Эксперты компании Check Point представили ежемесячный отчет об угрозах Global Threat Index за август 2020 года. По данным исследователей, обновленный троян Qbot (он же QuakBot, Qakbot и Pinkslipbot) впервые вошел в десятку самых распространенных вредоносов в мире, где занял последнее десятое место.
Qbot был обнаружен специалистами в далеком в 2008 году, и за прошедшие годы он эволюционировал из обычного инфостилера в настоящий «швейцарский нож» для хакеров. В наши дни Qbot способен, например, доставлять в зараженную систему другие виды малвари, и даже может использоваться для удаленного подключения к целевой системе, чтобы осуществлять банковские транзакции, используя IP-адрес жертвы. Как правило, Qbot распространяется классическим способом: посредством фишинговых писем, которые содержат опасные вложения или заманивают пользователей на подконтрольные хакерам вредоносные сайты.
Эксперты Check Point напоминают, что обновленная версия Qbot может похищать электронные письма своих жертв, а затем использовать их для рассылки спама, тем самым создавая более правдоподобные письма-приманки.
В период с марта по август 2020 года исследователи Check Point обнаруживали несколько кампаний с обновленной версией Qbot, в том числе кампанию, где малварь распространялась с помощью Emotet. По данным экспертов, в июле 2020 года эта кампания затронула 5% организаций в мире.
«Злоумышленники всегда ищут способы усовершенствовать вредоносное ПО. Сейчас они явно вкладывают значительные средства в разработку Qbot — его можно будет использовать для массовых краж данных организаций и рядовых пользователей, — рассказывает Василий Дягилев, глава представительства Check Point Software Technologies в России и СНГ. — Мы уже видели активные кампании вредоносного спама, которые распространяли Qbot. Мы также отмечали, что иногда Qbot распространяется с помощью другого трояна, Emotet. Компаниям необходимо задуматься о введении защитных решений, которые предотвратят попадание такого контента к пользователям. Важно напоминать сотрудникам, что нужно быть очень аккуратными при открытии писем, даже если на первый взгляд кажется, что они пришли из надежного источника».
В целом в августе 2020 года топ наиболее активных вредоносов в России выглядел следующим образом:
- Emotet — продвинутый самораспространяющийся модульный троян. Когда-то был рядовым банкером, но в последнее время используется для распространения вредоносных программ и кампаний. Новая функциональность позволяет рассылать фишинговые письма, содержащие вредоносные вложения или ссылки.
- Agent Tesla— усовершенствованный троян удаленного доступа (RAT). AgentTesla заражает компьютеры с 2014 года, выполняя функции кейлоггера и похитителя паролей.
- Pykspa — червь, распространяющийся через отправку сообщений контактам в Skype. Он извлекает личную информацию о пользователях с устройств и обменивается данными с управляющими серверами с помощью алгоритмов генерации доменов (DGA).
Мировой топ чуть отличается. Так, в этом месяце Emotet остался самым распространенным вредоносным ПО в мире и затронул 14% организаций, а за ним следуют Agent Tesla и Formbook, каждый из которых атаковал по 3% компаний. FormBook представляет собой инфостилер, впервые обнаруженный в 2016 году. На подпольных хакерских форумах он позиционируется как MaaS из-за его развитых методов уклонения и относительно низкой цены. FormBook собирает учетные данные из различных браузеров, делает снимки экрана, отслеживает и регистрирует нажатия клавиш, а также может загружать и выполнять файлы в соответствии с приказами, полученными от командного сервера.