Компания Check Point Software Technologies опубликовала результаты исследования Global Threat Index за май. Специалисты Check Point обнаружили несколько вредоносных спам-кампаний, которые распространяли банковский троян Ursnif. В результате данной активности Ursnif поднялся в рейтинге самых активных вредоносных программ с 19 места до 5.

Троян Ursnif создан для компьютеров с ОС Windows и нацелен на получение доступа к конфиденциальным данным почты, а также данным банковских аккаунтов пользователей. Вредоносное ПО распространяется с помощью почтовых спам рассылок с вложенным документом Word или Excel. Рост числа атак с использованием трояна Ursnif совпал с исчезновением вредоноса Dreambot, в основе которого лежал исходный код Ursnif. Впервые Dreambot был замечен в 2014 г., однако с марта 2020 г. бэкенд-сервер Dreambot пропал с радаров, а новые версии ПО не появились.

Между тем, известный банковский троян Dridex, который в начале весны впервые вошел в топ-10 вредоносных программ и занял первое место по охвату в апреле, также сохранил лидирующие позиции в мае. В семействе мобильных вредоносных ПО наиболее распространенными являются вредоносы, которые поражают ОС Android и направлены на получение прибыли от кликов по мобильной рекламе.

Самое активное вредоносное ПО в мае в мире:

В этом месяце троян Dridex продолжил лидировать в списке распространенного вредоносного ПО, оказывая влияние на 4% организаций во всем мире, за ним следуют Agent Tesla и XMRig с охватом 3% каждый.

1. Dridex – банковский троян, поражающий ОС Windows. Dridex распространяется с помощью спам-рассылок и наборов эксплойтов, которые используют WebInjects для перехвата персональных данных, а также данных банковских карт пользователей.
2. Agent Tesla – усовершенствованная RAT. AgentTesla заражает компьютеры с 2014 г., выполняя функции кейлоггера и похитителя паролей. Вредоносная программа способна отслеживать и собирать вводимые данные с клавиатуры жертвы, делать скриншоты и извлекать учетные данные, относящиеся к различным программам, установленным на компьютер жертвы (включая Google Chrome, MozillaFirefox и Microsoft Outlook).
3. XMRig – программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 г. Используется для майнинга криптовалюты Monero.

Наиболее распространенные уязвимости мая:

Mvpower DVR Remote Code Execution по-прежнему занимает лидирующее место среди наиболее эксплуатируемых уязвимостей, в результате которой были совершены попытки атак на 45% организаций по всему миру. Далее следуют OpenSSL TLS DTLS Heartbeat Information Disclosure и Web Server Exposed git Repository Information Disclosure с охватом 40% и 39% соответственно.

1. Удаленное выполнение кода MVPower DVR. В устройствах MVPower DVR существует уязвимость удаленного выполнения кода. Злоумышленник может использовать эту уязвимость для выполнения произвольного кода в уязвимом маршрутизаторе с помощью специально созданного запроса.
2. OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – в OpenSSL существует уязвимость, позволяющая раскрыть содержимое памяти на сервере или на подключенном клиенте. Уязвимость связана с ошибкой при обработке пакетов Heartbeat TLS / DTLS.
3. Web Server Exposed Git Repository Information Disclosure. Уязвимость в Git-репозиторие, которая способствует непреднамеренному раскрытию информации учетной записи.

Топ мобильных угроз мая:

В мае лидеры вредоносных мобильных ПО изменились. Так, на первое место вышел Preamp, за ним следуют Necro и Hiddad.

1. Preamp – вредоносное ПО для Android, имитирующее клики пользователя, на баннеры рекламных агентств: Presage, Admob и Mopub.
2. Necro – троян-дроппер для Android, который загружает вредоносное ПО, запускает навязчивую рекламу и оформляет платные подписки, взымая деньги с пользователей.
3. Hiddad – Модульный бэкдор для Android, который предоставляет права суперпользователя для загруженного вредоносного ПО, а также помогает внедрить его в системные процессы. Он может получить доступ к ключевым деталям безопасности, встроенным в ОС, что позволяет ему получать конфиденциальные данные пользователя.

Источник: ko.com.ua