Вредоносные спам-кампании используют имя Греты Тунберг

Команда исследователей Check Point Research опубликовала отчет Global Threat Index с самыми активными угрозами в декабре 2019 года. Уже три месяца лидирующую позицию занимает троян Emotet. В основном Emotet распространяется через спам-рассылки, которые используют в заголовках актуальные темы. В декабре, например, были такие темы: «Support Greta Thunberg — Time Person of the Year 2019» and «Christmas Party!».

Электронные письма в обеих кампаниях содержали вредоносный документ Microsoft Word, который при открытии пытался загрузить Emotet на компьютер жертвы. В дальнейшем через Emotet могут распространяться вымогатели и другие вредоносные кампании.

В декабре также значительно увеличилось использование удаленного внедрения команд по протоколу HTTP: этому подверглись 33% организаций во всем мире. При успешном использовании уязвимость представляла собой бот-сеть DDoS. Вредоносный файл, использованный при атаке, также содержал ряд ссылок на полезные нагрузки, использующие уязвимости в умных устройствах. В дальнейшем эти устройства объединялись в ботнеты. Потенциально уязвимы были устройства от таких производителей как D-Link, Huawei и RealTek.

«За последние три месяца главными угрозами были универсальные многоцелевые вредоносные программы, например, Emotet и xHelper. Они дают киберпреступникам множество возможностей для монетизации атак, поскольку они могут использоваться для распространения вымогателей или распространения новых спам-кампаний, — рассказывает Василий Дягилев, глава представительства Check Point Software Technologies в России и СНГ. — Цель преступников — проникнуть и закрепиться в максимально большом количестве организаций и устройств, чтобы последующие атаки были более прибыльными и разрушительными. Поэтому очень важно, чтобы организации информировали своих сотрудников о рисках открытия и загрузки вложений электронной почты, перехода по ссылкам, которые не приходят из надежного источника».

Самое активное вредоносное ПО в декабре 2019 в России:


  1. XMRig — программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero.
    Agent Tesla — усовершенствованная RAT. AgentTesla заражает компьютеры с 2014 года, выполняя функции кейлоггера и похитителя паролей.
  2. Вредоносная программа способна отслеживать и собирать вводимые данные с клавиатуры жертвы, делать скриншоты и извлекать учетные данные, относящиеся к различным программам, установленным на компьютер жертвы (включая Google Chrome, Mozilla Firefox и Microsoft Outlook).
  3. Emotet — продвинутый самораспространяющийся модульный троян. Emotet когда-то был рядовым банковским трояном, а в последнее время используется для дальнейшего распространения вредоносных программ и кампаний. Новый функционал позволяет рассылать фишинговые письма, содержащие вредоносные вложения или ссылки.

Самое активное вредоносное ПО в декабре 2019 в мире:


  1. Emotet — продвинутый самораспространяющийся модульный троян. Emotet когда-то был рядовым банковским трояном, а в последнее время используется для дальнейшего распространения вредоносных программ и кампаний. Новый функционал позволяет рассылать фишинговые письма, содержащие вредоносные вложения или ссылки.
  2. XMRig — программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero.
  3. Trickbot — один из доминирующих банковских троянов, который постоянно дополняется новыми возможностями, функциями и векторами распространения. Trickbot — гибкое и настраиваемое вредоносное ПО, которое может распространяться в рамках многоцелевых кампаний.

Самые активные мобильные угрозы декабря 2019:


  1. xHelper — вредоносное приложение для Android, активно с марта 2019 года, используется для загрузки других вредоносных приложений и отображения рекламы. Приложение способно скрывать себя от пользовательских и мобильных антивирусных программ и переустанавливать себя, если пользователь удаляет его.
  2. Guerilla — кликер для Android, который может взаимодействовать с сервером удаленного управления, загружать дополнительные вредоносные плагины и агрессивно накручивать клики по рекламе без согласия или ведома пользователя.
  3. Hiddad — Модульный бэкдор для Android, который предоставляет права суперпользователя для загруженного вредоносного ПО, а также помогает внедрить его в системные процессы. Он может получить доступ к ключевым деталям безопасности, встроенным в ОС, что позволяет ему получать конфиденциальные данные пользователя.

Удаленное внедрение команд по протоколу HTTP стало самой распространенной уязвимостью, затрагивающей 33% организаций во всем мире. Уязвимости «удаленное выполнение кода MVPower DVR» и «раскрытие информации в хранилище Git на веб-сервере» на втором и третьем месте, затронули 32% и 29% организаций соответственно.

Самые распространенные уязвимости декабря 2019:


  1. Удаленное внедрение команд по протоколу HTTP. Злоумышленники удаленно используют эту уязвимость, отправляя жертве специальный запрос. Успешная эксплуатация позволит злоумышленнику выполнить произвольный код на устройстве жертвы.
  2. Удаленное выполнение кода MVPower DVR. В устройствах MVPower DVR существует уязвимость удаленного выполнения кода. Злоумышленник может использовать эту уязвимость для выполнения произвольного кода в уязвимом маршрутизаторе с помощью специально созданного запроса.
  3. Раскрытие информации в хранилище Git на веб-сервере. В Git Repository была обнаружена уязвимость, которая могла привести к раскрытию информации учетной записи.