Zprávy

Snake Keylogger: pozor na malware šířící se v PDF dokumentech

Check Point Research zveřejnil Celosvětový index dopadu hrozeb, podle kterého vládl malwaru v květnu pokročilý modulární trojan Emotet. Výrazný vzestup zaznamenal i zlodějský malware Snake Keylogger, který sleduje stisknuté klávesy a sbírá a odesílá útočníkům cenné informace.

Snake Keylogger se obvykle šíří prostřednictvím e-mailů, které obsahují přílohy DOCX nebo XLSX se škodlivými makry, v květnu ovšem využíval k šíření infikované PDF soubory. Částečně to může souviset s blokováním internetových maker v Office. Kyberzločinci tak musí být kreativnější a zkoušet nové typy souborů, jako je právě PDF. Tento doposud ne příliš obvyklý způsob šíření malwaru se ukazuje jako poměrně účinný, většina uživatelů považuje PDF soubory za přirozeně bezpečnější než jiné typy souborů.

Emotet měl dopad na 8 % organizací po celém světě. Jedná se o flexibilní malware, který se dokáže efektivně vyhýbat odhalení. Navíc jakmile je zařízení infikováno, je obtížné jej odstranit. Proto je to oblíbený nástroj kyberzločinců.

Původně bankovní trojan se často šíří prostřednictvím phishingových e-mailů. Jakmile pronikne do počítače, může škodit nejrůznějšími způsoby, jeho provozovatelé totiž nabízí své služby na darknetu dalším hackerům. V minulosti jsme mohli vidět například spolupráci mezi Emotetem, Trickbotem a ransomwarem Ryuk. Nyní mohou i další kyberzločinci využít nabízených služeb a proniknout se svými hrozbami, bankovními trojany, špionážními malwary nebo třeba ransomwarem, do počítačů infikovaných Emotetem.

Výzkumný tým zároveň upozorňuje, že největšímu množství kyberútoků čelí nadále vzdělávací a výzkumné instituce. Následují vládní a vojenské organizace, poskytovatelé internetových služeb a poskytovatelé spravovaných služeb.

Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se v květnu dále držela mezi nebezpečnými zeměmi, patřila jí celosvětově 25. pozice. Naopak Slovensko se umístilo až ke konci tabulky a na 92. místě patří mezi nejbezpečnější země. První, tedy nejnebezpečnější, místo obsadilo znovu Mongolsko.

„Snake Keylogger nám důrazně připomíná, jak opatrní musíme na internetu být. I obyčejné otevření PDF dokumentu může spustit kybernetický útok. Je proto nutné používat preventivní technologie pro emulaci a extrakci hrozeb, protože jakmile hrozba pronikne do vaše zařízení, je už pozdě,“ řekl Tomáš Růžička, SE Team Leader z kyberbezpečnostní společnosti Check Point Software Technologies.

Top 3 – malware:

Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vévodil v květnu znovu Emotet, který měl dopad na 8 % organizací po celém světě. Na druhé příčce se umístil FormBook s dopadem na 3 % společností. Agent Tesla na třetím místě ovlivnil 2 % podniků.

  1. ↔ Emotet – Pokročilý, modulární trojan, který se sám umí šířit. Emotet byl využíván jako bankovní trojan a také pro šíření dalších malwarů a škodlivých kampaní. Používá řadu metod a technik, aby nebyl odhalen. Navíc může být šířen prostřednictvím spamu, který obsahuje škodlivé přílohy nebo odkazy.
  2. FormBook – FormBook krade přihlašovací údaje z webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru.
  3. Agent Tesla – Agent Tesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. Agent Tesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje z různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook)

Top 3 – mobilní malware:

Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vládl AlientBot, následovaly FluBot a xHelper.

  1. ↔ AlienBot – AlienBot je malware jako služba (MaaS) pro zařízení se systémem Android, který vzdálenému útočníkovi umožňuje vložit škodlivý kód do legitimních finančních aplikací, čímž útočník získá přístup k účtům obětí a nakonec zcela ovládne infikované zařízení.
  2. FluBot – FluBot je Android botnet, který se šíří prostřednictvím phishingových SMS zpráv, nejčastěji se vydávajících za zprávy od přepravních společností. Jakmile uživatel klikne na odkaz ve zprávě, FluBot se nainstaluje a získá přístup ke všem citlivým informacím v telefonu.
  3. ↔ xHelper – Škodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje.

