Check Point: z trojanem Androxgh0st zmaga się z nim niemal 4% polskich firm

20 maja, 2024

Od grudnia 2022 r. badacze obserwują aktywność trojana Androxgh0st, który wykorzystując luki w zabezpieczeniach (CVE-2021-3129, CVE-2024-1709), instaluje się na urządzeniu końcowym, udostępniając atakującym zdalne podłączenie w celu kradzieży danych uwierzytelniających. Operator trojana jest powiązany również z dystrybucją oprogramowania ransomware Adhublika.

Grupa atakująca za pomocą Androxgh0st do tej pory preferowała wykorzystywanie luk w aplikacjach Laravel w celu kradzieży danych uwierzytelniających do usług opartych na chmurze, takich jak AWS, SendGrid i Twilio, jednak ostatnie działania sugerują zmiany. Punkt ciężkości został przesunięty w kierunku tworzenia botnetów w celu szerszego wykorzystania trojana.

Według analityków Check Pointa Androxgh0st to obecnie drugi najczęściej wykorzystywany malware na świecie, a zarazem najpopularniejszy w Polsce. W skali globalnej wykryty został w ponad 3,7 proc. sieci firmowych, natomiast w Polsce w 3,9 proc.

Androxgh0st to botnet atakujący platformy Windows, Mac i Linux. Do początkowej infekcji wykorzystuje wiele luk, w szczególności atakując PHPUnit, Laravel Framework i Apache Web Server. Szkodnik kradnie poufne informacje, takie jak informacje o koncie Twilio, dane uwierzytelniające SMTP, klucz AWS itp. Do gromadzenia wymaganych informacji wykorzystuje z kolei pliki Laravel. Ma różne warianty i w zależności od wersji, trojan skanuje systemy w poszukiwaniu różnych informacji.

Zostawiając na boku trojana, najpopularniejszym na świecie złośliwym oprogramowaniem w zeszłym miesiącu był FakeUpdates z wpływem na poziomie 6 proc. organizacji na całym świecie, a podium zamknął Qbot z 3-proc. wpływem.

FakeUpdates to downloader napisany w JavaScript. Zapisuje ładunki na dysku przed ich uruchomieniem. FakeUpdates doprowadziły do dalszych naruszeń za pośrednictwem wielu dodatkowych złośliwych programów, w tym GootLoader, Dridex, NetSupport, DoppelPaymer i AZORult.
Androxgh0st zajmuje drugie miejsce najpopularniejszych malware na świecie.
Qbot to wielofunkcyjne szkodliwe oprogramowanie, które pojawiło się po raz pierwszy w 2008 roku. Zostało zaprojektowane w celu kradzieży danych uwierzytelniających użytkownika, rejestrowania naciśnięć klawiszy, kradzieży plików cookie z przeglądarek, szpiegowania działań bankowych i wdrażania dodatkowego złośliwego oprogramowania. Często rozpowszechniany za pośrednictwem spamu, Qbot wykorzystuje kilka technik ochrony przed maszynami wirtualnymi, debugowaniem i piaskownicą, aby utrudnić analizę i uniknąć wykrycia. Od 2022 r. stał się jednym z najpowszechniejszych trojanów.

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.