Вредоносные рассылки, имитирующие бухгалтерские документы, атаковали российские компании

Команда исследователей Check Point Research опубликовала отчет Global Threat Index с самыми активными угрозами в сентябре 2019 года. Специалисты сообщают, что в сентябре российские компании столкнулись с вредоносными рассылками, которые имитируют важные бухгалтерские документы.

С началом бизнес-сезона в сентябре в России стала активна программа Pony, которая оказалась на втором месте в топе самого активного вредоносного ПО. Pony распространялась по электронной почте через вредоносные файлы с расширением EXE, в письмах, имитирующие бухгалтерские запросы. Темы и названия подобных писем назывались примерно так: «Закрывающие документы вторник» и «Документы сентябрь». Pony способна похищать учетные данные пользователей, отслеживать системные и сетевые операции, устанавливать дополнительные вредоносные программы и превращать устройства в ботнет.

«Начало осени — время, когда заканчивается сезон отпусков, сотрудники возвращаются в офисы и количество коммуникаций возрастает. Злоумышленники отслеживают все тенденции и подстраиваются под них, — рассказывает Василий Дягилев, глава представительства Check Point Software Technologies в России и СНГ. — Важно, чтобы компании рассказывали своим сотрудникам о методах злоумышленников: о фишинговых письмах, вредоносных вложениях, переходе по сомнительным ссылкам и прочее. Необходимо установить решения по информационной безопасности последнего поколения, которые смогут автоматически извлекать подозрительный контент из электронных писем еще до того, как он достигнет сотрудников».

Самое активное вредоносное ПО в сентябре 2019 в России

Остальные вредоносные программы в топ-3 — криптомайнеры


  1. Cryptoloot — криптомайнер, который использует CPU или GPU мощности и существующие ресурсы для крипто-майнинга — добавление транзакций в блокчейн и выпуск новой валюты. Конкурент Coinhive.
  2. Pony — вредоносная программа, предназначенная в первую очередь для кражи учетных данных пользователей с зараженных платформ под управлением Windows и доставки их на C&C, а также известная как Pony Stealer, Pony Loader, FareIT и другие. Pony существует с 2011 года, в 2013 году его исходный код был опубликован, что позволило развиваться децентрализованным версиям.
  3. XMRig — программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero.

В сентябре в мировом топе самого активного вредоносного ПО лидируют криптомайнеры. Ботнет Emotet, чья инфраструктура была неактивна большую часть июня, снова распространяет спам-кампании. Emotet занял 5-е место в списке наиболее активного вредоносного ПО в мире в сентябре.

Топ-3 самых активных вредоносных программы в сентябре 2019 года

В этом месяце криптомайнер Jsecoin возглавляет список самых распространенных вредоносных программ по всему миру, XMRig является вторым по популярности вредоносным ПО, после которого следует AgentTesla


  1. Jsecoin — JavaScript-майнер, который может запускать майнинг прямо в браузере в обмен на демонстрацию рекламы, внутриигровую валюту и другие стимулы.
  2. XMRig — программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero.
  3. Agent Tesla — усовершенствованная RAT. AgentTesla заражает компьютеры с 2014 года, выполняя функции кейлоггера и похитителя паролей. Вредоносная программа способна отслеживать и собирать вводимые данные с клавиатуры жертвы, делать скриншоты и извлекать учетные данные, относящиеся к различным программам, установленным на компьютер жертвы (включая Google Chrome, Mozilla Firefox и Microsoft Outlook).

Самые активные мобильные угрозы сентября 2019:


  1. Lotoor — программа, использующая уязвимости в операционной системе Android для получения привилегированного root-доступа на взломанных мобильных устройствах
  2. AndroidBauts — рекламное ПО, предназначенное для пользователей Android, которое фильтрует IMEI, IMSI, местоположение GPS и другую информацию об устройстве и позволяет устанавливать сторонние приложения на мобильные устройства.
  3. Hiddad — Модульный бэкдор для Android, который предоставляет права суперпользователя для загруженного вредоносного ПО, а также помогает внедрить его в системные процессы. Он может получить доступ к ключевым деталям безопасности, встроенным в ОС, что позволяет ему получать конфиденциальные данные пользователя.

Самые распространенные уязвимости сентября 2019:


  1. Удаленное выполнение кода MVPower DVR. В устройствах MVPower DVR существует уязвимость удаленного выполнения кода. Злоумышленник может использовать эту уязвимость для выполнения произвольного кода в уязвимом маршрутизаторе с помощью специально созданного запроса.
  2. Раскрытие информации о системных файлах Linux — операционная система Linux содержит системные файлы с конфиденциальной информацией. Если настройки приватности не заданы должным образом, злоумышленники могут удаленно просматривать информацию.
  3. Раскрытие информации в хранилище Git на веб-сервере. В Git Repository была обнаружена уязвимость, которая могла привести к раскрытию информации учетной записи.