Check Point waarschuwt voor spam over klimaatactiviste Greta Thunberg met Emotet-malware

Check Point Research, het Threat Intel­li­gence-team van Check Point Software Tech­no­lo­gies, waar­schuwt in zijn recentste Global Threat Index (december 2019) voor de versprei­ding van Emotet-malware. Voor de derde maand op rij is Emotet de belang­rijkste cyber­be­drei­ging. De malware is vorige maand via allerlei spam-campagnes verspreid, onder meer via e‑mails die oproepen om klimaat­ac­ti­viste Greta Thunberg als persoon van het jaar (TIME) te steunen of met berichten over Kerstmis.

In beide gevallen bevatten de mails een Word-document dat bij opening Emotet op de computer van de ontvanger probeert te down­lo­aden. Emotet wordt hoofd­za­ke­lijk gebruikt om ransom­ware en andere malafide campagnes te verspreiden.

 

“De afgelopen drie maanden zijn de bedrei­gingen voor orga­ni­sa­ties heel veel­zijdig geweest met malware zoals Emotet en xHelper. Hiermee kunnen cyber­cri­mi­nelen op verschil­lende manieren geld verdienen met een aanval”, zegt Maya Horowitz, directeur Threat Intel­li­gence & Research, Products bij Check Point. “Crimi­nelen proberen binnen te dringen bij zoveel mogelijk orga­ni­sa­ties en apparaten om de aanvallen zo lucratief en scha­de­lijk mogelijk te maken. Het is daarom essen­tieel dat orga­ni­sa­ties hun mede­wer­kers wijzen op de risico’s omtrent het openen van bijlagen in e‑mails, het down­lo­aden van bestanden en het klikken op links die niet afkomstig zijn van een betrouw­bare bron of contactpersoon.”

 

Emotet blijft in de Global Threat Index dus de belang­rijkste bedrei­ging voor orga­ni­sa­ties. De malware trof in december wereld­wijd 13% van de orga­ni­sa­ties, een toename van 9% in verge­lij­king met een maand eerder. Op de tweede plaats staat nog steeds XMRig, open source-software waarmee het mining-proces van de Monero-cryp­to­cur­r­ency wordt beïnvloed.

 

Tot slot houdt ook Trickbot stand in de top drie. Dat is een dominante trojan voor bankieren die voort­du­rend wordt bijge­werkt met nieuwe moge­lijk­heden en functies. Daardoor kan deze flexibele malware als onderdeel van campagnes met meerdere doel­einden verspreid worden. XMRig en Trickbot troffen vorige maand elk 7% van de organisaties.

 

Bij malware voor mobiele apparaten is xHelper de grootste boos­doener. Hiermee worden kwaad­aar­dige apps en adver­ten­ties gedown­load. De Android-appli­catie kan zichzelf verbergen voor de gebruiker en voor mobiele antivirusprogramma’s. Bovendien is xHelper in staat zichzelf opnieuw te instal­leren nadat de gebruiker de instal­latie ongedaan heeft gemaakt.

 

Op de tweede plaats staat nog steeds Guerilla, een trojan voor Android die in verschil­lende legitieme appli­ca­ties zit inge­sloten en valse adver­tentie-inkomsten voor ontwik­ke­laars genereert. Nieuw­komer in de top drie is Hiddad, Android-malware die legitieme apps herver­pakt en in de winkel van een derde partij vrijgeeft. De belang­rijkste functie is het weergeven van adver­ten­ties, maar het heeft ook toegang tot belang­rijke bevei­li­gings­de­tails in het besturingssysteem.

 

De Global Threat Index van Check Point rang­schikt ook maan­de­lijks de meest voor­ko­mende kwets­baar­heden. Hier valt een sterke toename op in ‘Command Injection Over HTTP’. Maar liefst 33% van de orga­ni­sa­ties wereld­wijd is doelwit. Een externe aanvaller kan dit secu­ri­tylek misbruiken door een speciaal vervaar­digd verzoek naar het slacht­offer te sturen. Bij succes­volle exploi­tatie kan de aanvaller vervol­gens een wille­keu­rige code op de doel­ma­chine uitvoeren. Het gebruikte bestand bevat ook een aantal links naar payloads die misbruik maken van kwets­baar­heden in verschil­lende IoT-apparaten van fabri­kanten, waaronder D‑Link, Huawei en RealTek, met de bedoeling deze apparaten voor botnets te rekruteren.

 

MVPower DVR Remote Code Execution is een ander secu­ri­tylek dat ook de voorbije maand weer vaak is uitgebuit. Op de derde plaats staat Web Server Exposed Git Repo­si­tory Infor­ma­tion Disclo­sure, waarmee infor­matie over een account openbaar wordt gemaakt.

 

De Global Threat Impact Index van Check Point is het resultaat van de Thre­at­Cloud-intel­li­gence van Check Point, het grootste samen­wer­kings­net­werk voor de bestrij­ding van cyber­cri­mi­na­li­teit. Dit verzamelt en analy­seert bedrei­gings­data en aanval­strends van een wereld­wijd netwerk van sensoren. De Thre­at­Cloud-database bevat meer dan 250 miljoen adressen die zijn geana­ly­seerd voor botde­tectie, meer dan 11 miljoen malware-kenmerken en meer dan 5,5 miljoen geïn­fec­teerde websites. Het iden­ti­fi­ceert dagelijks miljoenen soorten malware.