Zagrożenia związane z komputerami stacjonarnymi – Złodzieje informacji

0

Złodzieje informacji są nastawieni na kradzież wszelkiego rodzaju wartościowych danych z urządzenia ofiary. Zazwyczaj koncentrują się na przechowywanych poświadczeniach, kryptowalutach, sesjach/przeglądarkach, hasłach przeglądarki i prywatnych dokumentach.


Powszechne przekonanie, że „Nie mam nic do ukrycia, nie muszę chronić moich danych” jest fundamentalnie błędne. Nawet osoby, które uważają, że ich dane nie mają wartości, mogą odkryć, że na dużą skalę wszystko może stać się cenne. Tego rodzaju dane mogą być zmonetyzowane poprzez sprzedaż na forach podziemnych, wykorzystane do dalszych ataków, w tym bardziej ukierunkowanych oszustw i phishingu (tzw. spear-phishing), wykorzystywane do szantażu i więcej. Uważajcie na siebie.

W Q3/2023 zaobserwowaliśmy ogólny 6% spadek aktywności złodziei informacji w porównaniu do poprzedniego kwartału, spowalniając malejący trend, który ostatnio obserwowaliśmy.

Największą zmianą w tym kwartale jest to, że według naszych danych Raccoon Stealer doświadczył ogromnego spadku aktywności w tym kwartale z 72% spadkiem udziału w rynku. Z drugiej strony, niektóre inne szczepy znacznie zwiększyły swoją obecność, a mianowicie AgentTesla, Fareit i SnakeKeylogger, równoważąc szalę.

Globalny wskaźnik ryzyka w bazie użytkowników Avast dotyczący złodziei informacji w Q3/2023

Rozkład geograficzny pozostał spójny między Q2 a Q3/2023. Kraje, w których mamy znaczącą bazę użytkowników o najwyższym wskaźniku ryzyka, to Pakistan (2,47%), Turcja (2,05%) i Egipt (1,90%). Na szczęście wskaźnik ryzyka w tych krajach zmniejszył się w porównaniu do poprzedniego kwartału o 5%, 7% i 14% odpowiednio.

Największy wzrost wskaźnika ryzyka w odniesieniu do złodziei informacji odnotowano na Ukrainie (44%), w Stanach Zjednoczonych (21%) i w Indiach (16%).

AgentTesla nadal utrzymuje i jeszcze bardziej podkreśla pierwsze miejsce wśród najpopularniejszych złodziei informacji, zwiększając swój udział w rynku o 9%. FormBook, zajmujący drugie miejsce, pozostał stabilny, zwiększając swój udział w rynku tylko o 0,55%. Fareit, SnakeKeylogger i Stealc również doświadczyli wzrostu udziału w rynku o 11%, 68% i 4% odpowiednio.

Na szczęście Raccoon Stealer ze swoim 72% spadkiem udziału w rynku nie był sam. RedLine i Arkei również były o 10% mniej aktywne w Q3/2023 pod względem udziału w rynku, wraz z ViperSoftX, który spadł o kolejne 7%.

Najpopularniejsi złodzieje informacji wraz z ich udziałem rynkowym w Q3/2023:

  • AgentTesla (29,14%)
  • FormBook (11,39%)
  • RedLine (5,46%)
  • Fareit (5,45%)
  • Lokibot (4,51%)
  • Arkei (3,96%)
  • ViperSoftX (2,08%)
  • Raccoon Stealer (1,95%)

Warto również wspomnieć o nowych złodziejach informacji lub ich wariantach, które wykazały znaczący wzrost aktywności w ciągu ostatnich kilku miesięcy. Ci złowrodzy aktorzy ciągle ewoluują swoje taktyki, aby omijać środki bezpieczeństwa i wykradać wrażliwe dane. Często obejmują one nowe techniki, które wykorzystują luki w oprogramowaniu i ludzkim zachowaniu, co czyni niezbędnym dla organizacji i osób prywatnych zachowanie czujności i przyjęcie solidnych strategii cyberbezpieczeństwa w celu ochrony swoich cennych informacji.

Nowa wersja Rilide Stealer, ukierunkowana na dane bankowe, została zaobserwowana jako obejście Google Chrome Manifest V3. Jedną z nowych funkcji Manifestu V3 jest wyłączenie zdalnego wykonania kodu w rozszerzeniach przeglądarki. Jako obejście, Rilide Stealer używa zdarzeń wbudowanych wraz z regułami Declarative Net Requests do zdalnego wykonania kodu i usunięcia nagłówków Content Security Policy. Ponieważ Rilide jest dystrybuowany za pomocą lokalnych loaderów na zainfekowanych maszynach, to znaczy bez użycia Chrome Web Store, nie ma procesu przeglądu, który wykryłby tę praktykę.

Ponadto, odkryto nowe połączenia między Rhadamanthys i Hidden Bee coinminer, dostarczając nowych wglądów w ich działanie i szczegóły implementacji. Inny malware, DarkGate, jest loaderem z dodatkowymi możliwościami, takimi jak keylogging, kopanie kryptowalut, kradzież informacji z przeglądarek i ogólna funkcjonalność zdalnego dostępu. Mimo że malware ten można prześledzić już kilka lat wstecz, nadal podlega aktywnemu rozwojowi, wprowadzając nowe wektory infekcji ofiar, takie jak wykorzystanie Microsoft Teams.

Dodatkowo, Lumma, malware-as-a-service stealer, również zyskuje na popularności. Możliwości malware obejmują kradzież kryptowalut, atakowanie rozszerzeń przeglądarki do dwuskładnikowej autoryzacji (2FA), zbieranie danych bankowych, poświadczeń i więcej.

Clippers to ogólnie małe złośliwe programy, które są używane do zamiany zawartości schowka ofiary na treść określoną przez atakującego – w tym przypadku adresy portfeli kryptowalutowych. Takie clippers, które zyskały na popularności w poprzednich miesiącach, to między innymi Atlas Clipper, Keyzetsu Clipper i KWN Clipper, które zazwyczaj wykorzystują Telegram do komunikacji poleceń i kontroli oraz ofert zakupu.

Jan Rubín, Badacz Malware


Chcesz zacząć sprzedawać AVG?

Szukasz ekstra rabatów dla resellera? Skontaktuj się z nami, a skontaktujemy się z Tobą z unikalną ofertą dla resellera!

Przedsiębiorstwo Informatyczne CORE

Producent, importer i reseller oprogramowania, wydawca serwisów internetowych. Działa od 2001 roku. Oficjalny dystrybutor AVG. Programy rozprowadzane są przez siatkę ponad 1300 resellerów na terenie całej Polski, zapewniona jest pełna polska pomoc techniczna oraz wsparcie handlowe i marketingowe.

Zostaw wiadomość


The reCAPTCHA verification period has expired. Please reload the page.