Bankovní malware MaliBot je novou hrozbou pro uživatele mobilního bankovnictví
21.07.2022
Bankovní malware MaliBot je novou hrozbou pro uživatele mobilního bankovnictví

Check Point Research zveřejnil Celosvětový index dopadu hrozeb, podle kterého byl sice odstaven nebezpečný malware FluBot, ale zároveň se objevila nová hrozba, bankovní malware pro Android s názvem MaliBot. 

I když byl MaliBot objeven teprve nedávno, dostal se již na třetí místo nejrozšířenějších mobilních malwarů. MaliBot se maskuje za různé aplikace na těžbu kryptoměn a zaměřuje se na uživatele mobilního bankovnictví. MaliBot používá, podobně jako FluBot, podvodné SMS zprávy, aby nalákal oběti ke kliknutí na škodlivý odkaz, který je přesměruje na stažení falešné zavirované aplikace.

Nejrozšířenějším malwarem zůstal i nadále Emotet. V červnu byla navíc odhalena jeho nová varianta​, která dokáže krást informace o platebních kartách a zaměřuje se na uživatele prohlížeče Chrome. Na třetí místo se z osmého posunul zlodějský malware Snake Keylogger, který zaznamenává stisknuté klávesy a ukradené informace odesílá útočníkům. V květnu byl Snake Keylogger distribuován především v PDF souborech, ale v poslední době se šíří prostřednictvím e-mailů s wordovou přílohou, která vypadá jako žádost o cenovou nabídku.

Výzkumný tým zároveň upozorňuje, že největšímu množství kyberútoků čelí nadále vzdělávací a výzkumné instituce. Následují vládní a vojenské subjekty a nově se na třetí místo posunuly zdravotnické organizace.

Vydán byl i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se v červnu dále držela mezi nebezpečnými zeměmi, patřila jí celosvětově 25. pozice. Naopak Slovensko se umístilo až ke konci tabulky a na 92. místě patří mezi nejbezpečnější země. První, tedy nejnebezpečnější, místo obsadilo znovu Mongolsko. Mezi nebezpečnější země se nejvíce posunul Uzbekistán, o 51 míst až na 32. příčku.

„Pro bezpečnostní komunitu je vždy dobrou zprávou, pokud se bezpečnostním složkám podaří zlikvidovat nějakou kyberzločineckou skupinu nebo malware, jako je FluBot,“ říká Tomáš Růžička, SE Team Leader z kyberbezpečnostní společnosti Check Point Software Technologies. „Kyberzločinci si dobře uvědomují, jak zásadní roli hrají mobilní zařízení v životě mnoha lidí, a neustále tomu přizpůsobují své taktiky. Hrozby se vyvíjí rychle a mobilní malware představuje významné riziko pro osobní i podniková zařízení. Je tak důležitější než kdy dříve používat robustní prevenci mobilních hrozeb.“

Top 3 - malware:

Škodlivým kódům nejčastěji použitým k útokům na podnikové sítě vévodil v červnu znovu Emotet, který měl dopad na 14 % organizací po celém světě. Na druhé příčce se umístil FormBook a na třetím Snake Keylogger, oba shodně s dopadem na 4,4 % společností.

1. ↔ Emotet – Pokročilý, modulární trojan, který se sám umí šířit. Emotet byl využíván jako bankovní trojan a také pro šíření dalších malwarů a škodlivých kampaní. Používá řadu metod a technik, aby nebyl odhalen. Navíc může být šířen prostřednictvím spamu, který obsahuje škodlivé přílohy nebo odkazy.
2. ↔ FormBook – FormBook krade přihlašovací údaje z webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru.
3. ↑ Snake Keylogger – Snake je modulární .NET keylogger, který byl poprvé detekován koncem listopadu 2020. Mezi jeho hlavní funkce patří zaznamenávání stisknutých kláves, krádeže přihlašovacích údajů a odesílání ukradených dat útočníkům.

Top 3 - mobilní malware:

Škodlivým kódům nejčastěji použitým k útokům na podniková mobilní zařízení vládl AlientBot, následovaly Anubis a MaliBot.

1. ↔ AlienBot – AlienBot je malware jako služba (MaaS) pro zařízení se systémem Android, který vzdálenému útočníkovi umožňuje vložit škodlivý kód do legitimních finančních aplikací, čímž útočník získá přístup k účtům obětí a nakonec zcela ovládne infikované zařízení.
2. ↑ Anubis – Anubis je bankovní trojan určený pro mobilní telefony se systémem Android. Postupně je vylepšován, včetně funkcí pro vzdálený přístup, sledování stisknutých kláves, nahrávání zvuku a ransomwarových schopností. Byl odhalen už ve stovkách různých aplikací dostupných v obchodě Google.
3. ↑ MaliBot – MaliBot je bankovní malware pro Android. Maskuje se za různé aplikace na těžbu kryptoměn a zaměřuje se na krádeže finančních informací, kryptopeněženek a dalších osobních údajů.

Top 3 - zranitelnosti:

Check Point také analyzoval nejčastěji zneužívané zranitelnosti. Kyberzločinci se pro útoky na podnikové sítě snažili zneužívat především zranitelnost „Apache Log4j Remote Code Execution” s dopadem na 43 % organizací. Těsně v závěsu následovala zranitelnost „Web Server Exposed Git Repository Information Disclosure“ s podobným dopadem na 42,3 % společností a Top 3 uzavírá zranitelnost „Web Servers Malicious URL Directory Traversal“ s dopaden na 42,1 % organizací.

1. ↑ Apache Log4j Remote Code Execution (CVE-2021-44228) – Úspěšné zneužití této zranitelnosti může vzdálenému útočníkovi umožnit spuštění libovolného kódu na postiženém systému.
2. ↑ Web Server Exposed Git Repository Information Disclosure – Úspěšné zneužití této zranitelnosti by mohlo umožnit neúmyslné zveřejnění informací o účtu.
3. ↓ Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) – Úspěšné zneužití umožňuje vzdáleným útočníkům získat přístup k libovolným souborům na zranitelném serveru.

Check Point analyzoval i malware útočící na podnikové sítě v České republice. Na první pozici se nadále drží Emotet, který v červnu dominoval a měl dopad na více než 22 % českých organizací, což je skoro čtyřnásobný nárůst oproti předchozímu měsíci. Naopak zlodějský malware LokiBot i přes druhou květnovou příčku vypadl z Top 10. Sílu zlodějských malwarů ovšem potvrzuje na druhém místě FormBook, který měl dopad na více než 7 % organizací, a na třetí příčce AgentTesla. Během léta je tak na místě ještě zvýšit obezřetnost.

 

Top malwarové rodiny v České republice - červen 2022

Malwarová rodinaPopisDopad ve světěDopad v ČR
EmotetEmotet je pokročilý modulární trojan, který se může sám šířit. Emotet byl využíván jako bankovní trojan a nyní se používá především pro šíření dalšího malwaru a škodlivých kampaní. Šířit se může i prostřednictvím phishingových e-mailů se škodlivou přílohou nebo odkazem a využívá řadu technik, jak se vyhnout detekci.14,12 %22,13 %
FormBook
FormBook je škodlivý kód, který krade informace a zaměřuje se na operační systém Windows. Poprvé byl detekován v roce 2016 a je prodáván na nelegálních hackerských fórech. I když je jeho cena relativně nízká, má velmi dobré maskovací schopnosti. FormBook shromažďuje přihlašovací údaje z různých webových prohlížečů, vytváří snímky obrazovky, monitoruje a zaznamenává stisknuté klávesy a může stahovat a spouštět soubory na základě pokynů z C&C serveru.4,38 %7,47 %
AgentTeslaAgentTesla je pokročilý RAT, který krade hesla a funguje jako keylogger. Známý je od roku 2014. Agent Tesla může monitorovat a zaznamenávat stisknuté klávesy na počítači oběti, systémovou schránku, dělat snímky obrazovky nebo krást přihlašovací údaje od různých programů (včetně Google Chrome, Mozilla Firefox a e-mailového klienta Microsoft Outlook). Agent Tesla se prodává jako legitimní RAT a zákazníci platí 15–69 dolarů za uživatelskou licenci.2,84 %2,30 %
CutwailBotnet Cutwail rozesílá nevyžádané e-maily. Malware je šířen trojanem Pushdo. Boti se připojují přímo k C&C serveru a dostávají pokyny o rozesílaných e-mailech. Po dokončení úkolu nahlásí boti spammerům přesné statistiky o počtu doručených e-mailů a hlášených chybách. Cutwail mohou hackeři využít také k DDoS útokům.0,36 %1,72 %
NanocoreNanoCore je RAT, který byl poprvé objeven v roce 2013 a zaměřuje se na uživatele operačního systému Windows. Všechny verze obsahují základní pluginy a funkce, jako je snímání obrazovky, těžba kryptoměn, vzdálené ovládání atd.1,37 %1,72 %
RemcosRemcos je RAT (Remote Access Trojan) poprvé detekovaný v roce 2016. Remcos se šíří sám prostřednictvím škodlivých dokumentů Microsoft Office, které jsou připojeny k e-mailovému spamu, a je navržen tak, aby obešel UAC zabezpečení systému Microsoft Windows a spouštěl malware s vysokými právy.2,18 %1,72 %
Snake KeyloggerSnake je modulární .NET keylogger, který byl poprvé detekován koncem listopadu 2020. Mezi jeho hlavní funkce patří zaznamenávání stisknutých kláves, krádeže přihlašovacích údajů a odesílání ukradených dat útočníkům. Snake představuje hrozbu pro soukromí a online bezpečnost uživatelů, protože může krást prakticky všechny druhy citlivých informací a není snadné ho odhalit.4,38 %1,72 %
SeraphSeraph je downloader, který stahuje a instaluje další programy, včetně malwarů, do infikovaného počítače.0,38 %1,15 %
GuLoaderGuLoader je downloader, který je masivně používán od prosince 2019. Na začátku byl vytvořen zejména pro stahování škodlivého kódu Parallax RAT, ale následně se používal k šíření i dalších trojanů a malwarů, jako jsou Netwire, FormBook a Agent Tesla.0,97 %1,15 %
XMRigXMRig je open-source CPU mining software využívaný pro těžbu kryptoměny Monero. Poprvé byl detekován v květnu 2017.2,52 %1,15 %
NetwireNástroj pro vzdálenou správu (RAT), který dokáže krást data a soubory, zaznamenávat stisknuté klávesy a odsílat útočníkům finanční informace, včetně bankovních přihlašovacích údajů a údajů o kreditních kartách. Malware se šíří na POS počítače prostřednictvím phishingových e-mailů zaměřených na konkrétní zaměstnance a po spuštění začne sbírat přihlašovací údaje.0,75 %1,15 %