Trojan bankowy Qbot był w styczniu 2023 r. najczęściej używanym złośliwym oprogramowaniem. Wykrada on dane uwierzytelniające i rejestruje naciśnięcia klawiszy, ostrzegają eksperci Check Point Research.
Wśród najpopularniejszych programów wykorzystywanych przez cyberprzestępców znalazły się – poza Qbot – również Lokibot i AgentTesla. Pierwszy z nich jest także najczęściej wykrywanym w Polsce.
Jak działa Qbot? Wykrada poświadczenia bankowe, rejestruje znaki wpisywane na klawiaturze. Jest rozprzestrzeniany za pomocą spamu. Unika detekcji, korzystając z technik takich jak anty-VM, anty-debuggowanie czy anty-sandbox.
Na drugim miejscu plasuje się Lokibot, używany do kradzieży informacji w systemach operacyjnych Windows i Android. Jak podaje firma Check Point Research, to oprogramowanie zbiera dane uwierzytelniające z aplikacji, przeglądarek internetowych, poczty e-mail czy narzędzi do administrowania IT, takich jak PuTTY. Do tego niektóre wersje wirusa zawierają funkcje oprogramowania ransomware.
Z kolei AgentTesla to zaawansowany trojan zdalnego dostępu (RAT). Działa jako keylogger i kradnie dane. Może je monitorować i zbierać z klawiatury. Potrafi także robić zrzuty ekranu i eksfiltrować dane uwierzytelniające do programów zainstalowanych na komputerze ofiary, w tym Google Chrome, Mozilla Firefox czy Microsoft Outlook.
Do pierwszej dziesiątki najczęściej wykrywanych złośliwych oprogramowań wrócił także Vidar. Cyberprzestępcy wykorzystywali fałszywe domeny AnyDesk, firmy sprzedającej usługę zdalnego pulpitu. Analitycy z Check Point Research podają, że Vidar przechwytywał adresy URL popularnych aplikacji i przekierowywał na jeden adres IP, podszywający się pod witrynę AnyDesk. Oprogramowanie wykradało dane logowania, hasła, dane bankowe portfela kryptowalut czy dane bankowe.
Na co powinniśmy uważać?
– Po raz kolejny obserwujemy, jak grupy malware wykorzystują zaufane marki do rozprzestrzeniania wirusów w celu kradzieży danych osobowych. Niezwykle istotnym jest, by użytkownicy zwracali uwagę na linki, które klikają, aby upewnić się, że są to oficjalne adresy URL. Należy zwracać uwagę na kłódkę bezpieczeństwa, która wskazuje aktualny certyfikat SSL oraz ewentualne literówki, które mogą sugerować, że witryna jest złośliwa – ostrzega Maya Horowitz, wiceprezes ds. badań w firmie Check Point Software.
Okazuje się, że najczęściej wykorzystywaną luką w zabezpieczeniach jest „Web Server Exposed Git Repository Information Disclosure”. Analitycy zwracają uwagę, że wpłynęło to prawie na połowę organizacji na całym świecie.
Pełna lista rankingowa została opublikowana przez firmę Check Point Software tutaj.