Cybercriminelen zijn behoorlijk actief geweest in het ontwikkelen van nieuwe malware voorbeelden en het verbeteren van hun kwaadaardige benaderingen. Volgens PurpleSec-statistieken, overal cybercriminaliteit 2021 is op geweest 600% vanwege de COVID-19 pandemie.
Dientengevolge, cybersecurity-onderzoekers hebben een aantal nieuwe, voorheen ongeziene malware-stukken. We hebben geselecteerd 10 nieuwe bedreigingen met verschillende mogelijkheden die de afgelopen maanden in het wild zijn gedetecteerd, gericht op Android, MacOS, Windows, en Linux:
- Twee nieuwe malware-laders: Wslink en Eekhoornwafel;
- Een Linux-rootkit, genaamd FontOnLake/HCRootkit;
- Twee trojans voor Android-bankieren: GriftPaard en Ermac;
- Twee geavanceerde achterdeuren: FoggyWeb en Solarmarker;
- de Meris DDoS botnet;
- De LockFile ransomware die unieke encryptie gebruikt;
- De gedetecteerde in 2020 XCSSET Mac-malware, nu bijgewerkt met nieuwe mogelijkheden.
Ontkenning: De cyberbedreigingen die in dit artikel worden genoemd, vormen een klein deel van alle malware die is ontstaan in 2021. onze top 10 selectie van 2021 malware is slechts een voorbeeld van het steeds veranderende dreigingslandschap.
Wslink Malware Loader
In oktober werd een voorheen onbekende malware-loader ontdekt, 2021. Gebeld Wslink, de tool is "eenvoudig maar opmerkelijk",” in staat om kwaadaardige Windows-binaries te laden. De lader is gebruikt bij aanvallen op Centraal-Europa, Noord Amerika, en het Midden-Oosten.
Wat uniek is aan deze voorheen ongedocumenteerde loader, is de mogelijkheid om als een server te werken en ontvangen modules in het geheugen uit te voeren. Volgens het rapport opgesteld door ESET-onderzoekers, de initiële compromisvector is ook onbekend. De onderzoekers konden geen van de modules verkrijgen die de lader zou moeten ontvangen. Geen code, functionaliteit of operationele overeenkomsten suggereren dat de lader is gecodeerd door een bekende dreigingsactor.
SquirrelWaffle Malware Loader
In oktober verscheen nog een malware-loader 2021, met het potentieel om "the next big thing" te worden in spamoperaties. Dubbed EekhoornWafel, de dreiging is het "mal-spammen" van kwaadaardige Microsoft Office-documenten. Het einddoel van de campagne is het leveren van de bekende Qakbot-malware, evenals Cobalt Strike. Dit zijn twee van de meest voorkomende boosdoeners die worden gebruikt voor het targeten van organisaties over de hele wereld.
Volgens Cisco Talos-onderzoekers Edmund Brumaghin, Mariano Graziano en Nick Mavis, "SquirrelWaffle biedt dreigingsactoren een eerste houvast op systemen en hun netwerkomgevingen." Deze steun kan later worden gebruikt om verdere compromissen en malware-infecties te vergemakkelijken, afhankelijk van de voorkeuren voor het genereren van inkomsten van de hackers.
“Organisaties moeten zich bewust zijn van deze dreiging, aangezien het in de nabije toekomst waarschijnlijk zal blijven bestaan in het dreigingslandschap,”Aldus de onderzoekers. Een eerdere dreiging van hetzelfde kaliber is Emotet, die organisaties al jaren teistert. Aangezien de activiteiten van Emotet werden verstoord door wetshandhavers, beveiligingsonderzoekers hebben gewacht op de opkomst van een nieuwe soortgelijke speler. En het heeft…
FontOnLake/HCRootkit Linux Rootkit
FontOnLake / HCRootkit is een nieuw, voorheen ongeziene malwarefamilie gericht op Linux-systemen. Nagesynchroniseerd FontOnLake door ESET-onderzoekers, en HCRootkit van Avast en Lacework, de malware heeft rootkit-mogelijkheden, geavanceerd ontwerp en lage prevalentie, wat suggereert dat het voornamelijk bedoeld is voor gerichte aanvallen.
Volgens onderzoekers, de FontOnLake-rootkit wordt continu geüpgraded met nieuwe functies, wat betekent dat het in actieve ontwikkeling is, en het is zeer waarschijnlijk dat het in de toekomst zal worden gebruikt 2022. VirusTotal-voorbeelden van de malware onthullen dat het eerste gebruik in het wild dateert van mei 2020. Het lijkt erop dat de malware zich richt op entiteiten in Zuidoost-Azië, maar andere regio's kunnen binnenkort aan de doellijst worden toegevoegd.
De malware geeft zijn operators toegang op afstand, en kan worden gebruikt voor het verzamelen van referenties en als een proxyserver.
GriftHorse Android Trojan
Een snode Android-trojan, genoemd GriftPaard en verborgen in een agressieve campagne voor mobiele premiumservices heeft honderden miljoenen euro's gestolen. De ontdekking komt van Zimperium zLabs-onderzoekers die ontdekten dat de trojan schadelijke Android-applicaties heeft gebruikt om gebruikersinteracties te benutten voor een groter bereik en infectie.
