Check Point Research: банковский троян IcedID впервые вошел в Global Threat Index, заняв второе место

Команда исследователей Check Point Research представила отчет Global Threat Index о самых активных угрозах в марте 2021 года. Исследователи сообщили, что банковский троян IcedID впервые вошел в рейтинг, попав на второе место. Первое место в марте занял троян Dridex – в феврале он был только на седьмом.

Впервые появившийся в 2017 году, IcedID активно распространялся в марте с помощью нескольких спам-кампаний, затронувших 11% организаций во всем мире. Одна из наиболее крупных кампаний использовала тематику COVID-19, чтобы привлечь внимание жертв. Большинство вредоносных вложений –– документы Microsoft Word с вредоносным макросом.

После установки троян пытается украсть данные учетной записи, платежные данные и другую конфиденциальную информацию с устройств жертв. Также IcedID может распространяться с помощью других вредоносных программ и использоваться в качестве начальной стадии атак при операциях с программами-вымогателями.

«IcedID существует уже несколько лет. В последнее время он стал активно эксплуатироваться, показывая, что киберпреступники продолжают адаптировать свои методы для все более успешных атак. И они до сих пор используют тему COVID-19, –– комментирует Василий Дягилев, глава представительства Check Point Software Technologies в России и СНГ. – IcedID – очень опасный троян. Он использует несколько методов для успешной кражи данных. Мы рекомендуем организациям убедиться, что их системы безопасности надежны, чтобы предотвратить компрометацию сетей и минимизировать риски. Очень важно обучать сотрудников киберграмотности: тогда они смогут распознать опасные электронные письма, которые распространяют IcedID и другие вредоносные программы».

Самое активное вредоносное ПО в марте 2021 в России:

1. Fareit — троян, обнаруженный в 2012 году. Его разновидности похищают пароли пользователей, FTP аккаунты, телефонные номера и другие идентификационные данные, которые хранят браузеры. Способен устанавливать другие вредоносные программы на зараженные устройства и использовался для распространения трояна P2P Game over Zeus.
   Исходный код Fareit (версия 1.9) был опубликован в Интернете — теперь любой злоумышленник может изменить его и использовать во вредоносных кампаниях.
2. XMRig — программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero.
3. Trickbot — один из доминирующих банковских троянов, который постоянно дополняется новыми возможностями, функциями и векторами распространения. Это гибкое и настраиваемое вредоносное ПО, которое может распространяться в рамках многоцелевых кампаний.

Самое активное вредоносное ПО в марте 2021 в мире:

В этом месяце Dridex стал самым популярным вредоносным ПО, атаковав 16% организаций по всему миру. За ним следуют IcedID и Lokibot, затронувшие 11% и 9% организаций соответственно.

1. Dridex — банковский троян, поражающий ОС Windows. Dridex распространяется с помощью спам-рассылок и наборов эксплойтов, которые используют WebInjects для перехвата персональных данных, а также данных банковских карт пользователей.
2. IcedID –– банковский троян, распространяется через вредоносные спам-кампании. Для кражи финансовых данных встраивается в процессы браузеров, чтобы отображать фейковое содержимое вместо оригинальных страниц. Использует методы обфускации и шифрования собственного кода для того, чтобы затруднить обнаружение и анализ.
3. Lokibot – инфостилер, распространяется в основном с помощью фишинговых писем. Используется для кражи различных данных: учетные данные электронной почты, пароли к кошелькам CryptoCoin и FTP-серверам.

Самые распространенные уязвимости в марте 2021 в мире:

В этом месяце «Удаленное выполнение кода HTTP-заголовков (CVE-2020-13756)» – самая часто используемая уязвимость, затрагивающая 45% организаций во всем мире. На втором и третьем месте соответственно «Удаленное выполнение кода MVPower DVR» и «Обход аутентификации маршрутизатора Dasan GPON (CVE-2018-10561)» - каждая уязвимость затронула 44% организаций во всем мире.

1. Удаленное выполнение кода в заголовках HTTP (CVE-2020-13756) — заголовки HTTP позволяют клиенту и серверу передавать дополнительную информацию с помощью HTTP-запроса. Злоумышленник может использовать уязвимый заголовок HTTP для запуска произвольного кода на устройстве жертвы.
2. Удаленное выполнение кода MVPower DVR — в устройствах MVPower DVR существует уязвимость удаленного выполнения кода. Злоумышленник может использовать ее для выполнения произвольного кода в уязвимом маршрутизаторе с помощью специально созданного запроса.
3. Обход аутентификации роутера Dasan GPON (CVE-2018-10561) — уязвимость обхода аутентификации, существующая в роутерах Dasan GPON. Успешное использование этой уязвимости позволит удаленным злоумышленникам получить конфиденциальную информацию и получить несанкционированный доступ к уязвимой системе.

Самые активные мобильные угрозы в марте 2021:

В этом месяце Hiddad стал самым популярным вредоносным ПО для мобильных устройств. За ним следуют xHelper и FurBall.

1. Hiddad — модульный бэкдор для Android, который предоставляет права суперпользователя для загруженного вредоносного ПО, а также помогает внедрить его в системные процессы. Он может получить доступ к ключевым деталям безопасности, встроенным в ОС, что позволяет ему получать конфиденциальные данные пользователя.
2. xHelper — вредоносное приложение для Android, активно с марта 2019 года, используется для загрузки других вредоносных приложений и отображения рекламы. Приложение способно скрываться от пользовательских и мобильных антивирусных программ и переустанавливаться, если пользователь удаляет его.
3. FurBall — мобильный троян удаленного доступа для Android, который используется иранской APT-группировкой APT-C-50, связанной с иранским правительством. С 2017 года это вредоносное ПО участвовало во множественных кампаниях и активно до сих пор. FurBall может перехватывать SMS-сообщения и журналы звонков, записывать разговоры и звуки вокруг, похищать медиафайлы, отслеживать GPS-координаты устройства и т.д.

Global Threat Impact Index и ThreatCloud Map разработаны ThreatCloud intelligence — самой большой совместной сетью по борьбе с киберпреступностью, которая предоставляет данные об угрозах и тенденциях атак из глобальной сети датчиков угроз. База данных ThreatCloud ежедневно проверяет более 3 миллиардов веб-сайтов, 600 миллионов файлов и выявляет более 250 миллионов вредоносных программ каждый день.

Более подробную информацию и полный рейтинг 10 самых активных вредоносных программ по данным Global Threat Index за март можно найти в блоге Check Point Software Technologies.