- CrimsonRAT, rozprzestrzeniane za pomocą spamu, próbuje infekować ponad 6 proc. polskich przedsiębiorstw, stając się najczęściej spotykanym złośliwym oprogramowaniem w Polsce w ostatnich tygodniach. Może ono kontrolować zinfiltrowane komputery i wykonywać różne złośliwe zadania.
- Dwa pozostałe najczęściej wykrywane w Polsce zagrożenia to botnet Androxgh0st oraz downloader FakeUpdates, czyli programy znajdujące się w ostatnich miesiącach w czołówce najpopularniejszego malware’u.
- W skali globalnej wciąż dominuje FakeUpdates, wpływając na 7 proc. organizacji na całym świecie.
Nowe oprogramowanie – CrimsonRAT, rozprzestrzeniane za pomocą spamu, próbuje infekować ponad 6 proc. polskich przedsiębiorstw, stając się najczęściej spotykanym złośliwym oprogramowaniem w Polsce w ostatnich tygodniach – ostrzegają analitycy Check Point Research. W skali globalnej wciąż dominuje FakeUpdates, wpływając na 7 proc. organizacji na całym świecie.
– CrimsonRAT to narzędzie zdalnego dostępu (RAT), używające języka programowania Java i ukrywające się za legalnymi plikami. Rozprzestrzenia się za pośrednictwem kampanii spamowych e-mail, które zawierają złośliwe dokumenty Microsoft Office – wyjaśnia Wojciech Głażewski, country manager firmy Check Point w Polsce.
CrimsonRat może kontrolować zinfiltrowane komputery i wykonywać różne złośliwe zadania. Co ciekawe, narzędzie z perspektywy światowej nie należy do najpopularniejszych i wykrywane jest w mniej niż 0,5 proc. siec firmowych. W lipcu okazał się jednak najpopularniejszym złośliwym oprogramowaniem skierowanym przeciwko polskim firmom i internautom.
Dwa pozostałe najczęściej wykrywane w Polsce zagrożenia to botnet Androxgh0st oraz downloader FakeUpdates, czyli programy znajdujące się w ostatnich miesiącach w czołówce najpopularniejszego malware’u. Pierwszy z nich atakuje zarówno Windowsa, jak i Maca czy Linuxa. Narzędzie wykorzystuje wiele luk, szczególnie atakując PHPUnit, Laravel Framework i Apache Web Server, a następnie kradnie poufne informacje, takie jak informacje o koncie Twilio, dane uwierzytelniające SMTP, klucz AWS itp. Androxgh0st wpływał w lipcu na blisko 4 proc. wszystkich polskich sieci. Zamykający podium FakeUpdates, który infekował niemal 3 proc. sieci firmowych, jest z kolei downloaderem JavaScript, który zapisuje ładunki na dysku przed ich uruchomieniem, infekując maszyny programami takimi jak GootLoader, Dridex, NetSupport, DoppelPaymer i AZORult.
W skali globalnej niepokoi szereg nowych taktyk wykorzystujących FakeUpdates, obecnie najczęściej atakujące na świecie złośliwe oprogramowanie. Okazuje się, że coraz więcej użytkowników nieświadomie odwiedzających zainfekowane witryny internetowe napotyka fałszywe prośby o aktualizację przeglądarki, co w ostatniej fazie infekcji prowadzi do instalacji trojanów dostępu zdalnego, takich jak AsyncRAT. Eksperci zwracają również uwagę na wykorzystywanie przez cyberprzestępców platformy BOINC, przeznaczonej do przetwarzania danych, w celu uzyskania zdalnej kontroli nad zainfekowanymi systemami.
Analitycy Check Point Research potwierdzają, że najczęściej atakowanymi sektorami gospodarki są obecnie edukacja i badania, sektor rządowo-wojskowy oraz komunikacja. Najczęściej wykorzystywaną podatnością jest z kolei Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086).