“Deze kwaadaardige Android-applicaties lijken onschadelijk als we kijken naar de winkelbeschrijving en de gevraagde toestemmingen, maar dit valse gevoel van vertrouwen verandert wanneer gebruikers maand na maand in rekening worden gebracht voor de premium-service waarop ze zijn geabonneerd zonder hun medeweten en toestemming,"Het rapport onthulde".
Forensisch bewijs wijst erop dat de bedreigingsacteur van GriftHorse zijn operatie sinds november leidt 2020. Niet verrassend, de betrokken kwaadaardige Android-apps werden verspreid via Google Play, maar app-winkels van derden werden ook gebruikt. Na een melding aan Google, het bedrijf heeft de schadelijke apps uit de Play Store verwijderd. Het slechte nieuws is dat de apps ten tijde van het oorspronkelijke rapport nog beschikbaar waren om te downloaden in app-repository's van derden (September 2021).
Ermac Android-trojan
ERMAC is een andere, eerder onopgemerkte Android banking-trojan gedetecteerd in september 2021. De malware lijkt te zijn bedacht door de BlackRock-cybercriminelen en is gebaseerd op de wortels van de beruchte Cerberus.
"Als we onderzoeken" ERMAC, we kunnen ontdekken dat ERMAC een codegewijze erfgenaam is van een bekende malware Cerberus. Het gebruikt bijna identieke datastructuren bij de communicatie met de C2, het gebruikt dezelfde stringgegevens, et cetera," zei ThreatFabric. De eerste indruk van de onderzoekers was dat de nieuwe Trojan een andere variant van Cerberus is. Ondanks een andere naam en het gebruik van verschillende verduisteringstechnieken en een nieuwe string-encryptie, ERMAC is een andere op Cerberus gebaseerde trojan.
Het verschil met de originele Cerberus is dat ERMAC een ander coderingsschema gebruikt bij de communicatie met de command-and-control-server. De gegevens zijn versleuteld met AES-128-CBC, en voorafgegaan door een dubbel woord dat de lengte van de gecodeerde gegevens bevat, aldus het rapport.
Een duidelijk verband met de BlackRock-malware-operators is het gebruik van hetzelfde IP-adres als command-and-control.
FoggyWeb Post-Exploitation Backdoor
Een nieuwe achterdeur in het wild toegeschreven aan de NOBELIUM-bedreigingsacteur, vermoedelijk achter de SUNBURST-achterdeur, TEARDROP-malware, en "gerelateerde componenten".
Volgens Microsoft Threat Intelligence Center (MSTIC), de zogenoemde MistigWeb is een post-exploitatie achterdeur. De NOBELIUM-dreigingsactor gebruikt meerdere technieken om legitimatiediefstal uit te voeren. Het huidige doel is het verkrijgen van toegang op beheerdersniveau tot Active Directory Federation Services (AD FS) servers.
De achterdeur wordt ook beschreven als "passief" en "zeer gericht",” met geavanceerde mogelijkheden voor gegevensexfiltratie. “Het kan ook aanvullende kwaadaardige componenten ontvangen van een command-and-control (C2) server en voer ze uit op de gecompromitteerde server,"voegden de onderzoekers eraan toe". Het is ook opmerkelijk dat de malware werkt door misbruik van de Security Assertion Markup Language toe te staan (SAML) token in AD FS.
“Het beschermen van AD FS-servers is de sleutel tot het afzwakken van NOBELIUM-aanvallen. Malware detecteren en blokkeren, aanvaller activiteit, en andere kwaadaardige artefacten op AD FS-servers kunnen kritieke stappen in bekende NOBELIUM-aanvalsketens doorbreken,” Microsoft concludeerde.
Achterdeur zonnemarker
Solarmarker is een zeer modulaire backdoor en keylogger met een multistage, zwaar versluierde PowerShell-lader die de .NET-backdoor uitvoert.
Zonnemarkeringen activiteiten werden onafhankelijk geobserveerd door onderzoekers van Crowdstrike en Cisco Talos. Beide bedrijven hebben vorig jaar Solarmarker ontdekt, in oktober en september, respectievelijk. Echter, Talos zegt dat sommige DNS-telemetriegegevens zelfs teruggaan naar april 2020. Dit is het moment waarop de onderzoekers drie primaire DLL-componenten en meerdere varianten ontdekten die vergelijkbaar gedrag vertoonden.
“De lopende campagne van Solarmarker en de bijbehorende malwarefamilie zijn zorgwekkend. Het was aanvankelijk in staat om gedurende een aanzienlijke hoeveelheid tijd te werken en te evolueren, terwijl het relatief onopgemerkt bleef,” noteren de onderzoekers tot slot. Ze verwachten ook verdere actie en ontwikkeling van de auteurs van Solarmarker, die waarschijnlijk nieuwe tactieken en procedures aan de malware zullen toevoegen..