Top 3 – zranitelnosti:

Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat nově především zranitelnost „Web Servers Malicious URL Directory Traversal” s dopadem na 46 % organizací. Těsně v závěsu zůstává zranitelnost „Apache Log4j Remote Code Execution“ s podobným dopadem na 46 % společností a Top 3 uzavírá zranitelnost „Web Server Exposed Git Repository Information Disclosure“ s dopaden na 45 % organizací.

  1. Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) –Úspěšné zneužití umožňuje vzdáleným útočníkům získat přístup k libovolným souborům na zranitelném serveru.
  2. ↔Apache Log4j Remote Code Execution (CVE-2021-44228) – Úspěšné zneužití této zranitelnosti může vzdálenému útočníkovi umožnit spuštění libovolného kódu na postiženém systému.
  3. ↓ Web Server Exposed Git Repository Information Disclosure – Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu.

Check Point analyzoval i malware útočící na podnikové sítě v České republice. Na první pozici se nadále drží Emotet, který oproti dubnu více než zdvojnásobil svůj dopad na české organizace. Na druhou příčku se posunul zlodějský malware LokiBot, naopak infostealer FormBook klesl ze druhé příčky na 4. Botnet Cutwail, který rozesílá spam a je používán k DDoS útokům, sice v dubnu nepatřil mezi nejnebezpečnějšími malwary, ale v květnu vyskočil až na 3. pozici.

Top malwarové rodiny v České republice – květen 2022
Malwarová rodina Popis Dopad ve světě Dopad v ČR
Emotet Emotet je pokročilý modulární trojan, který se může sám šířit. Emotet byl využíván jako bankovní trojan a nyní se používá především pro šíření dalšího malwaru a škodlivých kampaní. Šířit se může i prostřednictvím phishingových e-mailů se škodlivou přílohou nebo odkazem a využívá řadu technik, jak se vyhnout detekci. 8,38 % 6,63 %
LokiBot LokiBot byl poprvé detekován v únoru 2016. Krade informace ze zařízení se systém Windows nebo Android. Sbírá přihlašovací údaje z různých aplikací, webových prohlížečů, e-mailových klientů, nástrojů pro správu IT, jako je PuTTY atd. LokiBot se prodává na hackerských fórech a jelikož pravděpodobně unikl jeho zdrojový kód, vznikla řada jeho variant. Od konce roku 2017 obsahují některé verze LokiBota pro systém Android kromě zlodějských funkcí i ransomwarové funkce. 2,18 % 3,17 %
Cutwail Botnet Cutwail rozesílá nevyžádané e-maily. Malware je šířen trojanem Pushdo. Boti se připojují přímo k C&C serveru a dostávají pokyny o rozesílaných e-mailech. Po dokončení úkolu nahlásí boti spammerům přesné statistiky o počtu doručených e-mailů a hlášených chybách. Cutwail mohou hackeři využít také k DDoS útokům. 0,24 % 2,02 %
FormBook FormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru. 2,25 % 1,73 %
Snake Keylogger Snake je modulární .NET keylogger, který byl poprvé detekován koncem listopadu 2020. Mezi jeho hlavní funkce patří zaznamenávání stisknutých kláves, krádeže přihlašovacích údajů a odesílání ukradených dat útočníkům. Snake představuje hrozbu pro soukromí a online bezpečnost uživatelů, protože může krást prakticky všechny druhy citlivých informací a není snadné ho odhalit. 1,44 % 1,73 %
AgentTesla AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). AgentTesla se prodává jako legitimní RAT a zákazníci platí 15–69 dolarů za uživatelskou licenci. 2,18 % 1,73 %
XMRig XMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017. 1,85 % 1,73 %
Crackonosh Crackonosh je kryptominer, který byl vložen do craknutých populárních programů nabízených na stránkách s pirátským softwarem. Útočníci se snaží zasáhnout co nejvíce obětí, a používají proto jako zbraň cracknuté videohry. Po spuštění Crackonosh nahradí základní služby systému Windows. Hrozba se dokáže také vyhnout detekci a smazat z napadeného systému anti-malwarová řešení. 0,72 % 1,15 %
AZORult AZORult je trojan, který shromažďuje a odesílá data z infikovaného systému. Jakmile je malware v systému nainstalován (obvykle je šířen nějakým exploit kitem, jako třeba RIG), může odesílat uložená hesla, lokální soubory, kryptopeněženky a informace o profilu počítače na vzdálený C&C server. 0,37 % 1,15 %
Seraph Seraph je downloader, který stahuje a instaluje další programy, včetně malwarů, do infikovaného počítače. 0,56 % 1,15 %

Zdroj: Check Point