Trojan Nanocore coraz popularniejszy w Polsce. Potrafi przejąć kamerę
W najbliższej przyszłości, krajobraz zagrożeń cybernetycznych będzie podlegał istotnym zmianom. To wynik działań FBI, które podjęło decyzyjne kroki w celu "wyłączenia" botnetu Qbot. W Polsce natomiast obserwuje się wzrost obecności trojana zdalnego dostępu Nanocore, który potrafi wykonywać zrzuty ekranu, zdalnie sterować pulpitem, a nawet przejmować obraz z kamery internetowej.
O zmieniającym się krajobrazie zagrożeń informują specjaliści z Check Point Research. W sierpniu tego roku, FBI ogłosiło sukces globalnej operacji skierowanej przeciwko Qbotowi (znany również jako Qakbot). W ramach tej operacji, oznaczonej kodem "Duck Hunt", FBI przejęło kontrolę nad botnetem i usunęło złośliwe oprogramowanie z zainfekowanych urządzeń.
Qbot ewoluował, stając się usługą dostarczającą złośliwego oprogramowania wykorzystywanego do różnych działań cyberprzestępczych, w tym ataków ransomware. Zazwyczaj rozprzestrzeniał się poprzez kampanie phishingowe i współpracował z innymi zagrożeniami. Mimo działań FBI, wpływ Qbota był w sierpniu ogromny i pozostawał on najpopularniejszym szkodliwym oprogramowaniem, wykrywanym w 5 proc. sieci organizacji na całym świecie. Firma Check Point zauważyła jednak znaczący spadek jego wpływu po operacji przeprowadzonej przez FBI.
"Zniszczenie QBota było istotnym przełomem w walce z cyberprzestępczością. Nie możemy jednak popadać w samozadowolenie, ponieważ kiedy jedno złośliwe oprogramowanie upadnie, inne ostatecznie zajmuje jego miejsce." - powiedziała Maya Horowitz, wiceprezes ds. badań w Check Point Software. "Wszyscy powinniśmy zachować czujność, współpracować i nadal przestrzegać zasad higieny bezpieczeństwa niezależnie od wektorów ataków" – dodała.
Dalsza część artykułu pod materiałem wideo
W sierpniu, drugim najpopularniejszym złośliwym oprogramowaniem był Formbook, infostealer atakujący użytkowników systemu Windows, który po raz pierwszy został wykryty w 2016 roku. Narzędzie to, dystrybuowane w cyfrowym podziemiu jako Malware as a Service, wpłynęło na 4 proc. sieci na całym świecie. Niespodziewanie, trzecie miejsce przypadło programowi Fakeupdates (znany również jako SocGholish), downloaderowi wykrytemu w około 3 proc. sieci.
Specjaliści z Check Point Research poinformowali również o najważniejszych zagrożeniach w Polsce. Pierwsze miejsce należy do Qbota (wpływ na niecałe 4 proc. polskich sieci), natomiast drugie do trojana zdalnego dostępu Nanocore (wpływ na ok. 2,5 proc. sieci). Wszystkie wersje Nanocore zawierają podstawowe wtyczki i funkcjonalności, takie jak przechwytywanie ekranu, wydobywanie kryptowalut, zdalne sterowanie pulpitem czy przejęcie dostępu do kamery internetowej. Ostatnie miejsce "podium zagrożeń" należało do Fakeupdates (obecność w 1,3 proc. polskich sieci).
Inną ciekawą obserwacją jest ChromeLoader, który jest uporczywym hijackerem przeglądarki Google Chrome, odkrytym po raz pierwszy w 2022 roku. Według analityków Check Pointa, ChromeLoader zajmuje obecnie 10. miejsce w rankingu najpopularniejszych rodzin złośliwego oprogramowania. Jego zadaniem jest potajemne instalowanie złośliwych rozszerzeń poprzez fałszywe reklamy. W przypadku niedawno wykrytej kampanii "Shampoo", w której ChromeLoader odgrywa główną rolę, na urządzeniach ofiar uruchamiane są pliki VBScript, które instalują złośliwe rozszerzenia Chrome. Po zainstalowaniu rozszerzenia, mogą one zbierać dane osobowe i zakłócać przeglądanie treści za pomocą niechcianych reklam.
Check Point Research ujawniło również, że najczęściej wykorzystywaną luką było "Zdalne wykonanie kodu nagłówków HTTP", wpływającą na 40 proc organizacji na całym świecie.