В рассылках на тему COVID распространяется троян для кражи паролей
Команда исследователей кибербезопасности Check Point Research опубликовала результаты исследования Global Threat Index за апрель 2020 года. Исследователи отмечают несколько спам-кампаний, связанных с коронавирусом (COVID-19), которые распространяют новый вариант трояна Agent Tesla: всего он затрагивает 3% организаций во всем мире.
Новый вариант Agent Tesla был модифицирован для кражи паролей Wi-Fi. Также троян умеет получать учетные данные электронной почты из клиента Outlook с целевых ПК. В течение апреля Agent Tesla был распространенным вложением в нескольких вредоносных кампаниях, связанных с COVID-19. Подобные спам-рассылки пытаются заинтересовать жертву якобы важной информацией о пандемии, чтобы она загрузила вредоносные файлы. Одна из этих кампаний была разослана якобы от Всемирной организации здравоохранения с темами: URGENT INFORMATION LETTER: FIRST HUMAN COVID19 VACCINETEST/RESULT UPDATE -- "СРОЧНОЕ ОПОВЕЩЕНИЕ: ПЕРВОЕ ТЕСТИРОВАНИЕ ВАКЦИНЫ ОТ COVID-19 НА ЧЕЛОВЕКЕ / РЕЗУЛЬТАТЫ ИССЛЕДОВАНИЙ". Это еще раз подчеркивает, что хакеры используют последние события в миру и страх населения, чтобы повысить эффективность своих атак.
"Спам-кампании с Agent Tesla, которые мы наблюдали весь апрель, показывают, насколько хорошо злоумышленники подстраиваются под информационную повестку, и как спокойно обманывают ничего не подозревающих жертв. Преступники сосредоточены на организации фишинговых атак для кражи личных и корпоративных данных пользователей. Поэтому для любой организации очень важно регулярно обучать своих сотрудников, регулярно информируя их о новейших инструментах и методах преступников. Сейчас это особенно актуально, так как большая часть компаний перевели своих сотрудников на удаленный режим", - рассказывает Василий Дягилев, глава представительства Check Point Software Technologies в СНГ.
Самое активное вредоносное ПО в мире в апреле
В этом месяце Dridex затронул 4% организаций во всем мире, XMRig и Agent Tesla -- 4% и 3% соответственно.
- Dridex- банковский троян, поражающий ОС Windows. Dridex распространяется с помощью спам-рассылок и наборов эксплойтов, которые используют WebInjects для перехвата персональных данных, а также данных банковских карт пользователей.
- XMRig- программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero.
- Agent Tesla- усовершенствованная RAT. AgentTesla заражает компьютеры с 2014 года, выполняя функции кейлоггера и похитителя паролей. Вредоносная программа способна отслеживать и собирать вводимые данные с клавиатуры жертвы, делать скриншоты и извлекать учетные данные, относящиеся к различным программам, установленным на компьютер жертвы (включая Google Chrome, Mozilla Firefox и Microsoft Outlook).
Самые распространенные уязвимости апреля 2020
В апреле "Удаленное выполнение кода MVPower DVR" было самой распространенной уязвимостью, которая затронула 46% организаций во всем мире. На втором и третьем месте соответственно -- OpenSSL TLS DTLS Heartbeat Information Disclosure (затронула 41% организаций) и Удаленное внедрение команд по протоколу HTTP - 40% организаций во всем мире.
- Удаленное выполнение кода MVPower DVR. В устройствах MVPower DVR существует уязвимость удаленного выполнения кода. Злоумышленник может использовать эту уязвимость для выполнения произвольного кода в уязвимом маршрутизаторе с помощью специально созданного запроса.
- OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346). В OpenSSL существует уязвимость, позволяющая раскрыть содержимое памяти на сервере или на подключенном клиенте. Уязвимость связана с ошибкой при обработке пакетов Heartbeat TLS / DTLS.
- Удаленное внедрение команд по протоколу HTTP. Злоумышленники удаленно используют эту уязвимость, отправляя жертве специальный запрос. Успешная эксплуатация позволит злоумышленнику выполнить произвольный код на устройстве жертвы.
Самые активные мобильные угрозы апреля 2020
- xHelper - вредоносное приложение для Android, активно с марта 2019 года, используется для загрузки других вредоносных приложений и отображения рекламы. Приложение способно скрывать себя от пользовательских и мобильных антивирусных программ и переустанавливать себя, если пользователь удаляет его.
- Lotoor - программа использует уязвимости в операционной системе Android, чтобы получить привилегированный root-доступ на взломанных мобильных устройствах.
- AndroidBauts- рекламное ПО, предназначенное для пользователей Android, которое фильтрует IMEI, IMSI, местоположение GPS и другую информацию об устройстве и позволяет устанавливать сторонние приложения на мобильные устройства.
Полный список топ-10 семейств вредоносных программ за апрель можно найти в блоге Check Point.