Обновленная версия инфостилера Valak способна красть информацию из почтовых систем Microsoft Exchange
Команда исследователей Check Point Research, подразделения Check Point® Software Technologies Ltd., ведущего поставщика решений в области кибербезопасности, опубликовала отчет Global Threat Index с самыми активными угрозами в сентябре 2020 года.
Исследователи отметили, что обновленная версия вредоносного ПО Valak впервые вошла в топ самых распространенных вредоносных программ в сентябре, заняв 9-е место.
Впервые Valak обнаружили в конце 2019 года. Сейчас Valak представляет собой сложную угрозу — ранее он классифицировался как загрузчик вредоносных программ. Но в последние месяцы появились новые варианты со значительными функциональными изменениями. Они позволяют Valak быть полноценным инфостилером, который способен атаковать как отдельных людей, так и организации. Новая версия Valak может красть информацию из почтовых систем Microsoft Exchange, например такую, как учетные данные пользователей и сертификаты домена. В сентябре Valak широко распространялся через спам-кампании, содержащие вредоносные файлы .doc.
Троян Emotet третий месяц подряд остается на 1-м месте в рейтинге, затрагивая 14% организаций по всему миру. Троян Qbot, впервые попавший в топ-лист в августе, также широко эксплуатировался в сентябре, поднявшись с 10-го на 6-е место.
«Новые кампании Valak -– еще один пример того, что злоумышленники стремятся максимизировать свои вложения в уже известные, проверенные формы вредоносного ПО, –– рассказывает Василий Дягилев, глава представительства Check Point Software Technologies в России и СНГ. –– Вместе с обновленными версиями Qbot, появившимися в августе, Valak нацелен на масштабные кражи данных как организаций, так и отдельных людей. Мы рекомендуем компаниям заранее продумать внедрение защиты от таких вредоносных программ. Необходимо предотвратить попадание такого контента к конечным пользователям, и попросить своих сотрудников быть предельно осторожными, открывая электронные письма, даже если кажется, что они пришли от надежного источника».
Самое активное вредоносное ПО в сентябре 2020 в России:
- Emotet — продвинутый самораспространяющийся модульный троян. Emotet когда-то был рядовым банковским трояном, а в последнее время используется для дальнейшего распространения вредоносных программ и кампаний. Новый функционал позволяет рассылать фишинговые письма, содержащие вредоносные вложения или ссылки.
- Trickbot — один из доминирующих банковских троянов, который постоянно дополняется новыми возможностями, функциями и векторами распространения. Trickbot – гибкое и настраиваемое вредоносное ПО, которое может распространяться в рамках многоцелевых кампаний.
- RigEK –– Rig содержит эксплойты для Internet Explorer, Flash, Java и Silverlight. Заражение начинается с перенаправления на целевую страницу, содержащую Java-скрипт, который затем ищет уязвимые плагины и внедряет эксплойт.
Самое активное вредоносное ПО в сентябре 2020 в мире
В этом месяце Emotet остается самым популярным вредоносным ПО, затрагивая 14% организаций в мире. На втором и третьем мест Trickbot (4%) и Dridex (3%), соответственно.
- Emotet — продвинутый самораспространяющийся модульный троян. Emotet когда-то был рядовым банковским трояном, а в последнее время используется для дальнейшего распространения вредоносных программ и кампаний. Новый функционал позволяет рассылать фишинговые письма, содержащие вредоносные вложения или ссылки.
- Trickbot — один из доминирующих банковских троянов, который постоянно дополняется новыми возможностями, функциями и векторами распространения. Это гибкое и настраиваемое вредоносное ПО, которое может распространяться в рамках многоцелевых кампаний.
- Dridex — банковский троян, поражающий ОС Windows. Dridex распространяется с помощью спам-рассылок и наборов эксплойтов, которые используют WebInjects для перехвата персональных данных, а также данных банковских карт пользователей.
Самые распространенные уязвимости в сентябре 2020 года
В этом месяце «Удаленное выполнение кода MVPower DVR» стало наиболее распространенной уязвимостью, затронувшей 46% организаций во всем мире. Уязвимости «Обход аутентификации роутера Dasan GPON» и «OpenSSL TLS DTLS Heartbeat Information Disclosure», затронули 42% и 36% организаций по всему миру соответственно.
- Удаленное выполнение кода MVPower DVR. В устройствах MVPower DVR существует уязвимость удаленного выполнения кода. Злоумышленник может использовать эту уязвимость для выполнения произвольного кода в уязвимом маршрутизаторе с помощью специально созданного запроса.
- Обход аутентификации роутера Dasan GPON (CVE-2018-10561) — уязвимость обхода аутентификации, существующая в роутерах Dasan GPON. Успешное использование этой уязвимости позволит удаленным злоумышленникам получить конфиденциальную информацию и получить несанкционированный доступ к уязвимой системе.
- OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) — в OpenSSL существует уязвимость, позволяющая раскрыть содержимое памяти на сервере или на подключенном клиенте. Уязвимость связана с ошибкой при обработке пакетов Heartbeat TLS / DTLS.
Самые активные мобильные угрозы в сентябре 2020
В этом месяце xHelper стал самым популярным вредоносным ПО для мобильных устройств, за ним следуют Xafecopy и Hiddad.
- xHelper — вредоносное приложение для Android, активно с марта 2019 года, используется для загрузки других вредоносных приложений и отображения рекламы. Приложение способно скрывать себя от пользовательских и мобильных антивирусных программ и переустанавливать себя, если пользователь удаляет его.
- Xafekopy – троян Xafecopy маскируется под полезные приложения вроде Battery Master, но фактически тайно загружает на устройство вредоносный код. После активации приложения вредоносная программа Xafecopy переходит на веб-страницы с биллингом по протоколу беспроводного приложения (WAP) — формой мобильного платежа, который взимается непосредственно со счета мобильного телефона пользователя.
- Hiddad — Модульный бэкдор для Android, который предоставляет права суперпользователя для загруженного вредоносного ПО, а также помогает внедрить его в системные процессы. Он может получить доступ к ключевым деталям безопасности, встроенным в ОС, что позволяет ему получать конфиденциальные данные пользователя.
Global Threat Impact Index и ThreatCloud Map разработаны ThreatCloud intelligence, самой большой совместной сетью по борьбе с киберпреступностью, которая предоставляет данные об угрозах и тенденциях атак из глобальной сети датчиков угроз. База данных ThreatCloud ежедневно проверяет более 2,5 миллиарда веб-сайтов; 500 миллионов файлов и выявляет более 250 миллионов вредоносных программ каждый день.
Со средствами предотвращения вредоносных атак Check Point можно ознакомиться по ссылке: http://www.checkpoint.com/threat-prevention-resources/index.html
О компании
Check Point Software Technologies Ltd. является ведущим поставщиком решений по кибербезопасности для государственных и частных компаний. Благодаря самой высокой в индустрии скорости обнаружения вредоносного ПО, решения Check Point защищают от продвинутых кибератак Пятого поколения, программ-вымогателей и других видов атак. Check Point защищает более 100 000 организаций по всему миру.