Троян Emotet активизировался после пятимесячного затишья - Новости Днепра

Новости Днепра


Новости Днепра и Украины

Троян Emotet активизировался после пятимесячного затишья

12 августа
12:54 2020

Компания Check Point Software Technologies обнародовала результаты исследования Global Threat Index за июль. После пятимесячного отсутствия троян Emotet возглавил рейтинг самых распространенных вредоносов, оказав влияние на 5% организаций по всему миру.

С февраля деятельность Emotet замедлилась, однако, в июле этот троян снова усилил свою активность. Мошенники рассылали письма, которые содержали зараженные файлы формата DOC. с именами form.doc или invoice.doc. После загрузки файла на устройство пользователя устанавливался вредонос, который крал банковские учетные данные жертвы и распространялся внутри целевых сетей.

Интересно, что Emotet был неактивным в течение нескольких месяцев с начала года, повторяя свою модель поведения, которая наблюдалась в 2019 г. Предположительно разработчики ботнета в это время обновляли его функции.

Наиболее активное вредоносное ПО в июне в мире:

  • Emotet – продвинутый самораспространяющийся модульный троян. В свое время он начинал рядовым банковским трояном, но в последнее время используется для дальнейшего распространения вредоносных программ и кампаний. Новый функционал позволяет рассылать фишинговые письма, содержащие вредоносные вложения или ссылки;
  • Dridex – банковский троян, поражающий ОС Windows. Он распространяется с помощью спам-рассылок и наборов эксплойтов, которые используют WebInjects для перехвата персональных данных, а также данных банковских карт пользователей.
  • Agent Tesla – усовершенствованная RAT. Заражает компьютеры с 2014 г., выполняя функции кейлоггера и похитителя паролей. Вредоносная программа способна отслеживать и собирать вводимые данные с клавиатуры жертвы, делать скриншоты и извлекать учетные данные, относящиеся к различным программам, установленным на компьютер жертвы (включая Google Chrome, MozillaFirefox и Microsoft Outlook).

Распространенные уязвимости июля:

MVPower DVR Remote Code Execution является наиболее распространенной эксплуатируемой уязвимостью, в результате которой были совершены попытки атак на 44% организаций по всему миру. Далее следуют OpenSSL TLS DTLS Heartbeat Information Disclosure и Command Injection Over HTTP Payload с охватом 42 и 38% соответственно.

  • Удаленное выполнение кода MVPower DVR. В устройствах MVPower DVR существует уязвимость удаленного выполнения кода. Злоумышленник может использовать эту уязвимость для выполнения произвольного кода в уязвимом маршрутизаторе с помощью специально созданного запроса;
  • OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – в OpenSSL существует уязвимость, позволяющая раскрыть содержимое памяти на сервере или на подключенном клиенте. Уязвимость связана с ошибкой при обработке пакетов Heartbeat TLS/ DTLS;
  • Command Injection Over HTTP Payload. Злоумышленники удаленно используют эту уязвимость, отправляя жертве специальный запрос. Успешная эксплуатация позволит злоумышленнику выполнить произвольный код на устройстве жертвы.

Самые активные мобильные угрозы июля:

В июле самой распространённой мобильной угрозой был xHelper. Далее следуют Necro и PreAMo.

  • xHelper – вредоносное приложение для Android, активно с марта 2019 г., используется для загрузки других вредоносных приложений и отображения рекламы. Приложение способно скрывать себя от пользовательских и мобильных антивирусных программ и переустанавливать себя, если пользователь удаляет его;
  • Necro – троян-дроппер для Android, который загружает вредоносное ПО, запускает навязчивую рекламу и оформляет платные подписки, взымая деньги с пользователей;
  • PreAMo – вредоносное приложение для Android, которое имитирует клики пользователя по рекламным баннерам от трех рекламных агентств – Presage, Admob и Mopub.

Источник: ko.com.ua

Статьи по теме