15 сентября 2021 г.
Как правило, Formbook распространяется через фишинговые электронные письма и вложения
Команда Check Point Research (CPR) представила отчет Global Threat Index о самых активных угрозах в августе 2021 года. Исследователи сообщают, что Formbook — самое распространенное вредоносное ПО в прошлом месяце. Он сместил Trickbot, лидера предыдущих трех месяцев, на второе место.
Банковский троян Qbot, операторы которого не были активны летом, вышел из рейтинга. При этом Remcos, троян удаленного доступа (RAT), впервые попал в список в этом году, заняв шестое место.
Formbook впервые обнаружили в 2016 году: это инфостилер, который может собирать учетные данные из различных браузеров, делать снимки экрана, отслеживать и регистрировать нажатие клавиш, а также загружать и выполнять файлы в соответствии с командами своего управляющего сервера. Formbook распространялся с помощью тематических кампаний COVID-19 и фишинговых писем. В июле 2021 года исследователи CPR сообщили, что новый штамм вредоносного ПО, полученный из Formbook, — XLoader, теперь нацелен на пользователей macOS.
«Код Formbook написан на языке C с ассемблерными вставками. Он содержит ряд особенностей, которые делают его еще более неуловимым и трудным для анализа, — рассказывает Майя Горовиц, руководитель группы Threat Intelligence Research, Check Point Software Technologies, Ltd. — Но так как он обычно распространяется через фишинговые электронные письма и вложения, лучший способ защиты от Formbook — внимательно относиться ко всем письмам, которые кажутся странными или приходят от неизвестных отправителей. Как всегда — если кажется, что что-то не так, то скорее всего, вам не кажется».
Самое активное вредоносное ПО в августе 2021 в России:
- Formbook — впервые обнаружен в 2016 году: это инфостилер, предназначенный для ОС Windows. На подпольных хакерских форумах он позиционируется как MaaS из-за его развитых методов уклонения и относительно низкой цены. Formbook собирает учетные данные из различных веб-браузеров, делает снимки экрана, отслеживает и регистрирует нажатие клавиш, а также может загружать и выполнять файлы в соответствии с командами своего управляющего сервера. Затронул 8,59 % организаций.
- Agent Tesla — усовершенствованная RAT. Agent Tesla заражает компьютеры с 2014 года, выполняя функции кейлоггера и похитителя паролей. Вредоносная программа способна отслеживать и собирать вводимые данные с клавиатуры жертвы, делать скриншоты и извлекать учетные данные, относящиеся к различным программам, установленным на компьютер жертвы (включая Google Chrome, MozillaFirefox и Microsoft Outlook). Затронул 6,95 % организаций.
- XMRig — программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero Затронул 6,79% организаций.
Самое активное вредоносное ПО в августе 2021 в мире:
В августе Formbook стал самым распространенным вредоносным ПО, затронувшим 4,5% организаций во всем мире. На втором и третьем местах — Trickbot и Agent Tesla, затронувшие 4% и 3% организаций по всему миру соответственно.
- Formbook — впервые обнаружен в 2016 году: это инфостилер, предназначенный для ОС Windows. На подпольных хакерских форумах он позиционируется как MaaS из-за его развитых методов уклонения и относительно низкой цены. Formbook собирает учетные данные из различных веб-браузеров, делает снимки экрана, отслеживает и регистрирует нажатие клавиш, а также может загружать и выполнять файлы в соответствии с командами своего управляющего сервера.
- Trickbot — один из доминирующих банковских троянов, который постоянно дополняется новыми возможностями, функциями и векторами распространения. Trickbot — гибкое и настраиваемое вредоносное ПО, которое может распространяться в рамках многоцелевых кампаний.
- Agent Tesla — усовершенствованная RAT. Agent Tesla заражает компьютеры с 2014 года, выполняя функции кейлоггера и похитителя паролей. Вредоносная программа способна отслеживать и собирать вводимые данные с клавиатуры жертвы, делать скриншоты и извлекать учетные данные, относящиеся к различным программам, установленным на компьютер жертвы (включая Google Chrome, MozillaFirefox и Microsoft Outlook).
Самые распространенные уязвимости в августе 2021 в мире:
В этом месяце «Раскрытие информации в хранилище Git на веб-сервере» — наиболее часто используемая уязвимость, затрагивающая 45% организаций во всем мире. На втором и третьем месте «Удаленное выполнение кода в заголовках HTTP (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756)» и «Обход аутентификации роутера Dasan GPON (CVE-2018-10561)» с охватом 43% и 40% соответственно.
- Раскрытие информации в хранилище Git на веб-сервере — уязвимость в Git-репозитории, которая способствует непреднамеренному раскрытию информации учетной записи.
- Удаленное выполнение кода в заголовках HTTP (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) — заголовки HTTP позволяют клиенту и серверу передавать дополнительную информацию с помощью HTTP-запроса. Злоумышленник может использовать уязвимый заголовок HTTP для запуска произвольного кода на устройстве жертвы.
- Обход аутентификации роутера Dasan GPON (CVE-2018-10561) — уязвимость обхода аутентификации, существующая в роутерах Dasan GPON. Успешное использование этой уязвимости позволит удаленным злоумышленникам получить конфиденциальную информацию и получить несанкционированный доступ к уязвимой системе.
Самые активные мобильные угрозы в августе 2021:
В этом месяце xHelper стал самым популярным вредоносным ПО для мобильных устройств. За ним следуют AlienBot и FluBot.
- xHelper — вредоносное приложение для Android, активно с марта 2019 года, используется для загрузки других вредоносных приложений и отображения рекламы. Приложение способно скрываться от пользовательских и мобильных антивирусных программ и переустанавливаться, если пользователь удаляет его.
- AlienBot — семейство вредоносных программ, вредоносное ПО как услуга (MaaS) для устройств Android. Злоумышленники могут использовать его как первую ступень атаки для внедрения вредоносного кода в легальные финансовые приложения. Далее киберпреступник получает доступ к учетным записям жертв и в итоге полностью контролирует их устройство.
- FluBot — вредоносная программа-ботнет для Android. Распространяется через фишинговые СМС, которые часто имитируют бренды логистических служб. Как только пользователь переходит по ссылке из сообщения, он автоматически устанавливает FluBot, который сразу получает доступ ко всей конфиденциальной информации на телефоне.
Источник: Пресс-служба компании Check Point Software Technologies