Badacze firmy Avast odkryli również i zgłosili dwie luki zero-day oraz zaobserwowali rozprzestrzenianie się złośliwego oprogramowania kradnącego informacje, trojanów zdalnego dostępu i botnetów
TEMPE, Arizona i PRAGA, 9 lutego 2023 r. — Avast, lider w dziedzinie cyfrowego bezpieczeństwa i prywatności oraz marka Gen™ (NASDAQ: GEN), odnotował wzrost zagrożeń wykorzystujących socjotechnikę do kradzieży pieniędzy, takich jak oszustwa związane ze zwrotem pieniędzy i fakturami oraz oszustwa związane z pomocą techniczną, w czwartym kwartale roku 2022. Cyberprzestępcy pozostawali również aktywni w szpiegowaniu i kradzieży informacji, a kampanie adware o tematyce loterii były wykorzystywane jako taktyka uzyskiwania danych kontaktowych ludzi. Analitycy zagrożeń firmy Avast wykryli również exploity dnia zerowego w przeglądarkach Google Chrome i Windows. Luki te zostały już załatane. Te spostrzeżenia są omówione w raporcie o zagrożeniach Avast Q4/2022. Miesięczne zagrożenia wzrosły o 70,1% w IV kwartale w porównaniu z III kwartałem w Stanach Zjednoczonych.
„Pod koniec 2022 roku zaobserwowaliśmy wzrost zagrożeń skoncentrowanych na człowieku, takich jak oszustwa mające na celu nakłonienie ludzi do myślenia, że ich komputer jest zainfekowany, lub że zostali obciążeni za towary, których nie zamówili. Ludzką naturą jest reagowanie na pośpiech, strach i próby odzyskania kontroli nad problemami, a cyberprzestępcom udaje się to osiągnąć” — powiedział Jakub Kroustek, dyrektor ds. badań nad złośliwym oprogramowaniem w firmie Avast. „Kiedy ludzie napotykają niespodziewane wyskakujące komunikaty lub e-maile, zalecamy, aby zachowali spokój i zastanowili się chwilę, zanim podejmą działania. Zagrożenia są dziś tak wszechobecne, że konsumentom trudno za nimi nadążyć. Naszą misją jest pomaganie w ochronie ludzi poprzez wykrywanie zagrożeń i ostrzeganie użytkowników, zanim zdążą wyrządzić jakąkolwiek krzywdę, przy użyciu najnowszej technologii opartej na sztucznej inteligencji”.
Wzrost liczby oszustw związanych ze zwrotami i fakturami oraz oszustw związanych z pomocą techniczną
Laboratoria zagrożeń Avast również odnotowały wzrost oszustw związanych z pomocą techniczną. Najbardziej dotknięte kraje to Stany Zjednoczone, Brazylia, Japonia, Kanada i Francja. Oszustwa te często zaczynają się od wyskakującego okienka, które ostrzega ludzi o rzekomej infekcji złośliwym oprogramowaniem i zachęca ich do zadzwonienia na infolinię w celu rozwiązania problemu. Oszuści będą przekonywać dzwoniącego do skonfigurowania zdalnego połączenia z ich komputerem, otwierając drzwi do kradzieży danych osobowych i pieniędzy, ponieważ przestępcy próbują uzyskać dostęp do kont bankowych lub portfeli kryptowalutowych i żądają zapłaty za swoje usługi.
„Zalecamy, aby ludzie ignorowali takie wyskakujące komunikaty i zamykali okno klawiszem Escape, a jeśli nie jest to możliwe, uruchamiali ponownie komputer” — radzi Kroustek. „Ponadto nigdy nie udzielaj zdalnego dostępu do swojego komputera komuś, kogo nie znasz”.
Laboratoria zagrożeń Avast odnotowały również wzrost liczby oszustw związanych ze zwrotami i fakturami o 14% od października do listopada 2022 r. oraz kolejny wzrost o 22% w grudniu. Oszustwa związane ze zwrotem pieniędzy działają w sposób porównywalny z oszustwami związanymi z pomocą techniczną i często mają formę wiadomości e-mail, która wygląda, jakby została wysłana z zaufanej firmy. Ludzie otrzymają wiadomość e-mail zawierającą fałszywy rachunek, dzięki któremu będą przekonani, że pobrano opłatę za zakup, którego nie dokonali. Następnie ludzie są nakłaniani do zadzwonienia pod numer telefonu, na którym agent prosi ich o utworzenie zdalnego połączenia z ich komputerem i otwarcie konta bankowego, aby dana osoba mogła zobaczyć, jak dokonywany jest zwrot pieniędzy. Celem atakującego jest kradzież pieniędzy danej osoby. W przypadku fałszowania faktur ludzie, a częściej firmy, otrzymują rachunki za towary lub usługi, których firma nigdy nie zamówiła ani nie otrzymała.
