Самое разыскиваемое вредоносное ПО за декабрь 2022 года

Check Point Research сообщает, что Glupteba вернулась в первую десятку списка впервые с июля 2022 года. Qbot обогнал Emotet как самое распространенное вредоносное ПО в декабре, а вредоносное ПО для Android Hiddad вернулся.

В нашем последнем Глобальном индексе угроз за декабрь 2022 года Glupteba Malware, амбициозный троянский ботнет с поддержкой блокчейна, вернулся в первую десятку списка впервые с июля 2022 года, переместившись на восьмое место.

Qbot, сложный троян, который крадет банковские учетные данные и нажатия клавиш, обогнал Emotet и стал самым распространенным вредоносным ПО после его возвращения в прошлом месяце, затронув 7% организаций по всему миру.

Между тем вредоносное ПО Hiddad для Android вернулось, и образование по-прежнему остается наиболее пострадавшей отраслью во всем мире.

Хотя Google удалось вызвать серьезные нарушениядо операции Glupteba в декабре 2021 года, похоже, она снова вернулась в строй.

В качестве модульного варианта вредоносного ПО Glupteba может выполнять различные задачи на зараженном компьютере.

Ботнет часто используется как загрузчик и дроппер для других вредоносных программ. Это означает, что заражение Glupteba может привести к заражению программами-вымогателями, утечке данных или другим инцидентам безопасности.

Glupteba также предназначена для кражи учетных данных пользователя и сеансовых файлов cookie с зараженных машин.

Эти данные аутентификации могут использоваться для получения доступа к онлайн-аккаунтам пользователя или другим системам, что позволяет злоумышленнику украсть конфиденциальные данные или предпринять другие действия с использованием этих скомпрометированных учетных записей.

Наконец, вредоносное ПО обычно используется для развертывания функций криптомайнинга на своей цели, истощая ресурсы компьютера, используя их для майнинга блоков.

В декабре мы также увидели, что Hiddad впервые в 2022 году вошел в тройку лучших мобильных вредоносных программ.

Hiddad — это вредоносное ПО, распространяющее рекламу и нацеленное на устройства Android. Он переупаковывает законные приложения, а затем выпускает их в сторонний магазин.

Его основная функция — показ рекламы, но он также может получить доступ к ключевым деталям безопасности, встроенным в ОС.

Основной темой нашего последнего исследования является то, как вредоносное ПО часто маскируется под законное программное обеспечение, чтобы предоставить хакерам бэкдор-доступ к устройствам, не вызывая подозрений.

Вот почему важно проявлять должную осмотрительность при загрузке любого программного обеспечения и приложений или переходе по ссылкам, независимо от того, насколько подлинными они выглядят.

Наше исследование также показало, что «Раскрытие информации в репозитории открытого веб-сервера Git» было наиболее распространенной используемой уязвимостью, затронувшей 46% организаций по всему миру, за которой следует «Вредоносный обход каталога URL-адресов веб-серверов» с 44% организаций во всем мире.

«Внедрение команд через HTTP» — третья наиболее часто используемая уязвимость с глобальным влиянием на 43%.

Самые популярные семейства вредоносных программ

*Стрелки относятся к изменению рейтинга по сравнению с предыдущим месяцем.

Qbot был самым распространенным вредоносным ПО в прошлом месяце с влиянием 7% организаций по всему миру, за ним следуют Emotet с глобальным влиянием 4% и XMRig с глобальным влиянием 3% .

