IT NewsНовости рынкаБезопасность

Троян Emotet активизировался после пятимесячного затишья

Екатерина Александрова | 11.08.2020

Троян Emotet активизировался после пятимесячного затишья

Компания Check Point Software Technologies опубликовала результаты исследования Global Threat Index за июль. Так, троян Emotet после пятимесячного отсутствия возглавил рейтинг самых распространенных вредоносных ПО, оказав влияние на 5% организаций по всему миру.

С февраля 2020 г. деятельность Emotet замедлилась, однако, в июле троян снова усилил свою активность. Мошенники рассылали письма, которые содержали зараженные файлы формата doc. с именами «form.doc» или «invoice.doc». После загрузки файла на устройство пользователя устанавливался вредонос, который крал банковские учетные данные жертвы и распространялся внутри целевых сетей.

Check Point отмечает, что Emotet был неактивным в течение нескольких месяцев с начала этого года, повторяя свою модель поведения, которая впервые наблюдалась в 2019 г. Специалисты компании предполагают, что разработчики ботнета все это время обновляли его функции.

Самое активное вредоносное ПО в июне в мире

Троян Emotet возглавил список самых активных вредоносных ПО, оказав влияние на 5% организаций во всем мире. За ним следуют Dridex и Agent Tesla с охватом 4% каждый.

1. Emotet — продвинутый самораспространяющийся модульный троян. Emotet когда-то был рядовым банковским трояном, а в последнее время используется для дальнейшего распространения вредоносных программ и кампаний. Новый функционал позволяет рассылать фишинговые письма, содержащие вредоносные вложения или ссылки.

2. Dridex — банковский троян, поражающий ОС Windows. Dridex распространяется с помощью спам-рассылок и наборов эксплойтов, которые используют WebInjects для перехвата персональных данных, а также данных банковских карт пользователей.

3. Agent Tesla — усовершенствованная RAT. AgentTesla заражает компьютеры с 2014 г., выполняя функции кейлоггера и похитителя паролей. Вредоносная программа способна отслеживать и собирать вводимые данные с клавиатуры жертвы, делать скриншоты и извлекать учетные данные, относящиеся к различным программам, установленным на компьютер жертвы (включая Google Chrome, MozillaFirefox и Microsoft Outlook).

Самое активное вредоносное ПО в июле в России

В России в июле самым активным был XMRig, атаковавший 5% российских организаций. За ним следуют Trickbot и Agenttesla с охватом 4% и 3% соответственно.

1. XMRig — ПО с открытым исходным кодом, впервые обнаруженное в мае 2017 г. Используется для майнинга криптовалюты Monero.

2. Trickbot — один из доминирующих банковских троянов, который постоянно дополняется новыми возможностями, функциями и векторами распространения. Trickbot – гибкое и настраиваемое вредоносное ПО, которое может распространяться в рамках многоцелевых кампаний.

3. Agent Tesla — усовершенствованная RAT. AgentTesla заражает компьютеры с 2014 года, выполняя функции кейлоггера и похитителя паролей. Вредоносная программа способна отслеживать и собирать вводимые данные с клавиатуры жертвы, делать скриншоты и извлекать учетные данные, относящиеся к различным программам, установленным на компьютер жертвы (включая Google Chrome, MozillaFirefox и Microsoft Outlook).

Самые распространенные уязвимости июля 2020 г.

MVPower DVR Remote Code Execution является наиболее распространенной эксплуатируемой уязвимостью, в результате которой были совершены попытки атак на 44% организаций по всему миру. Далее следуют OpenSSL TLS DTLS Heartbeat Information Disclosure и Command Injection Over HTTP Payload с охватом 42% и 38% соответственно.

1. Удаленное выполнение кода MVPower DVR. В устройствах MVPower DVR существует уязвимость удаленного выполнения кода. Злоумышленник может использовать эту уязвимость для выполнения произвольного кода в уязвимом маршрутизаторе с помощью специально созданного запроса.

2. OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) — в OpenSSL существует уязвимость, позволяющая раскрыть содержимое памяти на сервере или на подключенном клиенте. Уязвимость связана с ошибкой при обработке пакетов Heartbeat TLS / DTLS.

3. Command Injection Over HTTP Payload. Злоумышленники удаленно используют эту уязвимость, отправляя жертве специальный запрос. Успешная эксплуатация позволит злоумышленнику выполнить произвольный код на устройстве жертвы.

Самые активные мобильные угрозы июля 2020 г.

В июле самой распространенной мобильной угрозой был xHelper. Далее следуют Necro и PreAMo.

1. xHelper — вредоносное приложение для Android, активно с марта 2019 г., используется для загрузки других вредоносных приложений и отображения рекламы. Приложение способно скрывать себя от пользовательских и мобильных антивирусных программ и переустанавливать себя, если пользователь удаляет его.

2. Necro — троян-дроппер для Android, который загружает вредоносное ПО, запускает навязчивую рекламу и оформляет платные подписки, взымая деньги с пользователей.

3. PreAMo —вредоносная приложение для Android, которое имитирует клики пользователя по рекламным баннерам от трех рекламных агентств-Presage, Admob и Mopub.

Global Threat Impact Index и ThreatCloud Map разработаны ThreatCloud intelligence, самой большой совместной сетью по борьбе с киберпреступностью, которая предоставляет данные об угрозах и тенденциях атак из глобальной сети датчиков угроз. База данных ThreatCloud, содержащая более 250 млн адресов, проанализированных для обнаружения ботов, более 11 млн сигнатур вредоносных программ и более 5,5 млн зараженных сайтов, продолжает ежедневно идентифицировать миллионы вредоносных программ.

информационная безопасность

Check Point


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Другие материалы рубрики

Мысли вслух

Есть ситуации, когда в ответ на вопрос о том, какие цифровые решения нужны компании, ИТ директор говорит: «А давайте спросим у коллег из маркетинга, продаж или производства, чего они хотят»
«Пока больше некого назначить, поэтому заткнем дыру тобой. Потом переназначим». Упражнение называется «как убить сломать сотрудника за одно действие: повысить и понизить обратно». Для надежности повторять неоднократно.
Угроза, что технологический разрыв между крупным и средним бизнесом будет расти, волнует предпринимателей, но облачные решения наоборот, могут сократить и даже полностью стереть его.

Компании сообщают

Мероприятия