Лаборатория Касперского назвала главные зловреды августа

Юрий Машевский, ведущий вирусный аналитик Лаборатории Касперского, опубликовал очередной Киберпаноптикум, выявляющий "самые-самые" вредоносные модули за прошедший месяц.

Вот каким оказался список зловредов по итогам августа:

* Самый жадный зловред по отношению к банкам - Trojan-Banker.Win32.Banker.rqk. Атакует 26 банков;

* Самый жадный зловред по отношению к системам электронных денег - новая модификация Backdoor.Win32.Agobot.gen. Нападает на клиентов четырех систем электронных денег;

* Самый жадный зловред по отношению к пластиковым картам - Trojan-Banker.Win32.Banbra.vf. Проявляет интерес к пользователям четырех систем пластиковых карт;

* Самый упакованный зловред - Backdoor.Win32.Hupigon.nqr (семейство то же, что и в прошлом месяце). Упакован семью различными программами упаковки;

* Самый маленький зловред - Trojan.BAR.Tiny.a - 31 байт. Ищет и запускает все найденные приложения;

* Самый большой зловред - Trojan-Banker.Win32.Banker.qwp – 27 MБ. Не слишком много для данной категории.

* Самый враждебный зловред - Trojan-Clicker.HTML.IFrame.uu. Был обнаружен антивирусом при загрузке на компьютеры пользователей через 16% уязвимостей, используемых для внедрения кода;

* Самый распространенный зловред в почтовом трафике - Trojan-Downloader.Win32.Small.aacq. Участвует в каждом двадцатом заражении пользователей;

* Самое многочисленное семейство среди троянских программ - Backdoor.Win32.Hupigon - 1044 модификации;

* Самое многочисленное семейство среди вирусов и червей - Worm.Win32.AutoRun - 75 модификаций.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Троян SapphireStealer прятался в клоне листовки ЦИК о выборах президента

Команда киберразведки из компании F.A.C.C.T. обнаружила модифицированную версию вредоносной программы SapphireStealer в PDF-файле якобы от Центральной избирательной комиссии (ЦИК) с информацией о прошедших выборах Президента России.

Программа SapphireStealer является классическим трояном, способным перехватывать и отправлять операторам данные жертв. В новой кампании вредонос крал учётные данные из браузеров и Telegram.

Для распространения SapphireStealer киберпреступники использовали фейковый веб-ресурс, замаскированный под сайт правительства России. В F.A.C.C.T. считают, что такой же трюк злоумышленники могут использовать в Единый день голосования, который пройдёт 8 сентября 2024 года.

В сущности, SapphireStealer стал первым инфостилером, которого авторы выдали за официальные документы ЦИК. Об этой вредоносной программе мы писали в сентябре 2023 года, тогда в Сети нашлись модифицированные образцы SapphireStealer, использовавшие для отправки данных API Discord и Telegram.

В более свежих атаках операторы задействовали для распространения домен, выдающий себя за государственный ресурс. Как выяснила F.A.C.C.T., исходный код трояна два года назад выложили в одном из телеграм-каналов и на форуме zelenka.guru.

 

Вредоносный домен govermentu[.]ru злоумышленники зарегистрировали 29 января 2024 года. На нём располагался исполняемый файл «О предоставлении информации о предстоящих выборах.exe», засветившийся на VirusTotal 15 марта.

В качестве отвлекающего фактора при выполнении экзешника тот демонстрировал жертве документ-приманку «О предоставлении информации о предстоящих выборах.pdf».

 

В системе зловред прописывается в автозагрузку через планировщик задач Windows и время от времени обращается в командному серверу. Каждый пользователь получается свой идентификатор на основе processorID (процессор) и SerialNumber (системная плата).

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru