Компания Check Point Software Technologies обнародовала результаты исследования Global Threat Index за июль. После пятимесячного отсутствия троян Emotet возглавил рейтинг самых распространенных вредоносов, оказав влияние на 5% организаций по всему миру.
С февраля деятельность Emotet замедлилась, однако, в июле этот троян снова усилил свою активность. Мошенники рассылали письма, которые содержали зараженные файлы формата DOC. с именами form.doc или invoice.doc. После загрузки файла на устройство пользователя устанавливался вредонос, который крал банковские учетные данные жертвы и распространялся внутри целевых сетей.
Интересно, что Emotet был неактивным в течение нескольких месяцев с начала года, повторяя свою модель поведения, которая наблюдалась в 2019 г. Предположительно разработчики ботнета в это время обновляли его функции.
Наиболее активное вредоносное ПО в июне в мире:
- Emotet – продвинутый самораспространяющийся модульный троян. В свое время он начинал рядовым банковским трояном, но в последнее время используется для дальнейшего распространения вредоносных программ и кампаний. Новый функционал позволяет рассылать фишинговые письма, содержащие вредоносные вложения или ссылки;
- Dridex – банковский троян, поражающий ОС Windows. Он распространяется с помощью спам-рассылок и наборов эксплойтов, которые используют WebInjects для перехвата персональных данных, а также данных банковских карт пользователей.
- Agent Tesla – усовершенствованная RAT. Заражает компьютеры с 2014 г., выполняя функции кейлоггера и похитителя паролей. Вредоносная программа способна отслеживать и собирать вводимые данные с клавиатуры жертвы, делать скриншоты и извлекать учетные данные, относящиеся к различным программам, установленным на компьютер жертвы (включая Google Chrome, MozillaFirefox и Microsoft Outlook).
Распространенные уязвимости июля:
MVPower DVR Remote Code Execution является наиболее распространенной эксплуатируемой уязвимостью, в результате которой были совершены попытки атак на 44% организаций по всему миру. Далее следуют OpenSSL TLS DTLS Heartbeat Information Disclosure и Command Injection Over HTTP Payload с охватом 42 и 38% соответственно.
- Удаленное выполнение кода MVPower DVR. В устройствах MVPower DVR существует уязвимость удаленного выполнения кода. Злоумышленник может использовать эту уязвимость для выполнения произвольного кода в уязвимом маршрутизаторе с помощью специально созданного запроса;
- OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – в OpenSSL существует уязвимость, позволяющая раскрыть содержимое памяти на сервере или на подключенном клиенте. Уязвимость связана с ошибкой при обработке пакетов Heartbeat TLS/ DTLS;
- Command Injection Over HTTP Payload. Злоумышленники удаленно используют эту уязвимость, отправляя жертве специальный запрос. Успешная эксплуатация позволит злоумышленнику выполнить произвольный код на устройстве жертвы.
Самые активные мобильные угрозы июля:
В июле самой распространённой мобильной угрозой был xHelper. Далее следуют Necro и PreAMo.
- xHelper – вредоносное приложение для Android, активно с марта 2019 г., используется для загрузки других вредоносных приложений и отображения рекламы. Приложение способно скрывать себя от пользовательских и мобильных антивирусных программ и переустанавливать себя, если пользователь удаляет его;
- Necro – троян-дроппер для Android, который загружает вредоносное ПО, запускает навязчивую рекламу и оформляет платные подписки, взымая деньги с пользователей;
- PreAMo – вредоносное приложение для Android, которое имитирует клики пользователя по рекламным баннерам от трех рекламных агентств – Presage, Admob и Mopub.
Источник: ko.com.ua
