En son aylık verilere göre, deneyimli Qbot veya Qakbot bankacılık truva atı, Lokibot emtia bilgi hırsızı ve AgentTesla uzaktan erişim truva atı (RAT), Ocak 2023’te gözlemlenen en yaygın kötü amaçlı yazılımlardı. Check Point’ten küresel tehdit diziniancak yılın ilk birkaç haftası, bir dizi yeni kampanyanın ardından Vidar bilgi hırsızı ve njRAT kötü amaçlı yazılımının geri dönüşüne de tanık oldu.
Vidar ilk olarak 2018’de gözlemlendi ve web tarayıcılarından ve dijital cüzdanlardan kimlik bilgilerini, kredi kartı verilerini ve diğer bilgileri çalmak için tasarlandı. Yeraltı forumlarından kolayca satın alınabilir ve özellikle 2019’da GandCrab fidye yazılımını indirmek için bir damlalık olarak kullanıldı.
Vidar’ın ilk 10’a yeniden girişi, Check Point’in telemetrisinde gözlemlenen sözde marka hırsızlığı vakalarındaki belirgin artışı takip ediyor. Gözlemlenen bir kampanyada Vidar, bir uzak masaüstü uygulaması olan AnyDesk ile ilişkili gibi görünen sahte etki alanları aracılığıyla yayıldı.
Kötü amaçlı yazılım operatörleri, insanları resmi AnyDesk web sitesi gibi görünen, ancak aslında Vidar’ı barındıran kötü amaçlı bir etki alanı olan tek bir IP adresine yönlendirmek için çeşitli uygulamalar için URL hırsızlığı kullandı. Yüklenirse, kötü amaçlı yazılım yasal bir yükleyici gibi davranır, ancak arka planda verileri çalar.
Tabloda 10 numaradan yeni bir giriş olan njRAT truva atı, 11 yıl öncesine dayanan başka bir saygıdeğer kötü amaçlı yazılımdır ve tuş vuruşlarını günlüğe kaydetme, varsa cihaz kameralarına erişme, veri çalma, dosya yükleme ve indirme, işlem ve dosya gerçekleştirme yeteneğine sahiptir. manipülasyonlar ve kurban masaüstlerini görüntüleme.
Genellikle kimlik avı saldırıları ve yetkisiz indirmeler yoluyla yayılır ve genellikle virüslü USB anahtarları veya ağa bağlı sürücüler aracılığıyla yayılır. Earth Bogle olarak adlandırılan en son kampanyada, njRAT’ın Orta Doğu ve Kuzey Afrika’daki hedef kuruluşlar arasında yayıldığı görüldü ve cazibesi genellikle jeopolitik temalarla bağlantılıydı.
Check Point araştırma başkan yardımcısı Maya Horowitz, “Bir kez daha, kötü amaçlı yazılım gruplarının kişisel tanımlanabilir bilgileri çalmak amacıyla virüsleri yaymak için güvenilir markaları kullandığını görüyoruz” dedi. “İnsanların, meşru URL’ler olduklarından emin olmak için tıkladıkları bağlantılara dikkat etmelerinin ne kadar önemli olduğunu ne kadar vurgulasam az. Güncel bir SSL sertifikasını gösteren asma güvenlik kilidine dikkat edin ve web sitesinin kötü amaçlı olduğunu düşündürebilecek gizli yazım hatalarına dikkat edin.”
Ocak ayının ilk 10’u şu şekilde sallanıyor:
- Qbot veya Qakbot, analiz ve tespitten kaçınmak için bir dizi anti-VM, -debugging ve -sandbox teknikleri kullanan spam yoluyla yayılan bir bankacılık truva atı.
- Lokibot, Windows ve Android için ara sıra yerleşik fidye yazılımı yeteneklerine sahip olan ticari bir bilgi hırsızı.
- AgentTesla, keylogger ve bilgi hırsızı olarak işlev gören daha gelişmiş bir RAT.
- Başka bir bilgi hırsızı olan Formbook, güçlü kaçırma teknikleri ve düşük fiyatı nedeniyle genellikle bir hizmet olarak satılır.
- XMRig, yasadışı bir şekilde Monero kripto para birimi madenciliği yapmak için konuşlandırılmış açık kaynaklı bir CPU madencisi.
- Emotet, yaygın olarak fidye yazılımı saldırılarının öncüsü olarak hizmet eden, her zaman popüler olan bankacılık truva atı-cum-RAT.
- Daha öte.
- GuLoader, AgentTesla ve Formbook gibileri de dahil olmak üzere birçok başka bilgi hırsızı ve RAT getirebilen bir indirici.
- Ekran yakalama, kripto madenciliği, masaüstü uzaktan kumandası ve web kamerası oturumu hırsızlığı için kullanılan bir RAT olan Nanocore.
- Ve njRAT.
Büyük zamanlı güvenlik açıkları
En son veri seti, Ocak ayında en yaygın olarak kullanılan güvenlik açıklarını da gösteriyor; en çok tavizler, Check Point’in aylık raporlarında sıklıkla gözlemlenen ve geçen ay küresel olarak kuruluşların %46’sını etkileyen Git Deposu’ndaki bilgilerin açığa çıkması güvenlik açığından etkilendi.
İkinci sırada, HTTP Üstbilgilerinin istemcilerin ve sunucuların ek bilgileri iletmesine nasıl izin verdiğine ilişkin bir dizi uzaktan kod yürütme (RCE) güvenlik açığı vardı. Bu güvenlik açığı zincirinin dünya çapındaki kuruluşların %42’sini etkilediği görüldü.
Ayın en çok yararlanılan üçüncü güvenlik açığı, MVPower DVR cihazlarında kuruluşların %39’unu etkileyen başka bir RCE güvenlik açığıydı.
Ocak ayında yaygın olarak gözlemlenen diğer büyük zaman klasikleri arasında, oyalanmaya devam eden Apache Log4j (Log4Shell veya CVE-2021-44228) ve şuna yol açan Heartbeat OpenSSL güvenlik açıkları (CVE-2014-0160 ve CVE-2014-0346) yer alıyor. 2014’ün yürek burkan olayı.