Исследователи компании Check Point опубликовали традиционный отчет Global Threat Impact Index за март 2021 года. Оказалось, что в этом месяце банковский троян IcedID (он же Bokbot) впервые вошел в рейтинг наиболее активной малвари, и сразу занял в нем второе место. Первое место в марте досталось трояну Dridex, который в феврале он лишь на седьмой строке топа.
В прошло месяце IcedID, впервые появившийся в 2017 году, активно распространялся с помощью нескольких спам-кампаний, затронувших около 11% организаций во всем мире. Одна из наиболее крупных кампаний использовала тематику COVID-19, чтобы привлечь внимание жертв к приманкам хакеров. Большинство вредоносных вложений в этой кампании представляли собой документы Microsoft Word с вредоносным макросом.
После установки этот троян пытается похитить данные учетной записи, платежные данные и другую конфиденциальную информацию с устройств жертв. Также IcedID может распространяться с помощью других вредоносных программ и использоваться на начальной стадии атаки при операциях с программами-вымогателями.
«IcedID существует уже несколько лет. В последнее время он стал активно эксплуатироваться, показывая, что киберпреступники продолжают адаптировать свои методы для все более успешных атак. И они до сих пор используют тему COVID-19, –– комментирует Василий Дягилев, глава представительства Check Point Software Technologies в России и СНГ. – IcedID – очень опасный троян. Он использует несколько методов для успешной кражи данных. Мы рекомендуем организациям убедиться, что их системы безопасности надежны, чтобы предотвратить компрометацию сетей и минимизировать риски. Очень важно обучать сотрудников киберграмотности: тогда они смогут распознать опасные электронные письма, которые распространяют IcedID и другие вредоносные программы».
По информации Check Point, список самого активного вредоносного ПО в мире выглядет следующим образом:
- Dridex— банковский троян, поражающий ОС Windows. Dridex распространяется с помощью спам-рассылок и наборов эксплоитов, которые используют веб-инжекты для перехвата персональных данных, а также данных банковских карт пользователей. В марте атаковал 16% организаций по всему миру.
- IcedID–– банковский троян, распространяется через вредоносные спам-кампании. Для кражи финансовых данных встраивается в процессы браузеров, чтобы отображать фейковое содержимое вместо оригинальных страниц. Использует методы обфускации и шифрования собственного кода для того, чтобы затруднить обнаружение и анализ. Атаковал 11% компаний.
- Lokibot– инфостилер, распространяется в основном с помощью фишинговых писем. Используется для кражи различных данных: учетные данные электронной почты, пароли к кошелькам CryptoCoin и FTP-серверам. Атаковал 9% компаний.
Список самого активного вредоносного ПО в России отличается от общемирового:
- Fareit— троян, обнаруженный в 2012 году. Его разновидности похищают пароли пользователей, данные FTP аккаунтов, телефонные номера и другую информацию, которую хранят браузеры жертв. Способен устанавливать другие вредоносные программы на зараженные устройства и использовался для распространения трояна P2P Game over Zeus.
Исходный код Fareit (версия 1.9) был опубликован в сети, и теперь любой злоумышленник может изменить его и использовать во вредоносных кампаниях. - XMRig— опенсорсное ПО, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero.
- Trickbot — один из доминирующих банковских троянов в мире, который постоянно дополняется новыми возможностями, функциями и векторами распространения. Это гибкое и настраиваемое вредоносное ПО, которое может распространяться в рамках многоцелевых кампаний.
ИБ-аналитики связывают успех IcedID с ликвидацией ботнета Emotet, имевшей место в январе 2021 года. После его «смерти» преступники перешли на использование Dridex, Trickbot и Qakbot, но теперь IcedID тоже набирает популярность. К примеру, по мнению исследователей из компании Binary Defense, сразу «несколько хак-групп используют IcedID в качестве дроппера». Также на этой неделе об активности малвари предупредили и эксперты Microsoft.
The recent surge of IcedID campaigns indicate that this malware family is likely being used to fill in some of the void left by recent malware infrastructure disruptions. We are tracking multiple active IcedID campaigns of various sizes, delivery methods, and targets. pic.twitter.com/Qfsii7q0uu
— Microsoft Security Intelligence (@MsftSecIntel) April 13, 2021
