Активность банковских троянов увеличилась на 50%

Активность банковских троянов увеличилась на 50%

Check Point отмечает, что за последние четыре месяца атаки банковских троянов выросли на 50%. В десятку самых активных угроз вошло два семейства троянов. Банковский троян Dorkbot, ворующий конфиденциальную информацию и запускающий DDoS-атаки, затронул 7% организаций по всему миру.

Так, зловред поднялся с восьмого на третье место в списке самых опасных вредоносных программ по версии Check Point. Также в июне появился троян Emotet, способный похищать банковские данные пользователей и распространяться с помощью уже инфицированных компьютеров. Новый вредонос стремительно распространяется последние два месяца — он переместился с 50 места апрельского отчета на 11 позицию текущего. Вместе с Dorkbot в топ-10 киберугроз вошел троян Ramnit, ворующий банковские данные и FTP-пароли.

«Мотивация большинства киберпреступлений — финансовая выгода. Хакеры ищут эффективные инструменты, которые позволят получать высокую прибыль с наименьшими затратами, — отмечает Василий Дягилев, глава представительства Check Point Software Technologies в России и СНГ. — Подобную масштабную активность банковского трояна мы наблюдали прошлым летом. Можно предположить, что киберпреступники пытаются воспользоваться отпускным периодом. Во время отдыха люди более уязвимы, так как чаще обычного используют неизвестные публичные Wi-Fi точки доступа, скачивают документы или заходят в аккаунты онлайн-банков с чужих устройств».

Самые активные зловреды в июне 2018:

  1. CoinHive — криптомайнер, предназначенный для добычи криптовалюты Monero без ведома пользователя, когда тот посещает веб-сайты.
  2. Cryptoloot — криптомайнер, использующий мощность ЦП или видеокарты жертвы и другие ресурсы для майнинга криптовалюты, зловред добавляет транзакции в блокчейн и выпускает новую валюту.
  3. Dorkbot — червь на базе IRC, cсозданный с целью удаленно выполнять код через оператора, а также скачивать дополнительное вредоносное ПО на уже инфицированную систему. Dorkbot — это банковский троян, основная цель которого — заполучить критическую информацию и запустить DDoS-атаки.

По данным Check Point, в июне количество атак на российские компании уменьшилось по сравнению с предыдущим месяцем. Россия заняла в рейтинге Global Threat Index 94 место, опустившись на 12 позиций. Среди самых активных угроз, атакующих организации, оказались уже упомянутые вредоносные криптомайнеры Coinhive и Cryptoloot. За ними в рейтинге следует семейство троянов Nivdort, которое атакует устройства на платформе Windows и собирает данные о паролях и сведения о системе. Больше всего в июне атакам хакеров подверглись Мозамбик, Монголия и Эфиопия. Меньше всего атаковали остров Мэн, Исландию и Лихтенштейн.

Самые активные мобильные зловреды в июне 2018:

  1. Triada — модульный бэкдор для Android, который дает огромные привилегии скачанным зловредам.
  2. Lokibot — банковский троян для Android, который крадет пользовательские данные и требует за них выкуп. Зловред может заблокировать телефон, если удалить его права администратора.
  3. The Truth Spy — шпионское ПО для смартфонов на платформе iOS и Android, которое отслеживает все операции устройства, включая мониторинг сообщений в WhatsApp, Facebook и истории поиска в браузере.

Исследователи Check Point также проанализировали наиболее эксплуатируемые уязвимости. На первом месте — уязвимость CVE-2017-7269 с глобальным охватом 46%, затем CVE-2017-10271 (40%), на третьем месте — уязвимость типа «внедрение SQL-кода», затрагивающая 16% организаций во всем мире.

Топ-3 самых эксплуатируемых уязвимостей в июне 2018:

  1. Переполнение приемного буфера Microsoft IIS WebDAV ScStoragePathFromUrl (CVE-2017-7269) — Злоумышленник отправляет обработанный запрос по сети в Microsoft Windows Server 2003 R2 через Microsoft Internet Information Services 6.0, а затем удаленно может исполнить произвольный код или вызвать отказ в обслуживании на целевом сервере. В основном это связано с уязвимостью переполнения буфера, вызванной неправильной обработкой длинного заголовка в HTTP-запросе. Патч доступен с марта 2017 года.
  2. Удаленное выполнение кода Oracle WebLogic WLS (CVE-2017-10271) — Уязвимость связана с тем, как Oracle WebLogic обрабатывает декодирование xml-файлов. Успешная атака может привести к удаленному выполнению кода. Патч доступен с октября 2017 года.
  3. Внедрение SQL-кода — взлом сайта или приложения путем внедрения в SQL-запрос произвольного кода, используя уязвимость безопасности в программном обеспечении приложения.
Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

Microsoft в ноябре проигнорировала 0-day, слитую в Twitter в октябре

Вчера Microsoft выпустила очередной набор обновлений безопасности для своей операционной системы. На этот раз корпорация устранила 62 проблемы безопасности. Среди этих уязвимостей также присутствовала 0-day, которая активно эксплуатировалась злоумышленниками до выхода ноябрьских патчей. Удивительно, но в Редмонде проигнорировали другую zero-day, сведения о которой были опубликованы в Twitter.

Исправленная уязвимость нулевого дня отслеживается под идентификатором CVE-2018-8589, она затрагивает Win32k, компонент системы Windows. Сама Microsoft классифицировала эту брешь как «проблему повышения привилегий в системе».

В корпорации объяснили, что атакующий мог использовать эту дыру для эскалации привилегий только в том случае, если он первым делом заразил систему и запустил вредоносный код.

Microsoft также отметила, что за обнаружение этой проблемы стоит сказать спасибо исследователям антивирусной компании «Лаборатория Касперского». Эксперты, в свою очередь, утверждают, что наблюдали использование этого бага серьезными киберпреступными группами.

0-day можно было использовать на 32-битных системах Windows 7. Корпорация обещала выпустить сегодня подробный анализ этой уязвимости, а также способов ее использования. Это уже вторая по счету брешь нулевого дня, которую Microsoft патчит за последние месяцы — обе были обнаружены экспертами «Лаборатории Касперского».

Эксперты, однако, отметили, что Microsoft в этом месяце не устранила другую серьезную проблему — 0-day эксплойт для последних версий Windows, слитый в Twitter в октябре.

Уязвимость нулевого дня затрагивает Microsoft Data Sharing (dssvc.dll), локальный сервис, обеспечивающий обмен данными между приложениями. По словам нескольких специалистов, которые проанализировали PoC-код, атакующий может использовать брешь для повышения привилегий в системах, к которым у него уже есть доступ.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

RSS: Новости на портале Anti-Malware.ru