Jak wynika z najnowszych badan przeprowadzonych przez analityków Check Point Research, w ostatnim czasie stajemy się coraz częściej celem ataku za pośrednictwem nowego złośliwego oprogramowania – CrimsonRAT. W Polsce, to właśnie ten specyficzny rodzaj malware jest obecnie najczęściej spotykany.
CrimsonRAT jest to tzw. „Remote Access Tool” (narzędzie zdalnego dostępu), które zostało zaprogramowane w języku Java. Swoje działania kamufluje poprzez ukrywanie się za plikami legalnymi. Sposób jego rozprzestrzeniania polega na prowadzeniu kampanii spamowych poprzez e-mail, wiadomości te zawierają zainfekowane dokumenty Microsoft Office – wyjaśnia Wojciech Głażewski, country manager firmy Check Point w Polsce.
Funkcjonowanie CrimsonRAT polega na możliwości przejęcia kontroli nad zainfekowanym komputerem oraz realizacji różnego rodzaju działań o charakterze szkodliwym. Interesującą kwestią jest to, że na arenie międzynarodowej, CrimsonRAT nie jest bardzo popularnym narzędziem – można go znaleźć na mniej niż 0,5 proc. firmowych sieci. Niemniej jednak, w lipcu stał się najczęściej używanym szkodliwym oprogramowaniem skierowanym przeciwko polskim podmiotom gospodarczym i użytkownikom internetu.
Warto również zwrócić uwagę na inne potencjalne zagrożenia związane z siecią w Polsce. Androxgh0st oraz FakeUpdates to kolejne dwa najpopularniejsze rodzaje malware’u, które zostały wykryte w naszym kraju. Pierwszy z nich atakuje zarówno systemy operacyjne typu Windows, jak i Mac czy Linux, wykorzystując do tego różne luki bezpieczeństwa, szczególnie te dotyczące PHPUnit, Laravel Framework i Apache Web Server. W wyniku jego działania dochodzi do kradzieży poufnych informacji, takich jak dane uwierzytelniające SMTP, klucz AWS itp.
Androxgh0st w lipcu wpływał na prawie 4 proc. wszystkich sieci w Polsce. Podium zamyka FakeUpdates, który infekował prawie 3 proc. sieci firmowych. Jest to tzw. downloader JavaScript, który zapisuje ładunki na dysku przed ich uruchomieniem, infekując maszyny programami takimi jak GootLoader, Dridex, NetSupport, DoppelPaymer i AZORult.
Na skalę globalną obserwujemy natomiast wzrost wykorzystania FakeUpdates przez cyberprzestępców. Staje się on coraz częściej używanym narzędziem ataku, często poprzez fałszywe prośby o aktualizację przeglądarki wyświetlane na zainfekowanych stronach internetowych. W rezultacie dochodzi do instalacji trojanów dostępu zdalnego, takich jak AsyncRAT. Eksperci zauważają również, że cyberprzestępcy coraz częściej wykorzystują platformę BOINC, przeznaczoną do przetwarzania danych, w celu zdalnego kontrolowania zainfekowanych systemów.