Команда исследователей Check Point Research, подразделения Check Point® Software Technologies Ltd. (NASDAQ: CHKP), ведущего поставщика решений в области кибербезопасности по всему миру, опубликовала отчет Global Threat Index с самыми активными угрозами в августе 2020 года. Исследователи сообщают, что троян Qbot (также известный как Qakbot и Pinkslipbot) впервые вошел в первую десятку самых распространенных вредоносных программ в августе — он занял 10-е место. На первом месте по-прежнему остается троян Emotet, он затрагивает 14% организаций во всем мире.
Впервые троян Qbot появился в 2008 году, и с тех пор он постоянно дорабатывался и улучшался. Сейчас он использует продвинутые методы для кражи учетных данных и установки программ-вымогателей, что, по мнению исследователей, делает его вредоносным компьютерным эквивалентом швейцарского армейского ножа. Сейчас у Qbot появился новый модуль сбора сообщений электронной почты: он извлекает трафик из Outlook жертвы и загружает его на внешний удаленный сервер.
Так Qbot может перехватывать электронные сообщения своих жертв, а затем рассылать спам, используя эти письма. Это увеличивает шансы на то, что другие пользователи тоже заразятся. Также Qbot может в любое время подключаться к устройству жертвы и осуществлять банковские транзакции без ее ведома.
Исследователи Check Point обнаружили несколько кампаний с обновленной версией Qbot в период с марта по август 2020 года, в том числе кампанию, где Qbot распространялся с помощью трояна Emotet. В июле 2020 года эта кампания затронула 5% организаций во всем мире.
«Злоумышленники всегда ищут способы усовершенствовать вредоносное ПО. Сейчас они явно вкладывают значительные средства в разработку Qbot –– его можно будет использовать для массовых краж данных организаций и рядовых пользователей, –– рассказывает Василий Дягилев, глава представительства Check Point Software Technologies в России и СНГ. –– Мы уже видели активные кампании вредоносного спама, которые распространяли Qbot. Мы также отмечали, что иногда Qbot распространяется с помощью другого трояна, Emotet. Компаниям необходимо задуматься о введении защитных решений, которые предотвратят попадание такого контента к пользователям. Важно напоминать сотрудникам, что нужно быть очень аккуратными при открытии писем, даже если на первый взгляд кажется, что они пришли из надежного источника».
Самое активное вредоносное ПО в августе 2020 в России:
- Emotet — продвинутый самораспространяющийся модульный троян. Emotet когда-то был рядовым банковским трояном, а в последнее время используется для дальнейшего распространения вредоносных программ и кампаний. Новый функционал позволяет рассылать фишинговые письма, содержащие вредоносные вложения или ссылки.
- Agent Tesla — усовершенствованная RAT. AgentTesla заражает компьютеры с 2014 года, выполняя функции кейлоггера и похитителя паролей. Вредоносная программа способна отслеживать и собирать вводимые данные с клавиатуры жертвы, делать скриншоты и извлекать учетные данные, относящиеся к различным программам, установленным на компьютер жертвы (включая Google Chrome, Mozilla Firefox и Microsoft Outlook).
- Pykspa –– червь, распространяющийся через отправку сообщений контактам в Skype. Он извлекает личную информацию о пользователях с устройств и обменивается данными с удаленными серверами с помощью алгоритмов генерации доменов (DGA).
Самое активное вредоносное ПО в августе 2020 в мире
В этом месяце Emotet остается самым распространенным вредоносным ПО в мире –- он затронул 14% организаций. За ним следуют Agent Tesla и Formbook, каждый из которых затрагивает по 3% компаний.
- Emotet — продвинутый самораспространяющийся модульный троян. Emotet когда-то был рядовым банковским трояном, а в последнее время используется для дальнейшего распространения вредоносных программ и кампаний. Новый функционал позволяет рассылать фишинговые письма, содержащие вредоносные вложения или ссылки.
- Agent Tesla — усовершенствованная RAT. AgentTesla заражает компьютеры с 2014 года, выполняя функции кейлоггера и похитителя паролей. Вредоносная программа способна отслеживать и собирать вводимые данные с клавиатуры жертвы, делать скриншоты и извлекать учетные данные, относящиеся к различным программам, установленным на компьютер жертвы (включая Google Chrome, MozillaFirefox и Microsoft Outlook).
- FormBook был впервые обнаружен в 2016 году: это инфостилер, предназначенный для ОС Windows. На подпольных хакерских форумах он позиционируется как MaaS из-за его развитых методов уклонения и относительно низкой цены. FormBook собирает учетные данные из различных веб-браузеров, делает снимки экрана, отслеживает и регистрирует нажатия клавиш, а также может загружать и выполнять файлы в соответствии с приказами своего командного сервера.
Самые распространенные уязвимости в августе 2020:
В этом месяце самой популярной уязвимостью стала «Раскрытие информации в хранилище Git на веб-сервере» — она затронула 47% организаций во всем мире. На втором и третьем месте — «Удаленное выполнение кода MVPower DVR» (затронуло 43% организаций по всему миру) и «Обход аутентификации роутера Dasan GPO» — 37%.
- Раскрытие информации в хранилище Git на веб-сервере. В Git Repository была обнаружена уязвимость, которая могла привести к раскрытию информации учетной записи.
- Удаленное выполнение кода MVPower DVR. В устройствах MVPower DVR существует уязвимость удаленного выполнения кода. Злоумышленник может использовать эту уязвимость для выполнения произвольного кода в уязвимом маршрутизаторе с помощью специально созданного запроса.
- Обход аутентификации роутера Dasan GPON (CVE-2018-10561) — уязвимость обхода аутентификации, существующая в роутерах Dasan GPON. Успешное использование этой уязвимости позволит удаленным злоумышленникам получить конфиденциальную информацию и получить несанкционированный доступ к уязвимой системе.
Самые активные мобильные угрозы в августе 2020
- xHelper — вредоносное приложение для Android, активно с марта 2019 года, используется для загрузки других вредоносных приложений и отображения рекламы. Приложение способно скрывать себя от пользовательских и мобильных антивирусных программ и переустанавливать себя, если пользователь удаляет его.
- Necro — троян-дроппер для Android, который загружает вредоносное ПО, запускает навязчивую рекламу и оформляет платные подписки, взымая деньги с пользователей.
- Hiddad — Модульный бэкдор для Android, который предоставляет права суперпользователя для загруженного вредоносного ПО, а также помогает внедрить его в системные процессы. Он может получить доступ к ключевым деталям безопасности, встроенным в ОС, что позволяет ему получать конфиденциальные данные пользователя.
Global Threat Impact Index и ThreatCloud Map разработаны ThreatCloud intelligence, самой большой совместной сетью по борьбе с киберпреступностью, которая предоставляет данные об угрозах и тенденциях атак из глобальной сети датчиков угроз. База данных ThreatCloud, содержащая более 250 миллионов адресов, проанализированных для обнаружения ботов, более 11 миллионов сигнатур вредоносных программ и более 5,5 миллионов зараженных сайтов, продолжает ежедневно идентифицировать миллионы вредоносных программ.
Более подробную информацию и полный рейтинг 10 самых активных вредоносных программ, по данным Global Threat Index за август, можно найти в блоге Check Point.
Со средствами предотвращения вредоносных атак Check Point можно ознакомиться по ссылке: http://www.checkpoint.com/threat-prevention-resources/index.html