FormBook se prodává na hackerských fórech a stal se nejčastější hrozbou pro světové i české počítačové sítě

Výzkumný tým kyberbezpečnostní společnosti Check Point Software Technologies upozorňuje, že zlodějský malware FormBook je nejrozšířenějším malwarem, naopak bankovní trojan Qbot vypadl z Top 10

PRAHA – 21. září 2021 — Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, zveřejnil Celosvětový index dopadu hrozeb, podle kterého byl v srpnu nejrozšířenějším malwarem FormBook.

Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se nadále drží na bezpečnější 80. pozici, Slovensko v srpnu také nezaznamenalo výraznější posun a patřila mu 63. příčka. Na první místo se posunula Etiopie, která se v posledních měsících drží dlouhodobě mezi nejnebezpečnějšími zeměmi. Mezi méně bezpečné země se posunula Nigérie, které v červenci patřila 83. pozice a v srpnu 23., a Bahrajn, který z 81. příčky vyskočil až na 32. místo.

Bankovní trojan Qbot patřil řadu měsíců mezi nejrozšířenější škodlivé kódy, ale jeho provozovatelé přes léto nebyli aktivní, takže vypadl z Top 10. Naopak trojan pro vzdálený přístup Remcos se vyhoupl až na 6. příčku a letos se do Top 10 dostal vůbec poprvé. 

FormBook byl poprvé odhalen v roce 2016 a jedná se o zlodějský malware, který krade přihlašovací údaje z webových prohlížečů, pořizuje snímky obrazovky, sleduje stisknuté klávesy a může stahovat a spouštět soubory na základě příkazů z řídícího a velícího (C&C) serveru. FormBook byl nyní distribuován také prostřednictvím kampaní s koronavirovou tématikou a pomocí phishingových e-mailů. Check Point v červenci informoval, že nový kmen nazvaný XLoader cílí na uživatele systému MacOS.

„FormBook využívá řadu triků a technik, jak se vyhnout odhalení,“ říká Tomáš Růžička, SE Team leader v kyberbezpečnostní společnosti Check Point Software Technologies. „Obvykle se šíří prostřednictvím phishingových e-mailů a příloh, takže nejlepší způsob, jak zabránit infekci, je pečlivě sledovat všechny e-maily, které vypadají podezřele nebo pocházejí od neznámých odesílatelů.“

Top 3 – malware:

Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vévodil v srpnu FormBook, který měl dopad na 4,5 % organizací po celém světě. Na druhou příčku klesl Trickbot s dopadem na 4 % společností, AgentTesla na třetím místě ovlivnil 3 % podniků.

  1. ↑ FormBook – FormBook krade přihlašovací údaje z webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru.
  2. ↓ Trickbot – Trickbot je bankovní trojan, který je neustále vylepšován, takže je flexibilní a lze jej využít jako součást víceúčelových kampaní.
  3. ↑ AgentTesla – AgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. AgentTesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook).

Top 3 – mobilní malware:

Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vládl znovu xHelper. Následoval „malware jako služba“ AlienBot a Android botnet FluBot.

  1. ↔ xHelper – Škodlivá aplikace pro Android, která byla poprvé detekována v březnu 2019. Používá se ke stahování dalších škodlivých aplikací a zobrazování reklam. Aplikace je schopna skrýt se před uživatelem a mobilními antivirovými programy a znovu se nainstalovat, pokud ji uživatel odinstaluje.
  2. ↔ AlienBot – AlienBot je malware jako služba (MaaS) pro zařízení se systémem Android, který vzdálenému útočníkovi umožňuje vložit škodlivý kód do legitimních finančních aplikací, čímž útočník získá přístup k účtům obětí a nakonec zcela ovládne infikované zařízení.
  3. ↑ FluBot – FluBot je Android botnet, který se šíří prostřednictvím phishingových SMS zpráv, nejčastěji se vydávajících za zprávy od přepravních společností. Jakmile uživatel klikne na odkaz ve zprávě, FluBot se nainstaluje a získá přístup ke všem citlivým informacím v telefonu.

Top 3 – zranitelnosti:

Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především zranitelnost „Web Server Exposed Git Repository Information Disclosure” s dopadem na 45 % organizací. Druhé místo obsadila zranitelnost „HTTP Headers Remote Code Execution (CVE-2020-13756)“ s dopadem na 43 % společností a Top 3 uzavírá zranitelnost „Dasan GPON Router Authentication Bypass“ s dopaden na 40 % organizací.

  1. Web Server Exposed Git Repository Information Disclosure – Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu.
  2. ↔ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – Vzdálený útočník může zneužít zranitelnou HTTP hlavičku ke spuštění libovolného kódu na počítači oběti.
  3. Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Zranitelnost umožňuje obejít ověření v routerech Dasan GPON. Úspěšné zneužití by umožnilo útočníkům získat citlivé informace a neoprávněný přístup do postiženého systému.

Check Point analyzoval i malware útočící na podnikové sítě v České republice. Zlodějský malware Snake Keylogger po raketovém vzestupu v červenci v srpnu vypadl z Top 10. Na první příčku se tak posunul FormBook, další škodlivý kód zaměřený na krádeže dat a přihlašovacích údajů. Na české organizace také útočí poměrně výrazně spyware Joker, který v minulosti opakovaně pronikl na Google Play.

Top malwarové rodiny v České republice – srpen 2021
Malwarová rodinaPopisDopad ve světěDopad v ČR
FormBookFormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru.4,45 %6,28 %
AgentTeslaAgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. Agent Tesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). Agent Tesla se prodává jako legitimní RAT a zákazníci platí 15–69 dolarů za uživatelskou licenci.2,79 %3,83 %
JokerAndroid spyware, který krade SMS zprávy, seznamy kontaktů a informace o zařízení. Navíc nepozorovaně přihlásí oběť k prémiovým službám na reklamních webových stránkách.0,18 %3,01 %
XMRigXMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.2,54 %2,73 %
TrickbotTrickbot je modulární botnet a bankovní trojan, který se zaměřuje na platformu Windows. Šířen je především spamovými kampaněmi nebo jiným malwarem, jako je například Emotet. Trickbot odesílá informace o infikovaném systému a může také stahovat a spouštět libovolné moduly, od VNC modulu pro vzdálené ovládání až po SMB modul pro šíření v uvnitř napadené sítě. Jakmile je zařízení infikované, kyberzločinci využijí moduly ke krádeži bankovních přihlašovacích údajů, k dalšímu šíření hrozby a špehování napadené organizace a poslední fází je ransomwarový útok na celou společnost.4,21 %2,73 %
AsyncRatAsyncrat je trojan zaměřený na platformu Windows, který odesílá systémové informace na vzdálený server. Ze serveru přijímá příkazy ke stahování a spouštění plug-inů, ukončování procesů, k vlastnímu odinstalování/aktualizaci a vytváření screenshotů.0,57 %1,37 %
RemcosRemcos je RAT (Remote Access Trojan) poprvé detekovaný v roce 2016. Remcos se šíří sám prostřednictvím škodlivých dokumentů Microsoft Office, které jsou připojeny k e-mailovému spamu, a je navržen tak, aby obešel UAC zabezpečení systému Microsoft Windows a spouštěl malware s vysokými právy.2,07 %1,09 %
NanocoreNanoCore je RAT, který byl poprvé objeven v roce 2013 a zaměřuje se na uživatele operačního systému Windows. Všechny verze obsahují základní pluginy a funkce, jako je snímání obrazovky, těžba kryptoměn, vzdálené ovládání atd.1,03 %1,09 %
KryptikKryptik je trojan zaměřený na platformu Windows. Krade systémové informace a odesílá je na vzdálený server. V infikovaném systému může stahovat a spouštět další škodlivé soubory.0,34 %0,82 %
NeshtaNeshta je trojan, který byl poprvé odhalen v roce 2010. Mění informace v registrech a v nastavení prohlížeče a instaluje škodlivé panely nástrojů nebo rozšíření. Neshta se jednoduše šíří vkládáním vlastního kódu do dalších spustitelných souborů.0,72 %0,82 %
GluptebaGlupteba, backdoor poprvé detekovaný v roce 2011, se postupně vyvinul v botnet.2,18 %0,82 %
CutwailBotnet Cutwail rozesílá nevyžádané e-maily. Malware je šířen trojanem Pushdo. Boti se připojují přímo k C&C serveru a dostávají pokyny o rozesílaných e-mailech. Po dokončení úkolu nahlásí boti spammerům přesné statistiky o počtu doručených e-mailů a hlášených chybách. Cutwail mohou hackeři využít také k DDoS útokům.0,17 %0,82 %
ScrinjectScrinject je trojan, který útočníkům umožňuje vzdálený přístup k infikovanému systému.0,61 %0,82 %
sLoadsLoad je PowerShell downloader, který nejčastěji šíří malware Ramnit a také sbírá informace o infikovaném systému. sLoad může také pořizovat snímky obrazovky a kontrolovat mezipaměť DNS pro konkrétní domény (např. cílové banky) nebo načítat externí binární soubory.0,41 %0,82 %

Online mapa kybernetických hrozeb ThreatCloud Map sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje každý den více než 3 miliardy webových stránek a 600 milionů souborů a každý den identifikuje více než 250 milionů škodlivých aktivit.

Sledujte novinky o bezpečnostním týmu Check Point Research:

Blog: https://research.checkpoint.com/ 

Twitter: https://twitter.com/_cpresearch_ 

Sledujte novinky o společnosti Check Point:
Twitter: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com 
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies

O výzkumném týmu Check Point Research 

Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.

O společnosti Check Point Software Technologies

Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.