających oprogramowania (przeglądarek, klientów poczty, VPN, FTP, IM, itp.), kradzież plików cookies przeglądarki oraz wykonywanie zrzutów ekranu.

Sposób dostarczenia:

Złośliwe oprogramowanie zawiera wiele funkcji zaprojektowanych, aby pomóc mu pozostać niewykrytym przez systemy sieciowe i często pojawia się w postaci załącznika do wiadomości e-mail np. Wbudowane w zamówienia pdf za pomocą obfuskacji.

  1. Fleeceware

Fleeceware jest podstępny, ponieważ w kodzie takich aplikacji zazwyczaj nie ma nic złośliwego. Nie kradną one danych użytkownika ani nie próbują przejąć kontroli nad urządzeniem, co oznacza, że nie ma w nich nic złośliwego, co mogłoby zostać wychwycone przez proces weryfikacji Google i Apple. Zamiast tego, te oszustwa opierają się na aplikacjach, które działają jak w reklamie, ale pochodzą z ukrytych, nadmiernych opłat abonamentowych. Aplikacja latarki, która kosztuje 9 dolarów za tydzień lub podstawowa aplikacja filtrów fotograficznych, która wynosi 30 dolarów za miesiąc, to wszystko jest oszustwem, ponieważ można uzyskać te same typy narzędzi za darmo, lub znacznie taniej, z innych aplikacji.

Sposób działania:

Narażenie na nadmierne opłaty w ramach „abonamentu” – relatywnie niegroźne choć uciążliwe.

Sposób doświadczenia:

Oficjalne sklepy z aplikacjami dostawców OS na urządzenia mobilne.

Powyższe to tylko najpopularniejsze rodzaje złośliwego oprogramowania. Całość zjawiska jest prawdziwą plagą, co obrazują poniższe wnioski z raportu Cybereason zatytułowanygo Ransomware: The True Cost to Business:

  • 2/3 organizacji stwierdziło, że poniosło straty w przychodach po ataku ransomware.
  • Nieco ponad 1/2 organizacji stwierdziło, że po ataku doznała uszczerbku na swojej marce i reputacji.
  • Około 1/3 respondentów stwierdziła, że po ataku ransomware straciła talenty na poziomie C-Level.
  • 3/10 uczestników badania wskazało, że byli zmuszeni do zwolnienia pracowników z powodu presji finansowej spowodowanej atakiem ransomware.
  • 1/4 organizacji tymczasowo zamknęła swoje operacje biznesowe po doświadczeniu infekcji ransomware.

Pamiętaj, że jeżeli należysz do organizacji przetwarzającej szczególnie wrażliwe dane, możesz spodziewać się tzw. Advanced persistent threat –  czyli specjalnie przygotowanego malware, mającego zainfekować właśnie Ciebie. Chcesz wiedzieć jak się bronić? A może masz już strategię i zależy Ci na odpowiednich narzędziach bądź jej weryfikacji? Napisz!

Powiązane artykuły

Anatomia Ataku #3 - Malware - Dostarczenie
Cybereason ogólnym liderem w kompasie przywódczym KuppingerCole 2022 dla dostawców na rynku Endpoint Protection, Detection and Response (EPDR)
Dlaczego telemetria w XDR to coś więcej?
Nasz serwis używa plików cookies w celach statystycznych, reklamowych oraz funkcjonalnych. Dzięki nim możemy indywidualnie dostosować ofertę do Twoich potrzeb. Każdy może zaakceptować pliki cookies albo ma możliwość wyłączenia ich w przeglądarce, dzięki czemu nie będą zbierane żadne informacje.
Akceptuję Więcej informacji