Rambler's Top100
 
Все новости Новости компаний

В августе обновленный троян Qbot впервые вошел в топ вредоносных программ

15 сентября 2020

Команда исследователей Check Point Research опубликовала отчет Global Threat Index с самыми активными угрозами в августе 2020 года. Исследователи сообщают, что троян Qbot впервые вошел в первую десятку самых распространенных вредоносных программ в августе — он занял 10-е место. На первом месте по-прежнему остается троян Emotet, он затрагивает 14% организаций во всем мире.

Впервые троян Qbot появился в 2008 году, и с тех пор он постоянно дорабатывался и улучшался. Сейчас он использует продвинутые методы для кражи учетных данных и установки программ-вымогателей, что, по мнению исследователей, делает его вредоносным компьютерным эквивалентом швейцарского армейского ножа. Сейчас у Qbot появился новый модуль сбора сообщений электронной почты: он извлекает трафик из Outlook жертвы и загружает его на внешний удаленный сервер.

Так Qbot может перехватывать электронные сообщения своих жертв, а затем рассылать спам, используя эти письма. Это увеличивает шансы на то, что другие пользователи тоже заразятся. Также Qbot может в любое время подключаться к устройству жертвы и осуществлять банковские транзакции без ее ведома. 

 Исследователи Check Point обнаружили несколько кампаний с обновленной версией Qbot в период с марта по август 2020 года, в том числе кампанию, где Qbot распространялся с помощью трояна Emotet. В июле 2020 года эта кампания затронула 5% организаций во всем мире.

«Злоумышленники всегда ищут способы усовершенствовать вредоносное ПО. Сейчас они явно вкладывают значительные средства в разработку Qbot –– его можно будет использовать для массовых краж данных организаций и рядовых пользователей, –– рассказывает Василий Дягилев, глава представительства Check Point Software Technologies в России и СНГ. –– Мы уже видели активные кампании вредоносного спама, которые распространяли Qbot. Мы также отмечали, что иногда Qbot распространяется с помощью другого трояна, Emotet. Компаниям необходимо задуматься о введении защитных решений, которые предотвратят попадание такого контента к пользователям. Важно напоминать сотрудникам, что нужно быть очень аккуратными при открытии писем, даже если на первый взгляд кажется, что они пришли из надежного источника».

Самое активное вредоносное ПО в августе 2020 в России:

  1. Emotet — продвинутый самораспространяющийся модульный троян. Emotet когда-то был рядовым банковским трояном, а в последнее время используется для дальнейшего распространения вредоносных программ и кампаний. Новый функционал позволяет рассылать фишинговые письма, содержащие вредоносные вложения или ссылки.
  2. Agent Tesla — усовершенствованная RAT. AgentTesla заражает компьютеры с 2014 года, выполняя функции кейлоггера и похитителя паролей. Вредоносная программа способна отслеживать и собирать вводимые данные с клавиатуры жертвы, делать скриншоты и извлекать учетные данные, относящиеся к различным программам, установленным на компьютер жертвы (включая Google Chrome, Mozilla Firefox и Microsoft Outlook).
  3. Pykspa –– червь, распространяющийся через отправку сообщений контактам в Skype. Он извлекает личную информацию о пользователях с устройств и обменивается данными с удаленными серверами с помощью алгоритмов генерации доменов (DGA).

 

Самое активное вредоносное ПО в августе 2020 в мире

В этом месяце Emotet остается самым распространенным вредоносным ПО в мире –- он затронул 14% организаций. За ним следуют Agent Tesla и Formbook, каждый из которых затрагивает по 3% компаний.

1.     Emotet — продвинутый самораспространяющийся модульный троян. Emotet когда-то был рядовым банковским трояном, а в последнее время используется для дальнейшего распространения вредоносных программ и кампаний. Новый функционал позволяет рассылать фишинговые письма, содержащие вредоносные вложения или ссылки.

2.     Agent Tesla — усовершенствованная RAT. AgentTesla заражает компьютеры с 2014 года, выполняя функции кейлоггера и похитителя паролей. Вредоносная программа способна отслеживать и собирать вводимые данные с клавиатуры жертвы, делать скриншоты и извлекать учетные данные, относящиеся к различным программам, установленным на компьютер жертвы (включая Google Chrome, MozillaFirefox и Microsoft Outlook).

3.     FormBook был впервые обнаружен в 2016 году: это инфостилер, предназначенный для ОС Windows. На подпольных хакерских форумах он позиционируется как MaaS из-за его развитых методов уклонения и относительно низкой цены. FormBook собирает учетные данные из различных веб-браузеров, делает снимки экрана, отслеживает и регистрирует нажатия клавиш, а также может загружать и выполнять файлы в соответствии с приказами своего командного сервера.

Самые распространенные уязвимости в августе 2020: 

В этом месяце самой популярной уязвимостью стала «Раскрытие информации в хранилище Git на веб-сервере» — она затронула 47% организаций во всем мире. На втором и третьем месте — «Удаленное выполнение кода MVPower DVR» (затронуло 43% организаций по всему миру) и «Обход аутентификации роутера Dasan GPO» — 37%.

  1. Раскрытие информации в хранилище Git на веб-сервере. В Git Repository была обнаружена уязвимость, которая могла привести к раскрытию информации учетной записи.
  2. Удаленное выполнение кода MVPower DVR. В устройствах MVPower DVR существует уязвимость удаленного выполнения кода. Злоумышленник может использовать эту уязвимость для выполнения произвольного кода в уязвимом маршрутизаторе с помощью специально созданного запроса.
  3. Обход аутентификации роутера Dasan GPON (CVE-2018-10561) - уязвимость обхода аутентификации, существующая в роутерах Dasan GPON. Успешное использование этой уязвимости позволит удаленным злоумышленникам получить конфиденциальную информацию и получить несанкционированный доступ к уязвимой системе.

Самые активные мобильные угрозы в августе 2020

1.     xHelper — вредоносное приложение для Android, активно с марта 2019 года, используется для загрузки других вредоносных приложений и отображения рекламы. Приложение способно скрывать себя от пользовательских и мобильных антивирусных программ и переустанавливать себя, если пользователь удаляет его.

2.     Necro — троян-дроппер для Android, который загружает вредоносное ПО, запускает навязчивую рекламу и оформляет платные подписки, взымая деньги с пользователей.

3.     Hiddad — Модульный бэкдор для Android, который предоставляет права суперпользователя для загруженного вредоносного ПО, а также помогает внедрить его в системные процессы. Он может получить доступ к ключевым деталям безопасности, встроенным в ОС, что позволяет ему получать конфиденциальные данные пользователя.

Global Threat Impact Index и ThreatCloud Map разработаны ThreatCloud intelligence, самой большой совместной сетью по борьбе с киберпреступностью, которая предоставляет данные об угрозах и тенденциях атак из глобальной сети датчиков угроз. База данных ThreatCloud, содержащая более 250 миллионов адресов, проанализированных для обнаружения ботов, более 11 миллионов сигнатур вредоносных программ и более 5,5 миллионов зараженных сайтов, продолжает ежедневно идентифицировать миллионы вредоносных программ.

Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.