Эксперты компании Check Point обнаружили резкое увеличение количества атак с использованием ботнета Phorpiex (он же Trik), в настоящее время распространяющего малварь Avaddon с помощью спамерских писем. В результате, в июне Phorpiex поднялся с 15 на 2 место в рейтинге самых активных вредоносных программ месяца, удвоив свое влияние на организации (по сравнению с маем текущего года). Таким образом, ботнет атаковал около 2% организаций в мире.
Еще недавно Phorpiex считался одним из наиболее активных спамерских ботнетов. Он заражает машины под управлением Windows и использует их в качестве спам-ботов для рассылки сообщений. Такие спам-кампании обеспечивают постоянную поддержку и рост ботнета, заражая все новые устройства, а также они приносят операторам малвари прибыль: другие хак-группы пользуются услугами ботнета для распространения своих вредоносов (включая GandCrab, Pony, Pushdo и майнеры криптовалюты).
В числе прочего операторы Phorpiex занимаются и так называемым с «сексуальным вымогательством». В английском языке для обозначения такой активности используют термин sextortion, образованный от слов sex («секс») и extortion («вымогательство»). Данная тактика подразумевает запугивание пользователей: мошенники рассылают спам, в котором пытаются убедить своих жертв, что у них есть некие компрометирующие изображения или видео, и требуют выкуп.
Так, в прошлом году, за пять месяцев наблюдений, аналитики Check Point отследили более 14 биткоинов (примерно 115 000 долларов), которые жертвы вымогательства перевели в качестве выкупов операторам Phorpiex.
По подсчетам аналитиков Check Point, еще осенью 2019 года в ботнет Phorpiex входили примерно 450 000 зараженных компьютеров, а в настоящее время их насчитывается более миллиона. Один бот может генерировать до 30 000 писем в час, и отдельные спам-кампании могут затрагивать до 27 000 000 пользователей. Исследователи оценивают годовой доход операторов ботнета примерно в 500 000 долларов.
В настоящее время ботнет распространяет новую версию RaaS-вымогателя Avaddon. Так, в спамерских письмах пользователей призывают открыть вложенный файл Zip, после загрузки которого активируется упомянутая малварь, шифрует данные и требует у жертвы выкуп.
Также специалисты отмечают, что в июне RAT и инфостилер Agent Tesla поднялся со второго места на первое, тогда как криптомайнер XMRig продолжает занимать третье место уже второй месяц подряд. В итоге, в июне 2020 года ТОП-3 наиболее активной малвари в мире выглядит следующим образом:
- Agent Tesla— усовершенствованный троян удаленного доступа (RAT). AgentTesla заражает компьютеры с 2014 года, выполняя функции кейлоггера и похитителя паролей;
- Phorpiex— ботнет распространяющий вредоносные программы, а также занимающийся сексуальным вымогательством;
- XMRig— опенсорсное ПО, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero.
Список вредоносов, наиболее активных на территории России, как обычно, отличается от мирового, но в целом не меняется уже давно. Так, в него вошли:
- Emotet — продвинутый самораспространяющийся модульный троян. Когда-то был рядовым банкером, но в последнее время используется для распространения вредоносных программ и кампаний. Новая функциональность позволяет рассылать фишинговые письма, содержащие вредоносные вложения или ссылки.
- RigEK –– набор эксплоитов, содержит эксплоиты для Internet Explorer, Flash, Java и Silverlight. Заражение начинается с перенаправления жертвы на целевую страницу, содержащую Java-скрипт, который затем ищет уязвимые места и пытается эксплуатировать проблему.
- XMRig — опенсорсное ПО, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero;