Các nhà nghiên cứu tại Check Point đã phát hiện thấy sự gia tăng gần 400% trong các cuộc tấn công phần mềm độc hại khai thác tiền điện tử nhằm vào iPhone. Sự gia tăng đã được chứng kiến trong hai tuần cuối cùng của tháng 9, khi các cuộc tấn công chống lại người dùng trình duyệt Safari cũng gia tăng đáng kể. Các cuộc tấn công này sử dụng phần mềm độc hại khai thác Coinhive, vốn đã ở vị trí số một trong Chỉ số kể từ tháng 12 năm 2017, xuất hiện một năm trước vào tháng 9 năm 2017.
Khai thác tiền điện tử tiếp tục là mối đe dọa chính mà các tổ chức trên toàn thế giới phải đối mặt. Các cuộc tấn công vào Apple thiết bị không sử dụng bất kỳ chức năng mới nào. Lý do đằng sau sự gia tăng này vẫn chưa được biết đến, nhưng nhắc nhở chúng ta rằng thiết bị di động là một yếu tố thường bị bỏ qua trong bề mặt tấn công của một tổ chức. Điều quan trọng là các thiết bị di động phải được bảo vệ bằng một giải pháp ngăn chặn mối đe dọa toàn diện, để ngăn chặn chúng trở thành điểm yếu trong các biện pháp bảo vệ an ninh của doanh nghiệp.
Coinhive hiện tác động đến 19% tổ chức trên toàn thế giới và một lần nữa các thợ đào tiền điện tử lại thống trị chỉ số mối đe dọa. Trong khi đó, Dorkbot – trojan đánh cắp thông tin nhạy cảm và khởi động các cuộc tấn công từ chối dịch vụ, vẫn ở vị trí thứ hai với tác động toàn cầu của 7%.
Top 10 ‘Yêu thích nhất’ tháng 9 năm 2018:
(Các mũi tên liên quan đến sự thay đổi thứ hạng so với tháng trước.)
↔ Coinhive – Người khai thác tiền điện tử được thiết kế để thực hiện khai thác trực tuyến tiền điện tử Monero khi người dùng truy cập trang web mà người dùng không biết hoặc chấp thuận lợi nhuận với người dùng. JavaScript được cấy ghép sử dụng rất nhiều tài nguyên tính toán của máy người dùng cuối để khai thác tiền và có thể làm hỏng hệ thống.
↔ Dorkbot– loại sâu được thiết kế để cho phép thực thi mã từ xa cũng như tải phần mềm độc hại bổ sung vào hệ thống bị nhiễm.
↑ Cryptoloot – Người khai thác tiền điện tử, sử dụng sức mạnh CPU hoặc GPU của nạn nhân và các tài nguyên hiện có để khai thác tiền điện tử – thêm giao dịch vào chuỗi khối và phát hành tiền tệ mới. Nó là một đối thủ cạnh tranh với Coinhive, đang cố gắng kéo tấm thảm xuống bằng cách yêu cầu một tỷ lệ phần trăm doanh thu thấp hơn từ các trang web.
↔ Andromeda – Một bot mô-đun được sử dụng chủ yếu như một cửa sau để cung cấp phần mềm độc hại bổ sung trên các máy chủ bị nhiễm có thể được sửa đổi để tạo ra các loại botnet khác nhau.
↔ Jsecoin – Trình khai thác JavaScript có thể được nhúng vào các trang web. Với JSEcoin, bạn có thể chạy công cụ khai thác trực tiếp trong trình duyệt của mình để đổi lấy trải nghiệm không có quảng cáo, tiền tệ trong trò chơi và các ưu đãi khác.
↑ Thô sơ – Quảng cáo độc hại quy mô lớn được sử dụng để cung cấp các trang web độc hại và tải trọng khác nhau như lừa đảo, phần mềm quảng cáo, bộ dụng cụ khai thác và ransomware. Nó có thể được sử dụng để tấn công bất kỳ loại nền tảng và hệ điều hành nào, đồng thời sử dụng tính năng bỏ qua trình chặn quảng cáo và lấy dấu vân tay để đảm bảo nó mang lại cuộc tấn công phù hợp nhất.
↓ Ramnit – Trojan ngân hàng đánh cắp thông tin xác thực ngân hàng, mật khẩu FTP, cookie phiên và dữ liệu cá nhân.
