Троян Ursnif — в пятерке самых активных

Компания Check Point® Software Technologies Ltd., ведущий поставщик решений в области кибербезопасности, опубликовала результаты исследования Global Threat Index за май.

Исследователи Check Point обнаружили несколько вредоносных спам-кампаний, которые распространяли банковский троян Ursnif. В результате данной активности Ursnif поднялся в рейтинге самых активных вредоносных программ с 19 места до 5.

Троян Ursnif создан для компьютеров с ОС Windows и нацелен на получение доступа к конфиденциальным данным почты, а также данным банковских аккаунтов пользователей. Вредоносное ПО распространяется с помощью почтовых спам рассылок с вложенным документом Word или Excel. Рост числа атак с использованием трояна Ursnif совпал с исчезновением вредоноса Dreambot, в основе которого лежал исходный код Ursnif. Впервые Dreambot был замечен в 2014 году, однако с марта 2020 года бэкенд-сервер Dreambot пропал с радаров, а новые версии ПО не появились.

Между тем, известный банковский троян Dridex, который в начале весны впервые вошел в топ-10 вредоносных программ и занял первое место по охвату в апреле, также сохранил лидирующие позиции в мае. В семействе мобильных вредоносных ПО наиболее распространенными являются вредоносы, которые поражают ОС Android и направлены на получение прибыли от кликов по мобильной рекламе.

«Учитывая, что в мае банковские трояны Dridex, Agent Tesla и Ursnif вошли в топ-5, становится очевидно, что сейчас киберпреступники сосредоточились на использовании вредоносных программ, которые позволяют им монетизировать конфиденциальные данные пользователей, — пояснила Майя Горовиц (Maya Horowitz), руководитель группы киберразведки компании Check Point. — Несмотря на то, что атаки, связанные с темой коронавируса, снизились, мы наблюдаем 16% рост числа кибератак в мае по сравнению с мартом и апрелем. По этой причине компаниям необходимо сохранять бдительность и использовать все необходимые средства защиты».

Самое активное вредоносное ПО в мае в мире:

В этом месяце троян Dridex продолжил лидировать в списке распространенного вредоносного ПО, оказывая влияние на 4% организаций во всем мире, за ним следуют Agent Tesla и XMRig с охватом 3% каждый.

  1. Dridex — банковский троян, поражающий ОС Windows. Dridex распространяется с помощью спам-рассылок и наборов эксплойтов, которые используют WebInjects для перехвата персональных данных, а также данных банковских карт пользователей.
  2. Agent Tesla — усовершенствованная RAT. AgentTesla заражает компьютеры с 2014 года, выполняя функции кейлоггера и похитителя паролей. Вредоносная программа способна отслеживать и собирать вводимые данные с клавиатуры жертвы, делать скриншоты и извлекать учетные данные, относящиеся к различным программам, установленным на компьютер жертвы (включая Google Chrome, MozillaFirefox и Microsoft Outlook).
  3. XMRig — программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero.

Самое активное вредоносное ПО в мае в России:

В России в мае самым активным был Emotet, атаковавший 7% российских организаций. За ним следуют RigEK и XMRig с охватом 6% каждый.

  1. Emotet — продвинутый самораспространяющийся модульный троян. Emotet когда-то был рядовым банковским трояном, а в последнее время используется для дальнейшего распространения вредоносных программ и кампаний. Новый функционал позволяет рассылать фишинговые письма, содержащие вредоносные вложения или ссылки.
  2. RigEK –– Rig содержит эксплойты для Internet Explorer, Flash, Java и Silverlight. Заражение начинается с перенаправления на целевую страницу, содержащую Java-скрипт, который затем ищет уязвимые плагины и внедряет эксплойт.
  3. XMRig — программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero.

Самые распространенные уязвимости мая 2020:

Mvpower DVR Remote Code Execution по-прежнему занимает лидирующее место среди наиболее эксплуатируемых уязвимостей, в результате которой были совершены попытки атак на 45% организаций по всему миру. Далее следуют OpenSSL TLS DTLS Heartbeat Information Disclosure и Web Server Exposed git Repository Information Disclosure с охватом 40% и 39% соответственно.

  1. Удаленное выполнение кода MVPower DVR. В устройствах MVPower DVR существует уязвимость удаленного выполнения кода. Злоумышленник может использовать эту уязвимость для выполнения произвольного кода в уязвимом маршрутизаторе с помощью специально созданного запроса.
  2. OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) — в OpenSSL существует уязвимость, позволяющая раскрыть содержимое памяти на сервере или на подключенном клиенте. Уязвимость связана с ошибкой при обработке пакетов Heartbeat TLS / DTLS.
  3. Web Server Exposed Git Repository Information Disclosure. Уязвимость в Git-репозиторие, которая способствует непреднамеренному раскрытию информации учетной записи.

Самые активные мобильные угрозы мая 2020:

В мае лидеры вредоносных мобильных ПО изменились. На первое место вышел Preamp, за ним следуют Necro и Hiddad.

  1. Preamp — Вредоносное ПО для Android, имитирующее клики пользователя, на баннеры рекламных агентств: Presage, Admob и Mopub.
  2. Necro — троян-дроппер для Android, который загружает вредоносное ПО, запускает навязчивую рекламу и оформляет платные подписки, взымая деньги с пользователей.
  3. Hiddad — Модульный бэкдор для Android, который предоставляет права суперпользователя для загруженного вредоносного ПО, а также помогает внедрить его в системные процессы. Он может получить доступ к ключевым деталям безопасности, встроенным в ОС, что позволяет ему получать конфиденциальные данные пользователя.

Global Threat Impact Index и ThreatCloud Map разработаны ThreatCloud intelligence, самой большой совместной сетью по борьбе с киберпреступностью, которая предоставляет данные об угрозах и тенденциях атак из глобальной сети датчиков угроз. База данных ThreatCloud, содержащая более 250 миллионов адресов, проанализированных для обнаружения ботов, более 11 миллионов сигнатур вредоносных программ и более 5,5 миллионов зараженных сайтов, продолжает ежедневно идентифицировать миллионы вредоносных программ.

 

Похожие записи