Исследователи компании Check Point опубликовали традиционный отчет Global Threat Impact Index за март 2021 года. Оказалось, что в этом месяце банковский троян IcedID (он же Bokbot) впервые вошел в рейтинг наиболее активной малвари, и сразу занял в нем второе место. Первое место в марте досталось трояну Dridex, который в феврале он лишь на седьмой строке топа.

В прошло месяце IcedID, впервые появившийся в 2017 году, активно распространялся с помощью нескольких спам-кампаний, затронувших около 11% организаций во всем мире. Одна из наиболее крупных кампаний использовала тематику COVID-19, чтобы привлечь внимание жертв к приманкам хакеров. Большинство вредоносных вложений в этой кампании представляли собой документы Microsoft Word с вредоносным макросом.

После установки этот троян пытается похитить данные учетной записи, платежные данные и другую конфиденциальную информацию с устройств жертв. Также IcedID может распространяться с помощью других вредоносных программ и использоваться на начальной стадии атаки при операциях с программами-вымогателями.

«IcedID существует уже несколько лет. В последнее время он стал активно эксплуатироваться, показывая, что киберпреступники продолжают адаптировать свои методы для все более успешных атак. И они до сих пор используют тему COVID-19, –– комментирует Василий Дягилев, глава представительства Check Point Software Technologies в России и СНГ. – IcedID – очень опасный троян. Он использует несколько методов для успешной кражи данных. Мы рекомендуем организациям убедиться, что их системы безопасности надежны, чтобы предотвратить компрометацию сетей и минимизировать риски. Очень важно обучать сотрудников киберграмотности: тогда они смогут распознать опасные электронные письма, которые распространяют IcedID и другие вредоносные программы».

По информации Check Point, список самого активного вредоносного ПО в мире выглядет следующим образом:

  • Dridex— банковский троян, поражающий ОС Windows. Dridex распространяется с помощью спам-рассылок и наборов эксплоитов, которые используют веб-инжекты для перехвата персональных данных, а также данных банковских карт пользователей. В марте атаковал 16% организаций по всему миру.
  • IcedID–– банковский троян, распространяется через вредоносные спам-кампании. Для кражи финансовых данных встраивается в процессы браузеров, чтобы отображать фейковое содержимое вместо оригинальных страниц. Использует методы обфускации и шифрования собственного кода для того, чтобы затруднить обнаружение и анализ. Атаковал 11% компаний.
  • Lokibot– инфостилер, распространяется в основном с помощью фишинговых писем. Используется для кражи различных данных: учетные данные электронной почты, пароли к кошелькам CryptoCoin и FTP-серверам. Атаковал 9% компаний.

Список самого активного вредоносного ПО в России отличается от общемирового:

  • Fareit— троян, обнаруженный в 2012 году. Его разновидности похищают пароли пользователей, данные FTP аккаунтов, телефонные номера и другую информацию, которую хранят браузеры жертв. Способен устанавливать другие вредоносные программы на зараженные устройства и использовался для распространения трояна P2P Game over Zeus.
    Исходный код Fareit (версия 1.9) был опубликован в сети, и теперь любой злоумышленник может изменить его и использовать во вредоносных кампаниях.
  • XMRig— опенсорсное ПО, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero.
  • Trickbot — один из доминирующих банковских троянов в мире, который постоянно дополняется новыми возможностями, функциями и векторами распространения. Это гибкое и настраиваемое вредоносное ПО, которое может распространяться в рамках многоцелевых кампаний.

ИБ-аналитики связывают успех IcedID с ликвидацией ботнета Emotet, имевшей место в январе 2021 года.  После его «смерти» преступники перешли на использование Dridex, Trickbot и Qakbot, но теперь IcedID тоже набирает популярность.  К примеру, по мнению исследователей из компании Binary Defense, сразу «несколько хак-групп используют IcedID в качестве дроппера». Также на этой неделе об активности малвари предупредили и эксперты Microsoft.

Оставить мнение