Уязвимость Log4j открыла злоумышленникам возможности для новых атак
Компания Avast представила отчет об угрозах за четвертый квартал 2021 г. В нем исследователи рассказывают об эксплуатации уязвимости Log4j, об активности троянов удаленного доступа, вымогателей и о сложных постоянных таргетированных угрозах (APT). Отчет также выявил: рост рекламного ПО, увеличение мошенничеств якобы от имени служб техподдержки, распространение схем с платными подписками и шпионским ПО на устройствах Android, возрождение ботнета Emotet и увеличение числа криптомайнеров на 40%, что влечет риски как для обычных людей, так и для бизнеса. В то же время эксперты отмечают меньшую активность программ-вымогателей и троянов удаленного доступа (RAT). Также зафиксировано небольшое снижение активности инфостилеров – вероятно, это произошло из-за уменьшения на 61% активности Fareit.
Уязвимость в библиотеке приложений Java Log4j оказалась крайне опасной для бизнеса, так как эта библиотека очень распространена, а саму уязвимость очень легко эксплуатировать. Ею злоупотребляли криптомайнеры, RAT, вымогатели (Khonsari, например) и APT-группы. Уязвимостью воспользовались и различные ботнеты, в том числе печально известный Mirai. Большинство их атак были просто пробами для проверки, но исследователи заметили многочисленные попытки загрузить потенциально вредоносный код. Среди троянов, которые распространялись с помощью этой уязвимости, были NanoCore, AsyncRat и Orcus.
Для распространения RAT злоумышленники использовали не только Log4j, но и уязвимость CVE-2021-40449. Ее применяли для повышения прав доступа вредоносных процессов путем эксплуатации драйвера ядра Windows, а также для загрузки и запуска РАТ MistarySnail.
Кроме того, основной причиной обнаружений NanoCore и AsyncRat стала вредоносная кампания, эксплуатирующая облачных провайдеров Microsoft Azure и Amazon Web Service (AWS). Злоумышленники использовали Azure и AWS в качестве серверов для загрузки вредоносной полезной нагрузки для дальнейших атак.
Более того, исследователи Avast увидели, что злоумышленники, стоящие за Emotet, переписали несколько его частей, возродили механизм и вернули контроль над рынком ботнетов.
В последнем квартале 2021 г. возросла активность рекламного ПО и руткитов (самые опасные и сложно удаляемые вредоносные программы) для ПК. Исследователи Avast считают, что эти тенденции связаны с руткитом Cerbu, который может перехватывать домашние страницы браузеров и перенаправлять URL-адреса сайтов в соответствии с своей конфигурацией. Cerbu можно легко настроить как рекламное ПО, которое к тому же способно добавлять бэкдоры на устройства.
Когда в конце 2021 г. стоимость биткоина выросла, число криптомайнеров увеличилось на 40%. Часто они распространялись через зараженные страницы и пиратское ПО. CoinHelper был одним из самых активных криптомайнеров в последнем квартале – в основном он был нацелен на пользователей из России и Украины. Он незаметно использует вычислительные мощности пользователя для добычи криптовалюты. Это чревато высокими счетами за электроэнергию и может повлиять на срок службы устройства. Кроме того, CoinHelper собирает различную информацию о своих жертвах, включая их геолокацию, антивирус и используемое оборудование.
Эксперты отметили всплеск фишинга якобы от лица техподдержки. Злоумышленники внушают пользователю, что у его ПК есть серьезная проблема. Далее они принуждают позвонить на горячую линию, где с жертвы или спишут большую сумму за поддержку, или вынудят предоставить удаленный доступ к системе.
Команда Avast Threat Labs выделила в отчете две мобильные угрозы: Ultima SMS и Facestealer.
Ultima SMS, мошенничество с подпиской на платные SMS, снова напомнило о себе в последние несколько месяцев. В октябре в Play Store появились приложения Ultima SMS, имитирующие легальные приложения и игры.
После загрузки приложение предлагало пользователям ввести свой номер телефона для доступа. Так жертвы подписывались на услугу платных SMS, стоимость которой может достигать $10 в неделю. Злоумышленники активно использовали социальные сети для рекламы и в результате набрали более десяти миллионов загрузок.
Facestealer, шпионское ПО для кражи учетных данных Facebook, неоднократно напоминало о себе в три последних месяца 2021 г. Оно маскируется под фоторедакторы, гороскопы, фитнес-приложения и другие. Спустя какое-то время после загрузки предложение предлагает пользователю залогиниться в Facebook, чтобы использовать его без рекламы.