Krajobraz zagrożeń cybernetycznych w najbliższym czasie ulegnie znacznym zmianom. Wszystko za sprawą akcji FBI, które „wyłączyło” botnet Qbot, będący w sierpniu najpopularniejszym złośliwym oprogramowaniem w Polsce oraz na świecie. W naszym kraju rośnie za to obecność trojana zdalnego dostępu Nanocore, który potrafi dokonywać zrzutów ekranu, zdalnie sterować pulpitem, a nawet przejmować obrazy z kamery internetowej – ostrzegają eksperci Check Point Research.
W sierpniu br. FBI ogłosiło triumf globalnej operacji wymierzonej przeciwko Qbotowi (znanemu również jako Qakbot). W ramach akcji „Duck Hunt” FBI przejęło kontrolę nad botnetem, usunęło złośliwe oprogramowanie z zainfekowanych urządzeń i zidentyfikowało znaczną liczbę urządzeń, których dotyczy problem. Qbot przekształcił się w usługę dostarczania złośliwego oprogramowania wykorzystywaną do różnych działań cyberprzestępczych, w tym ataków ransomware. Zwykle rozprzestrzenia się poprzez kampanie phishingowe i współpracuje z innymi podmiotami zagrażającymi. Mimo akcji FBI, wpływ Qbota był w sierpniu potężny i pozostawał on najpopularniejszym szkodliwym oprogramowaniem – wykrytym w 5 proc. sieci organizacji na całym świecie. Firma Check Point zaobserwowała jednak znaczny spadek jego wpływu po operacji Federalnego Biura Śledczego.
– Zniszczenie QBota było znaczącym przełomem w walce z cyberprzestępczością. Nie możemy jednak popadać w samozadowolenie, ponieważ kiedy jedno złośliwe oprogramowanie upadnie, inne ostatecznie zajmuje jego miejsce. – powiedziała Maya Horowitz, wiceprezes ds. badań w Check Point Software. – Wszyscy powinniśmy zachować czujność, współpracować i nadal przestrzegać zasad higieny bezpieczeństwa niezależnie od wektorów ataków – dodała ekspertka.
Drugim najpopularniejszym złośliwym oprogramowaniem był w sierpniu Formbook, infostealer atakujący użytkowników systemu Windows, który po raz pierwszy wykryty został w 2016 r. Narzędzie, dystrybuowane w cyfrowym podziemiu jako Malware as a Service, wpłynęło na 4% sieci na całym świecie. Niespodziewanie, trzecie miejsce przypadło w programowi Fakeupdates (AKA SocGholish), downloaderowi wykrytemu w około 3% sieci.
Eksperci Check Point Research poinformowali również o czołowych zagrożeniach w Polsce. Pierwsze miejsce również należy do Qbota (wpływ na niecałe 4% polskich sieci), natomiast drugie do trojana zdalnego dostępu Nanocore (wpływ na ok 2,5% sieci). Wszystkie jego wersje zawierają podstawowe wtyczki i funkcjonalności, takie jak przechwytywanie ekranu, wydobywanie kryptowalut, zdalne sterowanie pulpitem czy przejęcie dostępu do kamery internetowej. Ostatnie miejsce „podium zagrożeń” należało do Fakeupdates (obecność w 1,3% polskich sieci).
Ciekawą obserwacją jest z kolei ChromeLoader, będący uporczywym hijackerem (porywaczem) przeglądarki Google Chrome, odkrytym po raz pierwszy w 2022 roku. Według analityków Check Pointa zajmuje obecnie 10. miejsce w rankingu najpopularniejszych rodzin złośliwego oprogramowania. Jego zadaniem jest potajemne instalowanie złośliwych rozszerzeń poprzez fałszywe reklamy w przeglądarkach internetowych. W przypadku wykrytej niedawno kampanii „Shampoo”, w której ChromeLoader gra główną rolę, na urządzeniach ofiar uruchamiane są pliki VBScript, które instalują złośliwe rozszerzenia Chrome. Po zainstalowaniu rozszerzenia mogą zbierać dane osobowe i zakłócać przeglądanie treści za pomocą niechcianych reklam.
Check Point Research ujawniło również, że najczęściej wykorzystywaną luką było „Zdalne wykonanie kodu nagłówków HTTP”, wpływającą na 40% organizacji na całym świecie.