Троян Trickbot впервые стал самой опасной угрозой месяца
Команда Check Point Research представила отчет Global Threat Index c наиболее опасными угрозами за февраль. Согласно оценкам исследователей, рейтинг впервые возглавил троян Trickbot, атаковавший в общей сложности 3% организаций во всем мире.
После ликвидации ботнета Emotet в январе хакерские группировки начали активнее использовать другие угрозы, включая Trickbot, а также искать новые методы распространения вредоносного ПО. В феврале Trickbot распространялся посредством спам-кампании, нацеленной на юридический и страховой бизнесы. Работников этих сфер обманным путем убеждали скачать вложение в формате.ZIP, которое содержало вредоносный файл JavaScript. Сразу после открытия он предпринимал попытку загрузить с удаленного сервера дополнительный код.
Стоит отметить, что по итогам 2020 г. Trickbot занял четвертое место. Он сыграл решающую роль в одной из наиболее дорогостоящих и нашумевших кибератак 2020 г., нацеленную на компанию Universal Health Services (UHS) - ведущего поставщика медицинских услуг в США. UHS была атакована вымогателем Ryuk, а убыток компании составил 67 млн. долл. Trickbot использовался для поиска и сбора данных в системах компании, а также для доставки программы-вымогателя.
Наиболее активное вредоносное ПО в феврале в мире:
- Trickbot - один из доминирующих банковских троянов, который постоянно дополняется новыми возможностями, функциями и векторами распространения. Это гибкое и настраиваемое вредоносное ПО, которое может распространяться в рамках многоцелевых кампаний;
- XMRig - ПО с открытым исходным кодом, впервые обнаруженное в мае 2017 г. Используется для майнинга криптовалюты Monero;
- Qbot - банковский троян. Впервые появился в 2008 г., был предназначен для кражи банковских учетных данных и записи нажатий клавиш у пользователей. Qbot часто распространяется через спам и использует несколько методов защиты от виртуальных машин и песочниц, чтобы затруднить анализ и уклониться от обнаружения.
Самые распространенные уязвимости февраля:
Рейтинг возглавило раскрытие информации в хранилище Git на веб-сервере. С ее помощью были совершены атаки на 48% организаций по всему миру. Далее следуют удаленное выполнение кода в заголовках HTTP (CVE-2020-13756) и удаленное выполнение кода MVPower DVR, которые затронули 46 и 45% компаний соответственно.
- Раскрытие информации в хранилище Git на веб-сервере - уязвимость в Git-репозитории, которая способствует непреднамеренному раскрытию информации учетной записи;
- Удаленное выполнение кода в заголовках HTTP (CVE-2020-13756) - заголовки HTTP позволяют клиенту и серверу передавать дополнительную информацию с помощью HTTP-запроса. Злоумышленник может использовать уязвимый заголовок HTTP для запуска произвольного кода на устройстве жертвы;
- Удаленное выполнение кода MVPower DVR - в устройствах MVPower DVR существует уязвимость удаленного выполнения кода. Злоумышленник может использовать ее для выполнения произвольного кода в уязвимом маршрутизаторе с помощью специально созданного запроса.
Ключевые мобильные угрозы февраля:
Наиболее распространенным вредоносным ПО для мобильных устройств стал Hiddad. За ним следуют xHelper и FurBall.
- Hiddad - модульный бэкдор для Android, который предоставляет права суперпользователя для загруженного вредоносного ПО, а также помогает внедрить его в системные процессы. Он может получить доступ к ключевым деталям безопасности, встроенным в ОС, что позволяет ему получать конфиденциальные данные пользователя;
- xHelper - вредоносное приложение для Android, активно с марта 2019 г., используется для загрузки других вредоносных приложений и отображения рекламы. Приложение способно скрываться от пользовательских и мобильных антивирусных программ и переустанавливаться, если пользователь удаляет его;
- FurBall - мобильный троян удаленного доступа для Android, который используется иранской APT-группировкой APT-C-50, связанной с иранским правительством. С 2017 г. это вредоносное ПО участвовало во множестве кампаний и активно до сих пор. FurBall может перехватывать SMS-сообщения и журналы звонков, записывать разговоры и звуки вокруг, похищать медиафайлы, отслеживать GPS-координаты устройства и т. д.
