В апреле через спам распространялась усовершенствованная версия Agent Tesla

Аналитики компании Check Point подготовили отчет Global Threat Index за апрель текущего года. Они отмечают, что несколько спам-кампаний, связанных с коронавирусом (COVID-19), распространяют новый, модифицированный вариант трояна Agent Tesla. Суммарно он атаковал примерно 3% организаций во всем мире.

Agent Tesla — усовершенствованный RAT, то есть троян удаленного доступа, известный ИБ-экспертам с 2014 года. Вредоносная программа написана на .Net и способна отслеживать и собирать вводимые данные с клавиатуры жертвы, из буфера обмена, снимать скриншоты и извлекать учетные данные, относящиеся к различным программам, установленным на компьютер жертвы (включая Google Chrome, Mozilla Firefox и Microsoft Outlook). Малварь может отключать антивирусные решения и процессы, которые пытаются ее анализировать и мешают работать.

Исследователи рассказываю, что новый вариант Agent Tesla был модифицирован для кражи паролей от Wi-Fi. Также троян умеет извлекать учетные данные электронной почты из клиента Outlook.

В апреле 2020 года Agent Tesla часто встречался в нескольких вредоносных кампаниях,  связанных с COVID-19. Подобные спам-рассылки пытаются заинтересовать жертву якобы важной информацией о пандемии, чтобы та загрузила вредоносные файлы.

Одна из этих кампаний была разослана якобы от Всемирной организации здравоохранения с темами: URGENT INFORMATION LETTER: FIRST HUMAN COVID19 VACCINETEST/RESULT UPDATE –– «СРОЧНОЕ ОПОВЕЩЕНИЕ: ПЕРВОЕ ТЕСТИРОВАНИЕ ВАКЦИНЫ ОТ COVID-19 НА ЧЕЛОВЕКЕ / РЕЗУЛЬТАТЫ ИССЛЕДОВАНИЙ». Это еще раз подчеркивает, что хакеры используют последние события в мире и страх населения, чтобы повысить эффективность своих атак.

«Спам-кампании с Agent Tesla, которые мы наблюдали весь апрель, показывают, насколько хорошо злоумышленники подстраиваются под информационную повестку, и как спокойно обманывают ничего не подозревающих жертв, –– рассказывает Василий Дягилев, глава представительства Check Point Software Technologies в России и СНГ. — В России в первую тройку вошли Emotet, RigEK, XMRig –– преступники сосредоточены на организации фишинговых атак для кражи личных и корпоративных данных пользователей. Поэтому для любой организации очень важно регулярно обучать своих сотрудников, регулярно информируя их о новейших инструментах и методах преступников. Сейчас это особенно актуально, так как большая часть компаний перевели своих сотрудников на удаленный режим».

В этом месяце банкер Dridex затронул 4% организаций во всем мире, а XMRig и Agent Tesla –– 4% и 3% соответственно. В итоге ТОП-3 наиболее активной малвари в апреле 2020 года выглядит следующим образом:

  • Dridex— банковский троян, поражающий ОС Windows. Распространяется с помощью спам-рассылок и наборов эксплоитов, которые используют вебинженты для перехвата персональных данных, а также информации о банковских картах пользователей.
  • XMRig—  опенсорсное ПО, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero;
  • Agent Tesla— усовершенствованный троян удаленного доступа (RAT). AgentTesla заражает компьютеры с 2014 года, выполняя функции кейлоггера и похитителя паролей.

Список наиболее активной малвари в России, как обычно, отличается от мирового, в него вошли:

  • Emotet — продвинутый самораспространяющийся модульный троян. Когда-то был рядовым банкером, но в последнее время используется для распространения вредоносных программ и кампаний. Новая функциональность позволяет рассылать фишинговые письма, содержащие вредоносные вложения или ссылки.
  • RigEK –– набор эксплоитов, содержит эксплоиты для Internet Explorer, Flash, Java и Silverlight. Заражение начинается с перенаправления жертвы на целевую страницу, содержащую Java-скрипт, который затем ищет уязвимые места и пытается эксплуатировать проблему.
  • XMRig — опенсорсное ПО, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero;

Как и в прошлом месяце, список наиболее активных мобильных угроз практически не претерпел изменений: вредонос xHelper сохранил первое место в списке самых наиболее распространенных мобильных угроз, и за ним следуют AndroidBauts и Lotoor.

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.
Похожие материалы