↓ XMRig – XMRig là một phần mềm khai thác CPU mã nguồn mở được sử dụng cho quá trình khai thác tiền điện tử Monero, được xuất hiện lần đầu tiên vào tháng 5 năm 2017.
↔ Conficker – Một loại sâu cho phép hoạt động từ xa và tải xuống phần mềm độc hại. Máy bị nhiễm được điều khiển bởi một mạng botnet, mạng này sẽ liên hệ với máy chủ Command & Control của nó để nhận hướng dẫn.
↑ Emotet – Emotet là một Trojan nhắm mục tiêu Windows nền tảng. Phần mềm độc hại này gửi thông tin hệ thống đến nhiều máy chủ điều khiển và có thể tải xuống các tệp cấu hình và các thành phần khác. Theo báo cáo, nó nhắm mục tiêu đến khách hàng của một số ngân hàng nhất định và kết nối các API khác nhau để theo dõi và ghi lại lưu lượng mạng. Phần mềm độc hại tạo một mục đăng ký khóa Run để bắt đầu sau khi hệ thống khởi động lại.
Một lần nữa, Lokibot, một Trojan ngân hàng Android và kẻ đánh cắp thông tin, là phần mềm độc hại phổ biến nhất được sử dụng để tấn công các cơ sở di động của tổ chức, sau đó là Lotoor và Triada.
Hàng đầu của tháng 9 3 Phần mềm độc hại trên điện thoại di động ‘Muốn nhất’:
Lokibot – Trojan ngân hàng Android và kẻ đánh cắp thông tin, cũng có thể biến thành ransomware khóa điện thoại trong trường hợp đặc quyền quản trị của nó bị xóa.
Lotoor – Công cụ hack khai thác lỗ hổng trên hệ điều hành Android nhằm chiếm quyền root trên thiết bị di động bị xâm nhập.
Triada – Backdoor mô-đun cho Android cấp đặc quyền người dùng cấp cao đối với phần mềm độc hại đã tải xuống, giúp nó được nhúng vào các quy trình hệ thống. Triada cũng đã bị phát hiện giả mạo các URL được tải trong trình duyệt.
Các nhà nghiên cứu của Check Point cũng đã phân tích các lỗ hổng mạng bị khai thác nhiều nhất. CVE-2017-7269 là lỗ hổng được khai thác phổ biến nhất trong lần thứ 7 liên tiếp với mức độ ảnh hưởng toàn cầu của 48% tổ chức. Ở vị trí thứ hai là CVE-2016-6309 với mức ảnh hưởng toàn cầu là 43%, theo sát là các máy chủ Web PHPMyAdmin Mã định cấu hình sai ảnh hưởng đến 42% tổ chức.
Hàng đầu của tháng 9 3 Các lỗ hổng được khai thác nhiều nhất:
↔ Tràn bộ đệm Microsoft IIS WebDAV ScStoragePathFromUrl (CVE-2017-7269) – Bằng cách gửi một yêu cầu thủ công qua mạng tới Microsoft Windows Server 2003 R2 thông qua Microsoft Internet Information Services 6.0, kẻ tấn công từ xa có thể thực thi mã tùy ý hoặc gây ra điều kiện từ chối dịch vụ trên máy chủ mục tiêu. Điều đó chủ yếu là do lỗ hổng tràn bộ đệm do xác thực không đúng tiêu đề dài trong yêu cầu HTTP.
↑ OpenSSL tls_get_message_body Hàm init_msg Cấu trúc Sử dụng Sau khi Miễn phí (CVE-2016-6309) – Một lỗ hổng sử dụng sau khi không sử dụng đã được báo cáo trong hàm tls_get_message_body của OpenSSL. Kẻ tấn công từ xa, chưa được xác thực có thể khai thác lỗ hổng này bằng cách gửi một thông điệp được tạo thủ công tới máy chủ dễ bị tấn công. Khai thác thành công cho phép kẻ tấn công thực thi mã tùy ý trên hệ thống.
↑ Máy chủ web PHPMyAdmin Chèn mã cấu hình sai – Một lỗ hổng chèn mã đã được báo cáo trong PHPMyAdmin. Lỗ hổng là do PHPMyAdmin định cấu hình sai. Kẻ tấn công từ xa có thể khai thác lỗ hổng này bằng cách gửi một yêu cầu HTTP được chế tạo đặc biệt tới mục tiêu.
. .
…
