Valak-malware kan nu ook (gevoelige) data van zowel particulieren als bedrijven ontfutselen
16 oktober 2020 -
Check Point Research, de Threat Intelligence-tak van Check Point Software Technologies Ltd. heeft zijn recentste Global Threat Index voor september 2020 gepubliceerd. De onderzoekers ontdekten dat een bijgewerkte versie van Valak-malware voor het eerst in de index opduikt en meteen een plaats in de top tien opeist.
Valak werd eind 2019 voor het eerst waargenomen. Het is een geavanceerde bedreiging waarvan in de afgelopen maanden nieuwe varianten zijn ontdekt. De nieuwe varianten kregen een paar extra functies waardoor de Valak-malware nu ook (gevoelige) data van zowel particulieren als bedrijven kan ontfutselen. De data zijn afkomstig van de Microsoft Exchange mailsystemen, maar ook van inloggegevens van gebruikers en domeincertificaten. In de loop van september is de Valak-malware op grote schaal verspreid via spam-campagnes met kwaadaardige .doc-bestanden als bijlage.
In het algemeen klassement blijft de Emotet-trojan voor de derde maand op rij de Index leiden. Deze trojan heeft een impact op veertien procent van de organisaties wereldwijd. De Qbot-trojan, die in augustus voor het eerst in de lijst werd opgenomen, werd in september ook op grote schaal gebruikt en steeg van plek tien naar zes in de index.
"Deze nieuwe campagnes met Valak tonen opnieuw aan hoe cybercriminelen hun investeringen in bewezen vormen van malware willen maximaliseren. Samen met de vernieuwde versies van Qbot is Valak bedoeld om op grote schaal gegevens en inloggegevens te kunnen stelen. Bedrijven moeten kijken naar hoe ze anti-malware-oplossingen inzetten om te voorkomen dat dergelijke content de eindgebruikers bereikt. Daarnaast moeten ze hun werknemers adviseren om altijd op te letten als ze e-mails openen. Zelfs als die mails op het eerste gezicht van een vertrouwde bron afkomstig zijn," aldus Maya Horowitz, Director, Threat Intelligence & Research, Products bij Check Point.
Top malware-families
Deze maand is de modulaire trojan Emotet opnieuw de populairste malware met een wereldwijde impact van veertien procent van de organisaties. Op de tweede en derde plaats staan nog twee Trojaanse paarden: Trickbot en Dridex met een respectievelijke impact van vier en drie procent. Dridex richt zich op het Windows-platform en wordt gedownload via een e-mailbijlage. Het stuurt informatie door over het geïnfecteerde systeem en kan ook willekeurige modules downloaden.
Meest uitgebuite kwetsbaarheid
Deze maand is ‘MVPower DVR Remote Code Execution’ de meest uitgebuite kwetsbaarheid, met gevolgen voor 46 procent van de organisaties wereldwijd. Een aanvaller kan via deze kwetsbaarheid van afstand willekeurige codes in de betreffende router uitvoeren. Op twee staat ‘Dasan GPON Router Authentication Bypass’ die 42 procent van de organisaties wereldwijd heeft geraakt. De top drie wordt, net als vorige maand, vervolledigd met de kwetsbaarheid ‘OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346)’.
Top mobiele malware-families
De Global Threat Index bekijkt mobiele malware als een aparte categorie. Deze maand staat de mobiele trojan xHelper op de eerste plaats als meest voorkomende malware voor smartphones en tablets. xHelper is een kwaadaardige applicatie die wordt ingezet om andere kwaadaardige apps te laten downloaden en kwaadaardige advertenties te tonen. De app is in staat zich te verbergen voor de gebruiker en zichzelf opnieuw te installeren als de gebruiker de app verwijdert. De top drie bestaat verder uit Xafecopy en Hiddad. XafeCopy is een trojan die zich voordoet als een nuttige app, zoals Battery Master. Zodra de app is geactiveerd, klikt de Xafecopy malware op webpagina's met Wireless Application Protocol (WAP)-facturatie - een vorm van mobiele betaling die de kosten direct in rekening brengt op de mobiele telefoonrekening van de gebruiker.
De volledige lijst van de top tien van malwarefamilies in september is te vinden op de Check Point Blog.