Троян Emotet активизировался после пятимесячного затишья

11 август, 2020 - 11:35

Троян Emotet активизировался после пятимесячного затишья

Компания Check Point Software Technologies обнародовала результаты исследования Global Threat Index за июль. После пятимесячного отсутствия троян Emotet возглавил рейтинг самых распространенных вредоносов, оказав влияние на 5% организаций по всему миру.

С февраля деятельность Emotet замедлилась, однако, в июле этот троян снова усилил свою активность. Мошенники рассылали письма, которые содержали зараженные файлы формата DOC. с именами form.doc или invoice.doc. После загрузки файла на устройство пользователя устанавливался вредонос, который крал банковские учетные данные жертвы и распространялся внутри целевых сетей.

Интересно, что Emotet был неактивным в течение нескольких месяцев с начала года, повторяя свою модель поведения, которая наблюдалась в 2019 г. Предположительно разработчики ботнета в это время обновляли его функции.

Наиболее активное вредоносное ПО в июне в мире:

  • Emotet – продвинутый самораспространяющийся модульный троян. В свое время он начинал рядовым банковским трояном, но в последнее время используется для дальнейшего распространения вредоносных программ и кампаний. Новый функционал позволяет рассылать фишинговые письма, содержащие вредоносные вложения или ссылки;
  • Dridex – банковский троян, поражающий ОС Windows. Он распространяется с помощью спам-рассылок и наборов эксплойтов, которые используют WebInjects для перехвата персональных данных, а также данных банковских карт пользователей.
  • Agent Tesla – усовершенствованная RAT. Заражает компьютеры с 2014 г., выполняя функции кейлоггера и похитителя паролей. Вредоносная программа способна отслеживать и собирать вводимые данные с клавиатуры жертвы, делать скриншоты и извлекать учетные данные, относящиеся к различным программам, установленным на компьютер жертвы (включая Google Chrome, MozillaFirefox и Microsoft Outlook).

Распространенные уязвимости июля:

MVPower DVR Remote Code Execution является наиболее распространенной эксплуатируемой уязвимостью, в результате которой были совершены попытки атак на 44% организаций по всему миру. Далее следуют OpenSSL TLS DTLS Heartbeat Information Disclosure и Command Injection Over HTTP Payload с охватом 42 и 38% соответственно.

  • Удаленное выполнение кода MVPower DVR. В устройствах MVPower DVR существует уязвимость удаленного выполнения кода. Злоумышленник может использовать эту уязвимость для выполнения произвольного кода в уязвимом маршрутизаторе с помощью специально созданного запроса;
  • OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – в OpenSSL существует уязвимость, позволяющая раскрыть содержимое памяти на сервере или на подключенном клиенте. Уязвимость связана с ошибкой при обработке пакетов Heartbeat TLS/ DTLS;
  • Command Injection Over HTTP Payload. Злоумышленники удаленно используют эту уязвимость, отправляя жертве специальный запрос. Успешная эксплуатация позволит злоумышленнику выполнить произвольный код на устройстве жертвы.

Самые активные мобильные угрозы июля:

В июле самой распространённой мобильной угрозой был xHelper. Далее следуют Necro и PreAMo.

  • xHelper – вредоносное приложение для Android, активно с марта 2019 г., используется для загрузки других вредоносных приложений и отображения рекламы. Приложение способно скрывать себя от пользовательских и мобильных антивирусных программ и переустанавливать себя, если пользователь удаляет его;
  • Necro – троян-дроппер для Android, который загружает вредоносное ПО, запускает навязчивую рекламу и оформляет платные подписки, взымая деньги с пользователей;
  • PreAMo – вредоносное приложение для Android, которое имитирует клики пользователя по рекламным баннерам от трех рекламных агентств – Presage, Admob и Mopub.