Meris DDoS-botnet
Eind juni, 2021, beveiligingsonderzoekers van het Russische bedrijf Qrator begonnen met het observeren van "een botnet van een nieuw soort". Een gezamenlijk onderzoek met Yandex volgde om meer te ontdekken over deze nieuwe DDoS-dreiging die "in bijna realtime opduikt".
Een behoorlijk substantiële, constant groeiende aanvalskracht, zoals Qrator het uitdrukte, werd ontdekt in de vorm van tienduizenden hostapparaten. Het botnet is nagesynchroniseerd Meris, wat plaag betekent in het Lets.
"Afzonderlijk, QRator Labs zag de 30 000 host apparaten in werkelijke aantallen door middel van verschillende aanvallen, en Yandex verzamelden de gegevens over: 56 000 aanvallende gastheren,” volgens het officiële rapport. Dit aantal is waarschijnlijk nog hoger, bereiken 200,000. Het is opmerkelijk dat de apparaten van dit botnet zeer capabel zijn en niet de statistisch gemiddelde apparaten zijn die via Ethernet zijn aangesloten.
De nieuwe Mirai?
"Sommige mensen en organisaties noemden het botnet al "een terugkeer van Mirai", waarvan we denken dat het niet juist is,” merkte Qrator op. Aangezien de onderzoekers de kwaadaardige code achter dit nieuwe botnet niet hebben gezien, ze kunnen niet met zekerheid zeggen of het op de een of andere manier gerelateerd is aan Mirai. Echter, omdat de apparaten die het samenbrengt, van slechts één fabrikant afkomstig zijn, Mikrotek, het is waarschijnlijker dat het Meris-botnet niets met Mirai . te maken heeft.
LockFile Ransomware
Het LockFile-ransomware verscheen in juli 2021. De ransomware heeft bij zijn aanvallen misbruik gemaakt van de ProxyShell-kwetsbaarheden in Microsoft Exchange-servers. De fouten worden ingezet "om doelen te doorbreken met niet-gepatchte", on-premises Microsoft Exchange-servers, gevolgd door een PetitPotam NTLM-relay-aanval om de controle over het domein te grijpen,” volgens Sophos’ Mark Loman.
Wat vooral opvalt aan deze ransomware, echter, is de encryptie ervan?. Intermitterende versleuteling is tot nu toe door geen enkele bekende ransomware gebruikt, en het is door de dreigingsactoren gekozen voor ontwijkingsdoeleinden.
Hoe werkt intermitterende versleuteling?? Het cryptovirus versleutelt elke 16 bytes van een bestand in een poging om detectie door ransomware-beveiligingsoplossingen te omzeilen. Blijkbaar, een op deze manier versleuteld document lijkt erg op het versleutelde origineel.
Ontduiking is mogelijk in gevallen waarin anti-ransomware-tools de zogenaamde "chi-kwadraat" gebruiken (chi^2)” analyse, het veranderen van de statistische manier waarop deze analyse wordt gedaan en dus verwarrend.
Het is ook opmerkelijk dat de ransomware geen verbinding hoeft te maken met een command-and-control-server, waardoor het gedrag onder de radar nog geavanceerder wordt, wat betekent dat het gegevens kan versleutelen op machines die geen internettoegang hebben.
XCSSET Mac-malware
In maart, 2021, Sentinel Labs-onderzoekers werden zich bewust van een trojanized Xcode-project gericht op iOS-ontwikkelaars. Het project was een kwaadaardige versie van een legitiem, open-sourceproject beschikbaar op GitHub, waardoor iOS-programmeurs verschillende geavanceerde functies kunnen gebruiken voor het animeren van de iOS-tabbalk.
Een soortgelijke campagne werd in april gedetecteerd, gericht op Xcode-ontwikkelaars, uitgerust met Macs met de nieuwe M1-chips van Apple. De malware is ook in staat om gevoelige informatie van cryptocurrency-applicaties te stelen.
Opgemerkt moet worden dat de zogenaamde XCSSET-malware werd voor het eerst ontdekt in augustus, 2020, toen het zich verspreidde via gewijzigde Xcode IDE-projecten. De malware handelt meestal door payloadmodules opnieuw te verpakken zodat ze verschijnen als legitieme Mac-apps, die uiteindelijk lokale Xcode-projecten infecteren.
De modules van de malware omvatten het stelen van inloggegevens, screenshot vastleggen, het injecteren van kwaadaardig JavaScript in websites, het stelen van app-gegevens, en in sommige gevallen, zelfs ransomware-mogelijkheden.
Nieuwere XCSSET-varianten zijn speciaal samengesteld voor Apple M1-chips. Dit is een duidelijk teken dat de malware-operators hun malware aanpassen aan de nieuwste Apple-technologieën.
Tenslotte…
Alle hierboven beschreven malwaregevallen illustreren het belang van adequate bescherming, preventie en uitstekende online hygiënegewoonten. In deze roerige tijden, laten we niet vergeten hoe cruciaal het is om aan onze online veiligheid te denken, ook.
PS: Als je dit artikel nuttig vond, zorg ervoor om te lezen: