TOP 3 trojanów na świecie i w Polsce

TOP 3 trojanów na świecie i w Polsce13.08.2023 08:30
Jakie Trojany można najczęściej spotkać?
Źródło zdjęć: © Licencjodawca | Avlab

Niezależnie od kategorii, szkodliwe oprogramowanie pobrane do systemu, stanowi poważne zagrożenie dla firm, komputerów w firmach oraz komputerów w domach. Z kilku kluczowych powodów, a są to: ataki na infrastrukturę, kradzież danych, zagrożenie dla poufności i prywatności, wymuszanie okupu, utrata reputacji, zakłócenie działalności, kary finansowe.

Na podstawie kilku badań i danych telemetrycznych postaram się udowodnić tezę, że trojany stanowią poważne zagrożenie.

Pierwszą odpowiedź na pytanie w sprawie danych telemetrycznych otrzymałem od F-Secure. Ich badanie pokazuje, że tzw. "infostealer’y", które zaliczają się do trojanów, plasują się jako najbardziej powszechne zagrożenie dla systemu Windows i stanowią ~70% najczęściej występujących ataków. Złośliwe oprogramowanie tego typu ma na celu kradzież haseł, danych logowania, numerów kart płatniczych, danych osobowych, danych związanych z kryptowalutami, bankowością i innymi.

Podobne dane na żądanie dostarczyła nam firma Check Point. W ostatnim pełnym miesiącu tzw. infostealery znajdują się na ich liście najpopularniejszego złośliwego oprogramowania w Europie. Dalej jest tylko trojan Remcos oraz trojan typu downloader (Guloader).

Dalsza część artykułu pod materiałem wideo

Kamera solarna z akumulatorem w super cenie – recenzja Foscam B4

Firmy oraz użytkownicy powinni być świadomi zagrożeń związanych z trojanami. Powinni podejmować odpowiedni środki ostrożności – techniczne i merytoryczne, edukacyjne. Można do nich zakwalifikować: regularne aktualizowanie oprogramowania, stosowanie silnych haseł, przechowywanie haseł w menadżerach, korzystanie z programów bezpieczeństwa, nadawanie odpowiednich uprawnień, monitorowanie infrastruktury oraz logowania do zasobów, edukacja pracowników w zakresie cyberbezpieczeństwa.

W corocznym raporcie firmy Any.Run, świadczącej usługi analizy malware na żądanie, trojany znalazły się w TOP 3 najczęściej występującego złośliwego oprogramowania wśród klientów piaskownicy black box w chmurze.

Do najczęściej występujących rodzin trojanów w Q2 2023 roku zaliczamy:

  • RedLine
  • Remcos
  • njRAT

1. RedLine

RedLine jest wysoce zaawansowanym trojanem używanym przez cyberprzestępców do kradzieży danych i do kontrolowania komputerów użytkowników. Sprzedawany jest za około 150 dolarów na forach przestępczych w postaci jednorazowej licencji albo subskrypcji. Oznacza to, że twórcy ulepszają złośliwy kod, bo przynosi im zyski.

Trojan zaprogramowany jest do kradzieży informacji z przeglądarek internetowych, w tym:

  • zapisanych danych do logowania,
  • danych zapisanych do autouzupełniania pól i formularzy,
  • informacji o kartach płatniczych,
  • w nowszych wersjach RedLine dodano możliwość kradzieży kryptowaluty,
  • oprogramowanie takie jak FileZilla i komunikatory internetowe również są celem RedLine,
  • złośliwe oprogramowanie potrafi kraść i wysyłać oraz pobierać pliki, wykonywać polecenia i okresowo wysyłać informacje o zainfekowanym komputerze do serwera hakera.

Arsenał możliwości po aktywnym zainstalowaniu się na komputerze ofiary. Źródło: https://www.proofpoint.com/us/blog/threat-insight/new-redline-stealer-distributed-using-coronavirus-themed-email-campaign, Źródło zdjęć: © Licencjodawca | Avlab
Arsenał możliwości po aktywnym zainstalowaniu się na komputerze ofiary. Źródło: https://www.proofpoint.com/us/blog/threat-insight/new-redline-stealer-distributed-using-coronavirus-themed-email-campaign
Źródło zdjęć: © Licencjodawca | Avlab

Podczas uruchamiania RedLine na komputerze ofiary wykonywana jest tzw. inwentaryzacja systemu, która gromadzi dane i przekazuje je do serwera hakera:

  • nazwę użytkownika,
  • dane o lokalizacji,
  • konfiguracja sprzętu,
  • informacje o zainstalowanym oprogramowaniu zabezpieczającym.

Trojan zwykle umieszczany jest pod postacią plików:

  • dokumentów Microsoft Office, Libre Office
  • plików PDF,
  • archiwów RAR i ZIP,

plików EXE, JavaScript.

Jeśli trojan zakończy w systemie operacyjnym swoje działanie, to wysyła skradzione informacje do serwera kontrolowanego przez przestępcę w zakodowanym formacie w base64.

6 ciekawych przykładów złośliwego oprogramowania

2. Remcos

Według statystyk trojan Remcos jest na drugim miejscu najczęściej występujących trojanów w drugim kwartale 2023 roku. Oprogramowanie, całkowicie legalne, jest do kupienia w sieci jako "narzędzie do zdalnego zarządzania".

Arsenał możliwości trojana jest bardzo wszechstronny, stąd szerokie zainteresowanie nim wśród cyberprzestępców. Remcos, podobnie jak trojan RedLine, może ukrywać się pod postacią różnych plików.

Najczęściej Remcos wykorzystywany jest do:

  • zdalnego sterowania komputerem ofiary,
  • przechwytywania klawiszy,
  • masowego pobierania plików z dysków,
  • wykonywania zdalnych poleceń,
  • wszystkiego, co jest związane z kradzieżą danych.

Podgląd na Command & Control trojana Remcos – możliwe instrukcje do wykonania na komputerze „ofiary”. Źródło: https://breakingsecurity.net/remcos/, Źródło zdjęć: © Licencjodawca | Avlab
Podgląd na Command & Control trojana Remcos – możliwe instrukcje do wykonania na komputerze „ofiary”. Źródło: https://breakingsecurity.net/remcos/
Źródło zdjęć: © Licencjodawca | Avlab
A tutaj trojan Remcos w sygnaturach firmy Acronis – oprogramowaniu ochronnym do zabezpieczania punktów końcowych., Źródło zdjęć: © Licencjodawca | Avlab
A tutaj trojan Remcos w sygnaturach firmy Acronis – oprogramowaniu ochronnym do zabezpieczania punktów końcowych.
Źródło zdjęć: © Licencjodawca | Avlab

3. njRAT

njRAT (Njw0rm) to kolejny przykład trojana typu Remote Access Trojan (RAT, trojan zdalnego dostępu), który umożliwia hakerom zdalną kontrolę nad zainfekowanymi komputerami.

Działa podobnie jak inne trojany: po zainfekowaniu komputera, hakerzy mogą zdalnie wykonywać różne działania, takie jak przechwytywanie ekranu, rejestrowanie klawiszy, przesyłanie i pobieranie plików, aktywacja kamery i mikrofonu.

Trojan jest oparty na frameworku .NET. Jak wspomniałem, pozwala atakującym aktywować kamerę internetową, rejestrować naciśnięcia klawiszy, ale też kraść hasła z przeglądarek internetowych i aplikacji komputerowych. Ponadto daje hakerom dostęp do wiersza poleceń na zainfekowanym komputerze. Pozwala to na kończenie procesów, na zdalne pobieranie i uruchamianie innych szkodliwych plików.

Z tego korzystają hakerzy. Czołowe zagrożenia w sieci

njRAT jest w stanie atakować aplikacje do obsługi portfeli kryptowalut. Wiadomo na przykład, że jest w stanie przechwytywać Bitcoiny, a nawet uzyskiwać dostęp do informacji płatniczych, które czasami mogą być zapisane w usługach kryptowalut jako środek do ich zakupu.

njRAT jest często rozprzestrzeniany za pomocą złośliwych załączników e-mailowych, zainfekowanych plików pobieranych z Internetu, fałszywych aktualizacji oprogramowania lub poprzez wykorzystanie technik socjotechnicznych, aby skłonić użytkowników do uruchomienia złośliwego pliku.

Panel sterowania njRAT. Źródło: https://blogs.blackberry.com/en/2021/08/threat-thursday-dont-let-njrat-take-your-cheddar , Źródło zdjęć: © Licencjodawca | Avlab
Panel sterowania njRAT. Źródło: https://blogs.blackberry.com/en/2021/08/threat-thursday-dont-let-njrat-take-your-cheddar
Źródło zdjęć: © Licencjodawca | Avlab

W testach Advanced In-The-Wild Malware Test zabezpieczeń punktów końcowych odnotowujemy znaczną ilość trojanów. Są to na przykład:

  • INFECTION: Generic.MSIL.PasswordStealerA.9D8F4871
  • INFECTION: Trojan.Babar.D1B7E2
  • INFECTION: Trojan.Barys.D16FB1
  • INFECTION: Trojan.MSIL.Krypt.11
  • INFECTION: Trojan.MSILHeracles.D1234F
  • INFECTION: Trojan.Nemesis.D5C62
  • INFECTION: Trojan.Razy.DB9199
  • INFECTION: Trojan.Generic.D3FFE07B

Warto zwrócić uwagę, że zagrożenie, jakim jest trojan, to bardzo szeroka rodzina złośliwego oprogramowania. Od najprostszych postaci, trojan potrafi być "zwykłym" downloaderem, który jest pośrednikiem w pobieraniu i uruchamianiu konkretnego malware. Albo może być bezpośrednim zagrożeniem dla bankowości internetowej lub tzw. stealer’em.

Ochrona przed trojanami i złośliwym oprogramowaniem

Ochrona przed trojanami jest niezwykle ważna w kontekście finansów cyfrowych, ponieważ tego rodzaju ataki mogą prowadzić do utraty danych, kradzieży pieniędzy, także do naruszenia prywatności.

Warto zadbać o aktualizacje oprogramowania i systemu, aby nie pozostawiać luk, stosować silne hasła, używać co najmniej autoryzacji 2FA podczas logowania, unikać podejrzanych linków z komunikatorów oraz poczty email.

Prawdopodobnie najlepszą obroną przed trojanami jest znajomość zagrożeń i świadomość praktyk bezpieczeństwa, dlatego też powstał ten artykuł, aby opisać kilka popularnych trojanów oraz możliwości techniczne. Dorze jest też używać dodatkowych warstw ochrony spośród rekomendowanych narzędzi, które będą skanować odwiedzane strony i pobierane pliki, w tym ochrona antywirusowa pozostaje niezbędna.

I pamiętaj o kopii zapasowej!

Źródło artykułu:avlab.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na