Обновленный троян Qbot впервые вошел в топ вредоносных программ

Команда исследователей Check Point Research опубликовала отчет Global Threat Index с самыми активными угрозами в августе 2020 года. Исследователи сообщают, что троян Qbot (также известный как Qakbot и Pinkslipbot) впервые вошел в первую десятку самых распространенных вредоносных программ в августе — он занял 10-е место. На первом месте по-прежнему остается троян Emotet, он затрагивает 14% организаций во всем мире.

Впервые троян Qbot появился в 2008 году, и с тех пор он постоянно дорабатывался и улучшался. Сейчас он использует продвинутые методы для кражи учетных данных и установки программ-вымогателей, что, по мнению исследователей, делает его вредоносным компьютерным эквивалентом швейцарского армейского ножа. Сейчас у Qbot появился новый модуль сбора сообщений электронной почты: он извлекает трафик из Outlook жертвы и загружает его на внешний удаленный сервер.

Так Qbot может перехватывать электронные сообщения своих жертв, а затем рассылать спам, используя эти письма. Это увеличивает шансы на то, что другие пользователи тоже заразятся. Также Qbot может в любое время подключаться к устройству жертвы и осуществлять банковские транзакции без ее ведома.
Исследователи Check Point обнаружили несколько кампаний с обновленной версией Qbot в период с марта по август 2020 года, в том числе кампанию, где Qbot распространялся с помощью трояна Emotet. В июле 2020 года эта кампания затронула 5% организаций во всем мире.

«Злоумышленники всегда ищут способы усовершенствовать вредоносное ПО. Сейчас они явно вкладывают значительные средства в разработку Qbot –– его можно будет использовать для массовых краж данных организаций и рядовых пользователей, –– рассказывает Василий Дягилев, глава представительства Check Point Software Technologies в России и СНГ. –– Мы уже видели активные кампании вредоносного спама, которые распространяли Qbot. Мы также отмечали, что иногда Qbot распространяется с помощью другого трояна, Emotet. Компаниям необходимо задуматься о введении защитных решений, которые предотвратят попадание такого контента к пользователям. Важно напоминать сотрудникам, что нужно быть очень аккуратными при открытии писем, даже если на первый взгляд кажется, что они пришли из надежного источника».

В этом месяце Emotet остается самым распространенным вредоносным ПО в мире –- он затронул 14% организаций. За ним следуют Agent Tesla и Formbook, каждый из которых затрагивает по 3% компаний.

    1. Emotet — продвинутый самораспространяющийся модульный троян. Emotet когда-то был рядовым банковским трояном, а в последнее время используется для дальнейшего распространения вредоносных программ и кампаний. Новый функционал позволяет рассылать фишинговые письма, содержащие вредоносные вложения или ссылки.
    2. Agent Tesla — усовершенствованная RAT. AgentTesla заражает компьютеры с 2014 года, выполняя функции кейлоггера и похитителя паролей. Вредоносная программа способна отслеживать и собирать вводимые данные с клавиатуры жертвы, делать скриншоты и извлекать учетные данные, относящиеся к различным программам, установленным на компьютер жертвы (включая Google Chrome, MozillaFirefox и Microsoft Outlook).
    3. FormBook был впервые обнаружен в 2016 году: это инфостилер, предназначенный для ОС Windows. На подпольных хакерских форумах он позиционируется как MaaS из-за его развитых методов уклонения и относительно низкой цены. FormBook собирает учетные данные из различных веб-браузеров, делает снимки экрана, отслеживает и регистрирует нажатия клавиш, а также может загружать и выполнять файлы в соответствии с приказами своего командного сервера.

Самые распространенные уязвимости в августе 2020:

В этом месяце самой популярной уязвимостью стала «Раскрытие информации в хранилище Git на веб-сервере» — она затронула 47% организаций во всем мире. На втором и третьем месте — «Удаленное выполнение кода MVPower DVR» (затронуло 43% организаций по всему миру) и «Обход аутентификации роутера Dasan GPO» — 37%.

    1. Раскрытие информации в хранилище Git на веб-сервере. В Git Repository была обнаружена уязвимость, которая могла привести к раскрытию информации учетной записи.
    2. Удаленное выполнение кода MVPower DVR. В устройствах MVPower DVR существует уязвимость удаленного выполнения кода. Злоумышленник может использовать эту уязвимость для выполнения произвольного кода в уязвимом маршрутизаторе с помощью специально созданного запроса.
    3. Обход аутентификации роутера Dasan GPON (CVE-2018-10561) - уязвимость обхода аутентификации, существующая в роутерах Dasan GPON. Успешное использование этой уязвимости позволит удаленным злоумышленникам получить конфиденциальную информацию и получить несанкционированный доступ к уязвимой системе.

Самые активные мобильные угрозы в августе 2020

    1. xHelper — вредоносное приложение для Android, активно с марта 2019 года, используется для загрузки других вредоносных приложений и отображения рекламы. Приложение способно скрывать себя от пользовательских и мобильных антивирусных программ и переустанавливать себя, если пользователь удаляет его.
    2. Necro — троян-дроппер для Android, который загружает вредоносное ПО, запускает навязчивую рекламу и оформляет платные подписки, взымая деньги с пользователей.
    3. Hiddad — Модульный бэкдор для Android, который предоставляет права суперпользователя для загруженного вредоносного ПО, а также помогает внедрить его в системные процессы. Он может получить доступ к ключевым деталям безопасности, встроенным в ОС, что позволяет ему получать конфиденциальные данные пользователя.