1. ↑ Qbot — Qbot AKA Qakbot — банковский троянец, впервые появившийся в 2008 году. Он был разработан для кражи банковских учетных данных и нажатий клавиш пользователя. Часто распространяемый через спам по электронной почте, Qbot использует несколько методов защиты от виртуальных машин, отладки и защиты от песочницы, чтобы затруднить анализ и избежать обнаружения.
2. ↔ Emotet — Emotet — продвинутый, самораспространяющийся и модульный троян. Раньше Emotet использовался как банковский троянец, а недавно использовался как распространитель других вредоносных программ или вредоносных кампаний. Он использует несколько методов для поддержания стойкости и методов уклонения, чтобы избежать обнаружения. Кроме того, он может распространяться через фишинговые спам-письма, содержащие вредоносные вложения или ссылки.
3. ↑ XMRig — XMRig — это программное обеспечение для майнинга процессоров с открытым исходным кодом, используемое для майнинга криптовалюты Monero. Злоумышленники часто злоупотребляют этим программным обеспечением с открытым исходным кодом, интегрируя его в свои вредоносные программы для незаконного майнинга на устройствах жертв.
4. ↑ Formbook — Formbook — это Infostealer, нацеленный на ОС Windows, впервые обнаруженный в 2016 году. Он позиционируется как «Вредоносное ПО как услуга» (MaaS) на подпольных хакерских форумах из-за сильных методов уклонения и относительно низкой цены. FormBook собирает учетные данные из различных веб-браузеров, собирает снимки экрана, отслеживает и регистрирует нажатия клавиш, а также может загружать и выполнять файлы в соответствии с приказами своего C&C.
5. ↑ Nanocore — NanoCore — это троянец удаленного доступа, нацеленный на пользователей операционной системы Windows. Впервые он был обнаружен в дикой природе в 2013 году. Все версии RAT содержат базовые плагины и функции, такие как захват экрана, добыча криптовалюты, удаленное управление рабочим столом и кража сеанса веб-камеры.
6. ↑ Ramnit — Ramnit — это модульный банковский троянец, впервые обнаруженный в 2010 году. Ramnit крадет информацию о веб-сессиях, предоставляя своим операторам возможность красть учетные данные для всех сервисов, которыми пользуется жертва, включая банковские счета, корпоративные аккаунты и аккаунты в социальных сетях. Троянец использует как жестко заданные домены, так и домены, сгенерированные DGA (алгоритм генерации домена), чтобы связаться с C&C-сервером и загрузить дополнительные модули.
7. ↑ Remcos — Remcos — это RAT, впервые появившаяся в 2016 году. Remcos распространяется через вредоносные документы Microsoft Office, которые прикрепляются к спам-сообщениям, и предназначена для обхода системы контроля учетных записей Microsoft Windows и выполнения вредоносных программ с привилегиями высокого уровня.
8. ↑Glupteba — Известный с 2011 года, Glupteba — это бэкдор, который постепенно превратился в ботнет. К 2019 году он включал механизм обновления адреса C&C через общедоступные списки биткойнов, встроенную возможность кражи браузера и эксплуататора маршрутизатора.
9. ↓AgentTesla — AgentTesla — это продвинутая RAT, функционирующая как кейлоггер и похититель информации, способная отслеживать и собирать ввод с клавиатуры жертвы, системную клавиатуру, делать снимки экрана и извлекать учетные данные для различных программ, установленных на компьютере жертвы (включая Google). Chrome, Mozilla Firefox и почтовый клиент Microsoft Outlook).
10. ↓ Phorpiex — Phorpiex — это ботнет (также известный как Trik), который был активен с 2010 года и на пике своего развития контролировал более миллиона зараженных хостов. Он известен тем, что распространяет другие семейства вредоносных программ с помощью спам-кампаний, а также подпитывает крупномасштабные спам-кампании и кампании по сексуальному вымогательству.

Самые атакуемые отрасли в мире

В прошлом месяце наиболее атакованной отраслью в мире остается образование и исследования , за ними следуют государственные и военные службы, а затем здравоохранение .

1. Образование/Исследования
2. Правительство/Военные
3. Здравоохранение

Самые популярные уязвимости

В декабре наиболее часто используемой уязвимостью была « Раскрытие информации в Git-репозитории веб-сервера », затронувшая 46% организаций по всему миру, за ней следовал « Вредоносный URL-адрес веб-серверов » , затронутый 44% организаций по всему миру. « Внедрение команд через HTTP » — третья наиболее часто используемая уязвимость с глобальным влиянием на 43% .

