Check Point: обновленная версия инфостилера Valak способна красть информацию из почтовых систем Microsoft Exchange

Впервые Valak обнаружили в конце 2019 года. Сейчас Valak представляет собой сложную угрозу -- ранее он классифицировался как загрузчик вредоносных программ. Но в последние месяцы появились новые варианты со значительными функциональными изменениями. Они позволяют Valak быть полноценным инфостилером, который способен атаковать как отдельных людей, так и организации. Новая версия Valak может красть информацию из почтовых систем Microsoft Exchange, например такую, как учетные данные пользователей и сертификаты домена. В сентябре Valak широко распространялся через спам-кампании, содержащие вредоносные файлы .doc. 

Троян Emotet третий месяц подряд остается на 1-м месте в рейтинге, затрагивая 14% организаций по всему миру. Троян Qbot, впервые попавший в топ-лист в августе, также широко эксплуатировался в сентябре, поднявшись с 10-го на 6-е место. 

«Новые кампании Valak -– еще один пример того, что злоумышленники стремятся максимизировать свои вложения в уже известные, проверенные формы вредоносного ПО, –– рассказывает Василий Дягилев, глава представительства Check Point Software Technologies в России и СНГ. –– Вместе с обновленными версиями Qbot, появившимися в августе, Valak нацелен на масштабные кражи данных как организаций, так и отдельных людей. Мы рекомендуем компаниям заранее продумать внедрение защиты от таких вредоносных программ. Необходимо предотвратить попадание такого контента к конечным пользователям, и попросить своих сотрудников быть предельно осторожными, открывая электронные письма, даже если кажется, что они пришли от надежного источника». 

Самое активное вредоносное ПО в сентябре 2020 в России: 

1. Emotet — продвинутый самораспространяющийся модульный троян. Emotet когда-то был рядовым банковским трояном, а в последнее время используется для дальнейшего распространения вредоносных программ и кампаний. Новый функционал позволяет рассылать фишинговые письма, содержащие вредоносные вложения или ссылки.
2. Trickbot — один из доминирующих банковских троянов, который постоянно дополняется новыми возможностями, функциями и векторами распространения. Trickbot – гибкое и настраиваемое вредоносное ПО, которое может распространяться в рамках многоцелевых кампаний.
3. RigEK –– Rig содержит эксплойты для Internet Explorer, Flash, Java и Silverlight. Заражение начинается с перенаправления на целевую страницу, содержащую Java-скрипт, который затем ищет уязвимые плагины и внедряет эксплойт. 

Самое активное вредоносное ПО в сентябре 2020 в мире 

В этом месяце Emotet остается самым популярным вредоносным ПО, затрагивая 14% организаций в мире. На втором и третьем мест Trickbot (4%) и Dridex (3%), соответственно. 

1. Emotet — продвинутый самораспространяющийся модульный троян. Emotet когда-то был рядовым банковским трояном, а в последнее время используется для дальнейшего распространения вредоносных программ и кампаний. Новый функционал позволяет рассылать фишинговые письма, содержащие вредоносные вложения или ссылки.
2. Trickbot — один из доминирующих банковских троянов, который постоянно дополняется новыми возможностями, функциями и векторами распространения. Это гибкое и настраиваемое вредоносное ПО, которое может распространяться в рамках многоцелевых кампаний.
3. Dridex — банковский троян, поражающий ОС Windows. Dridex распространяется с помощью спам-рассылок и наборов эксплойтов, которые используют WebInjects для перехвата персональных данных, а также данных банковских карт пользователей.

Самые распространенные уязвимости в сентябре 2020: 

В этом месяце «Удаленное выполнение кода MVPower DVR» стало наиболее распространенной уязвимостью, затронувшей 46% организаций во всем мире. Уязвимости «Обход аутентификации роутера Dasan GPON» и «OpenSSL TLS DTLS Heartbeat Information Disclosure», затронули 42% и 36% организаций по всему миру соответственно. 

1. Удаленное выполнение кода MVPower DVR. В устройствах MVPower DVR существует уязвимость удаленного выполнения кода. Злоумышленник может использовать эту уязвимость для выполнения произвольного кода в уязвимом маршрутизаторе с помощью специально созданного запроса.
2. Обход аутентификации роутера Dasan GPON (CVE-2018-10561) — уязвимость обхода аутентификации, существующая в роутерах Dasan GPON. Успешное использование этой уязвимости позволит удаленным злоумышленникам получить конфиденциальную информацию и получить несанкционированный доступ к уязвимой системе.
3. OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) — в OpenSSL существует уязвимость, позволяющая раскрыть содержимое памяти на сервере или на подключенном клиенте. Уязвимость связана с ошибкой при обработке пакетов Heartbeat TLS / DTLS. 

Самые активные мобильные угрозы в сентябре 2020 

В этом месяце xHelper стал самым популярным вредоносным ПО для мобильных устройств, за ним следуют Xafecopy и Hiddad.

1. xHelper — вредоносное приложение для Android, активно с марта 2019 года, используется для загрузки других вредоносных приложений и отображения рекламы. Приложение способно скрывать себя от пользовательских и мобильных антивирусных программ и переустанавливать себя, если пользователь удаляет его.
2. Xafekopy – троян Xafecopy маскируется под полезные приложения вроде Battery Master, но фактически тайно загружает на устройство вредоносный код. После активации приложения вредоносная программа Xafecopy переходит на веб-страницы с биллингом по протоколу беспроводного приложения (WAP) -- формой мобильного платежа, который взимается непосредственно со счета мобильного телефона пользователя.
3. Hiddad — Модульный бэкдор для Android, который предоставляет права суперпользователя для загруженного вредоносного ПО, а также помогает внедрить его в системные процессы. Он может получить доступ к ключевым деталям безопасности, встроенным в ОС, что позволяет ему получать конфиденциальные данные пользователя. 

Global Threat Impact Index и ThreatCloud Map разработаны ThreatCloud intelligence, самой большой совместной сетью по борьбе с киберпреступностью, которая предоставляет данные об угрозах и тенденциях атак из глобальной сети датчиков угроз. База данных ThreatCloud ежедневно проверяет более 2,5 миллиардов веб-сайтов; 500 миллионов файлов и выявляет более 250 миллионов вредоносных программ каждый день.