Check Point: российские компании атакуют с помощью фальшивых бухгалтерских документов

Рекомендуем почитать:

Xakep #246. Учиться, учиться, учиться!

• Содержание выпуска
• Подписка на «Хакер»

Эксперты компании Check Point выпустили отчет, посвященный наиболее активными угрозам в сентябре 2019 года.

С началом бизнес-сезона российские пользователи столкнулись с вредоносными рассылками, которые имитируют важные бухгалтерские документы. Малварь Pony, которая оказалась на втором месте в топе самого активного вредоносного ПО месяца, распространялась по электронной почте через вредоносные файлы с расширением EXE. Письма злоумышленников имитировали бухгалтерские запросы. Темы и названия подобных писем выглядели примерно так: «Закрывающие документы вторник» и «Документы сентябрь».

Pony может похищать учетные данные пользователей, отслеживать системные и сетевые операции, устанавливать дополнительные вредоносные программы и объединять зараженные устройства в ботнет.

«Начало осени — время, когда заканчивается сезон отпусков, сотрудники возвращаются в офисы и количество коммуникаций возрастает. Злоумышленники отслеживают все тенденции и подстраиваются под них, — рассказывает Василий Дягилев, глава представительства Check Point Software Technologies в России и СНГ. — Важно, чтобы компании рассказывали своим сотрудникам о методах злоумышленников: о фишинговых письмах, вредоносных вложениях, переходе по сомнительным ссылкам и прочее. Необходимо установить решения по информационной безопасности последнего поколения, которые смогут автоматически извлекать подозрительный контент из электронных писем еще до того, как он достигнет сотрудников».

В итоге топ наиболее активной малвари в сентябре 2019 года в России выглядит следующим образом:

• Cryptoloot— майнер, который использует CPU или GPU мощности и существующие ресурсы для добычи криптовалюты;
• Pony— малварь предназначенная в первую очередь для кражи учетных данных пользователей с зараженных платформ под управлением Windows. Также известна как Pony Stealer, Pony Loader, FareIT и так далее. Pony существует с 2011 года, а в 2013 году исходный код вредоноса был опубликован в открытом доступе, что дало толчок к появлению множества новых версий;
• XMRig— программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero.

В мировом топе самого активного вредоносного ПО в сентябре тоже лидировали майнеры. Также исследователи напоминают, что ботнет Emotet, чья инфраструктура была неактивна большую часть лета, снова распространяет спам. В итоге Emotet занял 5 место в списке самой активной малвари.

Самые активные угрозы в сентябре 2019 года:

• Jsecoin — JavaScript-майнер, который может добывать криптовалюту прямо в браузере в обмен на демонстрацию рекламы, внутриигровую валюту и другие стимулы;
• XMRig — программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero;
• Agent Tesla — усовершенствованный RAT. AgentTesla заражает компьютеры с 2014 года, выполняя функции кейлоггера и похитителя паролей. Вредоносная программа способна отслеживать и собирать вводимые данные с клавиатуры жертвы, делать скриншоты и извлекать учетные данные, относящиеся к различным программам, установленным на компьютер жертвы (включая Google Chrome, Mozilla Firefox и Microsoft Outlook).

Самые активные мобильные угрозы сентября 2019:

• Lotoor — программа, использующая уязвимости в операционной системе Android для получения привилегированного root-доступа ко взломанным мобильным устройствам;
• AndroidBauts — рекламное ПО, предназначенное для пользователей Android, которое похищает IMEI, IMSI, местоположение GPS и другую информацию об устройстве, а также позволяет устанавливать сторонние приложения;
• Hiddad — модульный бэкдор для Android, который предоставляет прав суперпользователя для загруженного вредоносного ПО, а также помогает внедрить его в системные процессы.

Источник