„Aby uniknąć oszustw związanych z fakturami, ludzie muszą zwracać szczególną uwagę na otrzymywane faktury. Fałszywe faktury często wyglądają na legalne, a ludzie muszą zweryfikować, czy naprawdę złożono zamówienie, otrzymano usługę i czy nadawca naprawdę jest tym, za kogo się podaje” – powiedział Kroustek.
Oprogramowanie reklamowe kradnące informacje, trojany zdalnego dostępu i boty
W omawianym kwartale powszechne było również oprogramowanie adware oparte na sieci Web, które nie tylko irytowało ludzi natrętnymi reklamami, ale także próbowało ukraść ich dane osobowe. Na przykład ludzie są proszeni o wzięcie udziału w loterii, zakręcenie kołem ruletki, aby wygrać, a następnie o podanie swoich danych kontaktowych i uiszczenie „opłaty manipulacyjnej” za pomocą karty kredytowej lub konta Google Pay lub Apple Pay. Badacze firmy Avast zauważyli również zalew oprogramowania reklamowego DealPly, które pojawia się jako rozszerzenie przeglądarki Google Chrome i wysyła atakującym informacje statystyczne i wyszukiwania. Ryzyko zarażenia się DealPly wzrosło na całym świecie, przede wszystkim w obu Amerykach, Europie oraz Azji Południowej i Południowo-Wschodniej.
Badacze firmy Avast odnotowali znaczny wzrost – o 400% – kradzieży informacji Arkei w Stanach Zjednoczonych, która jest znana z kradzieży danych z formularzy autouzupełniania, haseł i innych źródeł w przeglądarkach. Odnotowano również 57-procentowy wzrost liczby osób i firm zaatakowanych przed AgentTesla, szczepem złośliwego oprogramowania, które często rozprzestrzenia się za pośrednictwem phishingowych wiadomości e-mail do firm i ma na celu kradzież danych uwierzytelniających, a także 37-procentowy wzrost kradzieży RedLine, który często rozprzestrzenia się w złamanych grach i usług, kradnąc informacje z przeglądarek i kryptowalut.
Telemetria Avast pokazuje również, że rozprzestrzenianie się LimeRAT w Stanach Zjednoczonych wzrosło o 30% w IV kw. LimeRAT to trojan zdalnego dostępu zdolny do kradzieży haseł, kryptowalut, kierowania atakami typu Distributed Denial of Service (DDoS) i instalowania ransomware na komputerze ofiary. Działał głównie w Azji Południowej i Południowo-Wschodniej oraz Ameryce Łacińskiej. Botnet Emotet, który jest również dystrybutorem szkodliwego oprogramowania i posiada szeroką gamę możliwości kradzieży informacji i rozprzestrzeniania złośliwego oprogramowania, w ciągu ostatnich kilku miesięcy rozwinął swoją technikę unikania wykrycia przez oprogramowanie antywirusowe poprzez wykorzystanie liczników czasu w celu stopniowego kontynuowania wykonywania ładunku. Kradnący informacje botnet Qakbot również ewoluował dalej i zaczął wykorzystywać „przemyt HTML” w celu ukrycia zaszyfrowanego złośliwego skryptu w załączniku do wiadomości e-mail. Na przykład cyberprzestępcy zaczęli nadużywać obrazów SVG w celu ukrycia złośliwych ładunków i kodu używanego do ich ponownego złożenia.
Exploity dnia zerowego w środowisku naturalnym
W tym kwartale badacze firmy Avast wykryli również dwa wyrafinowane exploity typu zero-day. Avast chronił swoich użytkowników, ponieważ oba były wykorzystywane w środowisku naturalnym. Pierwszy, CVE-2022-3723, był pomyłką typów w V8 i służył do wykonywania „zdalnego wykonania kodu” (RCE) w Google Chrome. Avast zgłosił tę lukę firmie Google, która szybko wdrożyła poprawkę w ciągu zaledwie dwóch dni, 27 października 2022 r. Druga luka CVE-2023-21674 dnia zerowego była luką LPE w ALPC, która umożliwiła atakującym uzyskanie z piaskownicy przeglądarki wszystkich drogę do jądra systemu Windows. Firma Microsoft załatała ten exploit w aktualizacji Patch Tuesday ze stycznia 2023 r.
Ponadto Avast Q4/2022 Threat Report sporządzony przez Laboratorium Zagrożeń Avast zawiera informacje o oprogramowaniu szpiegującym oraz najnowsze trojany bankowości mobilnej i trojany SMS. Avast pomaga chronić swoich użytkowników przed wszystkimi zagrożeniami ujętymi w raporcie.
Raport o zagrożeniach Avast Q4/2022 można znaleźć na blogu Decoded: https://decoded.avast.io/threatresearch/avast-q4-2022-threat-report
