Команда исследователей безопасности Check Point Research (CPR) представила отчет Global Threat Index о самых активных угрозах в августе 2021 года. Самой опасной киберугрозой августа 2021 года стал троян-инфостилер Formbook, который собирает учетные данные из различных веб-браузеров, делает снимки экрана, отслеживает и регистрирует нажатие клавиш. Formbook уже сместил Trickbot, лидера предыдущих трех месяцев, на второе место.
Банковский троян Qbot, операторы которого не были активны летом, вышел из рейтинга. При этом Remcos, троян удаленного доступа (RAT), впервые попал в список в этом году, заняв шестое место.
Formbook впервые обнаружили в 2016 году: это инфостилер, который может собирать учетные данные из различных браузеров, делать снимки экрана, отслеживать и регистрировать нажатие клавиш, а также загружать и выполнять файлы в соответствии с командами своего управляющего сервера. Formbook распространялся с помощью тематических кампаний COVID-19 и фишинговых писем. В июле 2021 года исследователи CPR сообщили, что новый штамм вредоносного ПО, полученный из Formbook, — XLoader, теперь нацелен на пользователей macOS.
«В августе ситуация с самым активным ПО в Украине практически идентична ситуации в мире. В лидерах рейтинга — инфостилер Formbook, с ним столкнулась почти каждая десятая организация. При этом чаще всего он распространяется через фишинговые письма. Мы рекомендуем работодателям напомнить своим сотрудникам про базовые правила кибергигиены и позаботиться о надежной защите», — говорит Александр Савушкин, региональный директор по развитию бизнеса Check Point Software Technologies в Украине, Грузии и странах СНГ.
Самое активное вредоносное ПО в августе 2021 в Украине
- Formbook — впервые обнаружен в 2016 году: это инфостилер, предназначенный для ОС Windows. На подпольных хакерских форумах он позиционируется как MaaS из-за его развитых методов уклонения и относительно низкой цены. Formbook собирает учетные данные из различных веб-браузеров, делает снимки экрана, отслеживает и регистрирует нажатие клавиш, а также может загружать и выполнять файлы в соответствии с командами своего управляющего сервера. Затронул 8,59 % организаций.
- Turla — бэкдор, нацеленный на платформу Windows. Вредоносная программа может предоставить злоумышленникам возможность удаленно управлять зараженным ПК. Затронул 5,75% организаций.
- Agent Tesla — усовершенствованная RAT. Agent Tesla заражает компьютеры с 2014 года, выполняя функции кейлоггера и похитителя паролей. Вредоносная программа способна отслеживать и собирать вводимые данные с клавиатуры жертвы, делать скриншоты и извлекать учетные данные, относящиеся к различным программам, установленным на компьютер жертвы (включая Google Chrome, MozillaFirefox и Microsoft Outlook). Затронул 5,17% организаций.
Самое активное вредоносное ПО в августе 2021 в мире
В августе Formbook стал самым распространенным вредоносным ПО, затронувшим 4,5% организаций во всем мире. На втором и третьем местах — Trickbot и Agent Tesla, поражающие 4% и 3% организаций по всему миру соответственно.
- Formbook — впервые обнаружен в 2016 году: это инфостилер, предназначенный для ОС Windows. На подпольных хакерских форумах он позиционируется как MaaS из-за его развитых методов уклонения и относительно низкой цены. Formbook собирает учетные данные из различных веб-браузеров, делает снимки экрана, отслеживает и регистрирует нажатие клавиш, а также может загружать и выполнять файлы в соответствии с командами своего управляющего сервера.
- Trickbot — один из доминирующих банковских троянов, который постоянно дополняется новыми возможностями, функциями и векторами распространения. Trickbot – гибкое и настраиваемое вредоносное ПО, которое может распространяться в рамках многоцелевых кампаний. Затронул 5,75% организаций.
- Agent Tesla — усовершенствованная RAT. Agent Tesla заражает компьютеры с 2014 года, выполняя функции кейлоггера и похитителя паролей. Вредоносная программа способна отслеживать и собирать вводимые данные с клавиатуры жертвы, делать скриншоты и извлекать учетные данные, относящиеся к различным программам, установленным на компьютер жертвы (включая Google Chrome, MozillaFirefox и Microsoft Outlook). Затронул 5,17% организаций.
Самые распространенные уязвимости в августе 2021 в мире
В этом месяце «Раскрытие информации в хранилище Git на веб-сервере» — наиболее часто используемая уязвимость, затрагивающая 45% организаций во всем мире. На втором и третьем месте «Удаленное выполнение кода в заголовках HTTP (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756)» и «Обход аутентификации роутера Dasan GPON (CVE-2018-10561)» с охватом 43% и 40% соответственно.
- Раскрытие информации в хранилище Git на веб-сервере — уязвимость в Git-репозитории, которая способствует непреднамеренному раскрытию информации учетной записи.
- Удаленное выполнение кода в заголовках HTTP (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) — заголовки HTTP позволяют клиенту и серверу передавать дополнительную информацию с помощью HTTP-запроса. Злоумышленник может использовать уязвимый заголовок HTTP для запуска произвольного кода на устройстве жертвы.
- Обход аутентификации роутера Dasan GPON (CVE-2018-10561) — уязвимость обхода аутентификации, существующая в роутерах Dasan GPON. Успешное использование этой уязвимости позволит удаленным злоумышленникам получить конфиденциальную информацию и получить несанкционированный доступ к уязвимой системе.
Самые активные мобильные угрозы в августе 2021
В этом месяце xHelper стал самым популярным вредоносным ПО для мобильных устройств. За ним следуют AlienBot и FluBot.
- xHelper — вредоносное приложение для Android, активно с марта 2019 года, используется для загрузки других вредоносных приложений и отображения рекламы. Приложение способно скрываться от пользовательских и мобильных антивирусных программ и переустанавливаться, если пользователь удаляет его.
- AlienBot — семейство вредоносных программ, вредоносное ПО как услуга (MaaS) для устройств Android. Злоумышленники могут использовать его как первую ступень атаки для внедрения вредоносного кода в легальные финансовые приложения. Далее киберпреступник получает доступ к учетным записям жертв и в итоге полностью контролирует их устройство.
- FluBot — вредоносная программа-ботнет для Android. Распространяется через фишинговые СМС, которые часто имитируют бренды логистических служб. Как только пользователь переходит по ссылке из сообщения, он автоматически устанавливает FluBot, который сразу получает доступ ко всей конфиденциальной информации на телефоне.
Global Threat Impact Index и ThreatCloud Map разработаны ThreatCloud intelligence — самой большой совместной сетью по борьбе с киберпреступностью, которая предоставляет данные об угрозах и тенденциях атак из глобальной сети датчиков угроз. База данных ThreatCloud ежедневно проверяет более 3 миллиардов веб-сайтов, 600 миллионов файлов и выявляет более 250 миллионов вредоносных программ каждый день.
Более подробную информацию и полный рейтинг 10 самых активных вредоносных программ по данным Global Threat Index за август можно найти в блоге Check Point Software Technologies.