1. ↑ Раскрытие информации в Git-репозитории веб-сервера . Сообщалось об уязвимости раскрытия информации в Git-репозитории. Успешное использование этой уязвимости может привести к непреднамеренному раскрытию информации об учетной записи.
2. ↓ Вредоносный обход каталогов URL-адресов веб-серверов (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – есть существует уязвимость обхода каталога на разных веб-серверах. Уязвимость возникает из-за ошибки проверки ввода на веб-сервере, который не очищает должным образом URI для шаблонов обхода каталога. Успешная эксплуатация позволяет удаленным злоумышленникам, не прошедшим проверку подлинности, раскрывать или получать доступ к произвольным файлам на уязвимом сервере.
3. ↑ Внедрение команд через HTTP (CVE-2021-43936, CVE-2022-24086) — Сообщалось об уязвимости внедрения команд через HTTP. Удаленный злоумышленник может воспользоваться этой проблемой, отправив жертве специально созданный запрос. Успешная эксплуатация позволит злоумышленнику выполнить произвольный код на целевой машине.
4. ↓ Удаленное выполнение кода заголовков HTTP (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) — заголовки HTTP позволяют клиенту и серверу передавать дополнительную информацию с HTTP-запросом. Удаленный злоумышленник может использовать уязвимый HTTP-заголовок для запуска произвольного кода на компьютере-жертве.
5. ↑ Удаленное выполнение кода MVPower DVR — в устройствах MVPower DVR существует уязвимость, которая делает возможным удаленное выполнение кода. Удаленный злоумышленник может использовать эту уязвимость для выполнения произвольного кода на уязвимом маршрутизаторе с помощью созданного запроса.
6. ↓ Обход аутентификации маршрутизатора Dasan GPON (CVE-2018-10561) — в маршрутизаторах Dasan GPON существует уязвимость обхода аутентификации. Успешное использование этой уязвимости позволит удаленным злоумышленникам получить конфиденциальную информацию и получить несанкционированный доступ к уязвимой системе.

7. ↔ Раскрытие информации о пасхальном яйце PHP — на страницах PHP сообщается об уязвимости, связанной с раскрытием информации. Уязвимость связана с неправильной конфигурацией веб-сервера. Удаленный злоумышленник может воспользоваться этой уязвимостью, отправив специально созданный URL-адрес на уязвимую страницу PHP.
8. ↑ Microsoft Windows HTTP.sys Remote Code Execution (MS15-034: CVE-2015-1635) — уязвимость в HTTP.sys в некоторых версиях Microsoft Windows OP, отслеживаемая как CVE-2015-1635. Успешная эксплуатация позволит злоумышленникам выполнять произвольные HTTP-запросы, вызывая переполнение буфера и, возможно, получение привилегий SYSTEM.
9. ↓ Обход аутентификации плагина WordPress Portable-phpMyAdmin (CVE-2012-5469) — в плагине WordPress Portable-phpMyAdmin существует уязвимость обхода аутентификации. Успешное использование этой уязвимости позволит удаленным злоумышленникам получить конфиденциальную информацию и получить несанкционированный доступ к уязвимой системе.
10. ↓ Внедрение команд PHPUnit (CVE-2017-9841) — в PHPUnit существует уязвимость внедрения команд. Успешное использование этой уязвимости позволит удаленным злоумышленникам выполнять произвольные команды в уязвимой системе.

Лучшие мобильные вредоносные программы

В прошлом месяце Anubis оставался самым распространенным вредоносным ПО для мобильных устройств, за ним следовали Hiddad и AlienBot .

1. Anubis — Anubis — банковский троян, разработанный для мобильных телефонов Android. Поскольку он был первоначально обнаружен, он получил дополнительные функции, включая функциональность трояна удаленного доступа (RAT), возможности кейлоггера и аудиозаписи, а также различные функции программ-вымогателей. Он был обнаружен в сотнях различных приложений, доступных в магазине Google.
2. Hiddad — Hiddad — это вредоносное ПО для Android, которое переупаковывает законные приложения, а затем выпускает их в сторонний магазин. Его основная функция — показ рекламы, но он также может получить доступ к ключевым деталям безопасности, встроенным в ОС.
3. AlienBot — AlienBot — банковский троянец для Android, продаваемый подпольно как «Вредоносное ПО как услуга» (MaaS). Он поддерживает кейлоггинг, динамические наложения для кражи учетных данных, а также сбор SMS для обхода 2FA. Дополнительные возможности удаленного управления предоставляются с помощью модуля TeamViewer.

Глобальный индекс воздействия угроз Check Point и его карта ThreatCloud основаны на интеллекте Check Point ThreatCloud .

ThreatCloud предоставляет информацию об угрозах в режиме реального времени, полученную от сотен миллионов датчиков по всему миру, по сетям, конечным точкам и мобильным устройствам.

 Интеллект обогащен механизмами на основе искусственного интеллекта и эксклюзивными исследовательскими данными от Check Point Research, подразделения разведки и исследований Check Point Software Technologies.