Polskie firmy atakowane są przez CrimsonRAT

Przeczytaj także: Mniej ataków hakerskich na polskie firmy. Nanocore zdetronizował Emotet

CrimsonRAT to narzędzie zdalnego dostępu (RAT), używające języka programowania Java i ukrywające się za legalnymi plikami. Rozprzestrzenia się za pośrednictwem kampanii spamowych e-mail, które zawierają złośliwe dokumenty Microsoft Office – wyjaśnia Wojciech Głażewski, country manager firmy Check Point w Polsce.

CrimsonRat może kontrolować zinfiltrowane komputery i wykonywać różne złośliwe zadania. Co ciekawe, narzędzie z perspektywy światowej nie należy do najpopularniejszych i wykrywane jest w mniej niż 0,5 proc. siec firmowych. W lipcu okazał się jednak najpopularniejszym złośliwym oprogramowaniem skierowanym przeciwko polskim firmom i internautom.

Dwa pozostałe najczęściej wykrywane w Polsce zagrożenia to botnet Androxgh0st oraz downloader FakeUpdates, czyli programy znajdujące się w ostatnich miesiącach w czołówce najpopularniejszego malware’u. Pierwszy z nich atakuje zarówno Windowsa, jak i Maca czy Linuxa. Narzędzie wykorzystuje wiele luk, szczególnie atakując PHPUnit, Laravel Framework i Apache Web Server, a następnie kradnie poufne informacje, takie jak informacje o koncie Twilio, dane uwierzytelniające SMTP, klucz AWS itp. Androxgh0st wpływał w lipcu na blisko 4 proc. wszystkich polskich sieci. Zamykający podium FakeUpdates, który infekował niemal 3 proc. sieci firmowych, jest z kolei downloaderem JavaScript, który zapisuje ładunki na dysku przed ich uruchomieniem, infekując maszyny programami takimi jak GootLoader, Dridex, NetSupport, DoppelPaymer i AZORult.

W skali globalnej niepokoi szereg nowych taktyk wykorzystujących FakeUpdates, obecnie najczęściej atakujące na świecie złośliwe oprogramowanie. Okazuje się, że coraz więcej użytkowników nieświadomie odwiedzających zainfekowane witryny internetowe napotyka fałszywe prośby o aktualizację przeglądarki, co w ostatniej fazie infekcji prowadzi do instalacji trojanów dostępu zdalnego, takich jak AsyncRAT. Eksperci zwracają również uwagę na wykorzystywanie przez cyberprzestępców platformy BOINC, przeznaczonej do przetwarzania danych, w celu uzyskania zdalnej kontroli nad zainfekowanymi systemami.

Analitycy Check Point Research potwierdzają, że najczęściej atakowanymi sektorami gospodarki są obecnie edukacja i badania, sektor rządowo-wojskowy oraz komunikacja. Najczęściej wykorzystywaną podatnością jest z kolei Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086).