Log4j открывает возможности для новых атак

Компания Avast опубликовала Avast Threat Report, отчет об угрозах за четвертый квартал 2021 года. В нем исследователи рассказывают об эксплуатации уязвимости Log4j, об активности троянов удаленного доступа, вымогателей и о сложных постоянных таргетированных угрозах (APT), пишет IKSMEDIA.

Отчет  также демонстрирует:

• Рост рекламного ПО;
• Увеличение мошенничеств якобы от технической поддержки;
• Распространение схем с платными подписками и шпионским ПО на устройствах Android;
• Возрождение ботнета Emotet и увеличение числа криптомайнеров на 40%, что влечет риски как для обычных людей, так и для бизнеса.

В то же время эксперты отмечают меньшую активность программ-вымогателей и троянов удаленного доступа (RAT).

«К концу года опасная и легкая для эксплуатации уязвимость Log4j заставила отделы информационной безопасности по всему миру очень сильно понервничать, — рассказывает Якуб Крустек, директор по исследованиям вредоносных программ в Avast. — Злоумышленники распространяли через нее самое разное ПО: от криптомайнеров до ботов и вымогателей. В то же время мы рады сообщить об уменьшении числа атак некоторых видов вредоносных программ. Так, активность RAT снизилась из-за праздников (но мы видели, как злоумышленники скопировали троян удаленного доступа DcRat и переименовали его в SantaRat). Мы также заметили небольшое снижение активности инфостилеров — вероятно, это произошло из-за уменьшения на 61% активности Fareit. Плюс, разрушительные атаки программ-вымогателей в первые три квартала 2021 года вынудили правительства по всему миру и ИБ-вендоров сотрудничать для поиска их создателей и операторов. Мы считаем, что это привело к снижению этих атак в четвертом квартале: коэффициент риска снизился на 28% по сравнению с предыдущим. Мы надеемся увидеть продолжение этой тенденции в 2022 году, но также мы готовы и к обратному».

Киберпреступники атакуют компании через уязвимость Log4j

Уязвимость в библиотеке приложений Java Log4j была крайне опасной для бизнеса, так как эта библиотека очень распространена, а саму уязвимость очень легко эксплуатировать. Ею злоупотребляли криптомайнеры, RAT, вымогатели (Khonsari, например) и APT-группы. Уязвимостью воспользовались и различные ботнеты, в том числе печально известный Mirai. Большинство их атак были просто пробами для проверки, но исследователи заметили многочисленные попытки загрузить потенциально вредоносный код. Среди троянов, которые распространялись с помощью этой уязвимости, были NanoCore, AsyncRat и Orcus. 

Атаки через трояны удаленного доступа, эксплуатирующие Azure и AWS

Для распространения RAT злоумышленники использовали не только Log4j, но и уязвимость CVE-2021-40449. Ее применяли для повышения прав доступа вредоносных процессов путем эксплуатации драйвера ядра Windows, а также для загрузки и запуска РАТ MistarySnail.

Кроме того, основной причиной обнаружений NanoCore и AsyncRat стала вредоносная кампания, эксплуатирующая облачных провайдеров Microsoft Azure и Amazon Web Service (AWS). Злоумышленники использовали Azure и AWS в качестве серверов для загрузки вредоносной полезной нагрузки для дальнейших атак.

Более того, исследователи Avast увидели, что злоумышленники, стоящие за Emotet, переписали несколько его частей, возродили механизм и вернули контроль над рынком ботнетов.

Мошенничества с рекламным ПО

В последнем квартале 2021 года возросла активность рекламного ПО и руткитов (самые опасные и сложно удаляемые вредоносные программы) для ПК. Исследователи Avast считают, что эти тенденции связаны с руткитом Cerbu, который может перехватывать домашние страницы браузеров и перенаправлять URL-адреса сайтов в соответствии с своей конфигурацией. Cerbu можно легко настроить как рекламное ПО, которое к тому же способно добавлять бэкдоры на устройства.

Активность криптомайнеров

Когда в конце 2021 года стоимость биткоина выросла, число криптомайнеров увеличилось на 40%. Часто они распространялись через зараженные страницы и пиратское ПО.  CoinHelper был одним из самых активных криптомайнеров в последнем квартале – в основном он был нацелен на пользователей из России и Украины. Он незаметно использует вычислительные мощности пользователя для добычи криптовалюты. Это чревато высокими счетами за электроэнергию и может повлиять на срок службы устройства. Кроме того, CoinHelper собирает различную информацию о своих жертвах, включая их геолокацию, антивирус и используемое оборудование.

Команда Avast обнаружила, что по состоянию на 29 ноября 2021 года доход от CoinHelper составил 339 694,86 долларов США. В декабре он добыл ~15.162 XMR – это примерно 3 446,03 долларов США или 267 000 рублей. Криптомайнер до сих пор активно распространяется, ежедневно добывая примерно 0,474 XMR (около 5700 рублей).

Злоумышленники добывают самые разные криптовалюты – Ethereum, Bitcoin и прочие, но самое большое внимание команды Avast привлекла Monero. Последняя создана для анонимного использования, но неправильное использование адресов и механика работы майнинговых пулов позволили исследователям получить более глубокое представление о майнинге Monero авторами вредоносного ПО.

Мошенничества якобы от лица технической поддержки

ИБ-эксперты отметили всплеск фишинга якобы от лица техподдержки. Злоумышленники внушают пользователю, что у его ПК есть серьезная проблема. Далее они принуждают позвонить на горячую линию, где с жертвы или спишут большую сумму за поддержку, или вынудят предоставить удаленный доступ к системе.

Мошенничества с подпиской на премиум-SMS  

Команда Avast Threat Labs выделила в отчете две мобильные угрозы: Ultima SMS и Facestealer.

Ultima SMS, мошенничество с подпиской на платные SMS, снова напомнило о себе в последние несколько месяцев. В октябре в Play Store появились приложения Ultima SMS, имитирующие легальные приложения и игры.

После загрузки приложение предлагало пользователям ввести свой номер телефона для доступа. Так жертвы подписывались на услугу платных СМС, стоимость которой может достигать десяти долларов США в неделю — это около 780 рублей. Злоумышленники активно использовали социальные сети для рекламы и в результате набрали более десяти миллионов загрузок.

Шпионские программы, ворующих учетные данные Facebook 

Facestealer, шпионское ПО для кражи учетных данных Facebook, неоднократно напоминало о себе в три последних месяца 2021 года. Оно маскируется под фоторедакторы, гороскопы, фитнес-приложения и другие. Спустя какое-то время после загрузки предложение предлагает пользователю залогиниться в Facebook, чтобы использовать его без рекламы.