Xakep #305. Многошаговые SQL-инъекции
Эксперты компании Check Point подготовили ежемесячный отчет о наиболее активных угрозах, Global Threat Index, за сентябрь 2020 года. По данным исследователей, обновленная версия инфостилера Valak впервые вошла в топ самых распространенных вредоносных программ месяца, заняв в нем девятое место.
Впервые Valak был обнаружен в конце 2019 года, и на данный момент он представляет собой весьма сложную угрозу. Так, если ранее Valak классифицировали как обычный загрузчик малвари, то в последние месяцы появились новые вариации со значительными функциональными изменениями. Они позволили Valak стать полноценным инфостилером, который способен атаковать как отдельных пользователей, так и организации. Исследователи предупреждают, что новая версия Valak способна похищать информацию из почтовых систем Microsoft Exchange, например, учетные данные пользователей и сертификаты домена.
По данным компании, в сентябре 2020 года Valak активно распространялся через спам-кампании, содержащие вредоносные файлы .doc.
«Новые кампании Valak – еще один пример того, что злоумышленники стремятся максимизировать свои вложения в уже известные, проверенные формы вредоносного ПО, –– рассказывает Василий Дягилев, глава представительства Check Point Software Technologies в России и СНГ. –– Вместе с обновленными версиями Qbot, появившимися в августе, Valak нацелен на масштабные кражи данных как организаций, так и отдельных людей. Мы рекомендуем компаниям заранее продумать внедрение защиты от таких вредоносных программ. Необходимо предотвратить попадание такого контента к конечным пользователям, и попросить своих сотрудников быть предельно осторожными, открывая электронные письма, даже если кажется, что они пришли от надежного источника».
В целом в сентябре 2020 года топ наиболее активных вредоносов в России выглядел следующим образом:
- Emotet— продвинутый самораспространяющийся модульный троян. Когда-то был рядовым банкером, но в последнее время используется для распространения вредоносных программ и кампаний. Новая функциональность позволяет рассылать фишинговые письма, содержащие вредоносные вложения или ссылки.
- Trickbot— один из доминирующих банковских троянов, который постоянно дополняется новыми возможностями, функциями и векторами распространения. Trickbot – гибкое и настраиваемое вредоносное ПО, которое может распространяться в рамках многоцелевых кампаний.
- RigEK –– содержит эксплоиты для Internet Explorer, Flash, Java и Silverlight. Заражение начинается с перенаправления на целевую страницу, содержащую Java-скрипт, который ищет уязвимости и применяет эксплоиты.
Как обычно, мировой топ несколько отличается от российского. Так, Emotet третий месяц подряд занимает первое место, затрагивая 14% организаций по всему миру. За ним следуют банкеры Trickbot (4%) и Dridex (3%). Также отмечается, что троян Qbot, впервые вошедший в этот список в августе текущего года, вновь широко эксплуатировался в сентябре, поднявшись с десятого места на шестое.