Od grudnia 2022 r. badacze obserwują aktywność trojana Androxgh0st, który wykorzystując luki w zabezpieczeniach (CVE-2021-3129, CVE-2024-1709), instaluje się na urządzeniu końcowym, udostępniając atakującym zdalne podłączenie w celu kradzieży danych uwierzytelniających. Operator trojana jest powiązany również z dystrybucją systemu ransomware Adhublika.
Grupa atakująca dzięki Androxgh0st do tej pory preferowała wykorzystywanie luk w aplikacjach Laravel w celu kradzieży danych uwierzytelniających do usług opartych na chmurze, takich jak AWS, SendGrid i Twilio, jednak ostatnie działania sugerują zmiany. Punkt ciężkości został przesunięty w kierunku tworzenia botnetów w celu szerszego wykorzystania trojana.
Według analityków Check Pointa Androxgh0st to w tej chwili drugi najczęściej wykorzystywany malware na świecie, a zarazem najpopularniejszy w Polsce. W skali globalnej wykryty został w ponad 3,7 proc. sieci firmowych, natomiast w Polsce w 3,9 proc.
Androxgh0st to botnet atakujący platformy Windows, Mac i Linux. Do początkowej infekcji wykorzystuje wiele luk, w szczególności atakując PHPUnit, Laravel Framework i Apache Web Server. Szkodnik kradnie poufne informacje, takie jak informacje o koncie Twilio, dane uwierzytelniające SMTP, klucz AWS itp. Do gromadzenia wymaganych informacji wykorzystuje z kolei pliki Laravel. Ma różne warianty i w zależności od wersji, trojan skanuje systemy w poszukiwaniu różnych informacji.
Zostawiając na boku trojana, najpopularniejszym na świecie złośliwym oprogramowaniem w zeszłym miesiącu był FakeUpdates z wpływem na poziomie 6 proc. organizacji na całym świecie, a podium zamknął Qbot z 3-proc. wpływem.
- FakeUpdates to downloader napisany w JavaScript. Zapisuje ładunki na dysku przed ich uruchomieniem. FakeUpdates doprowadziły do dalszych naruszeń za pośrednictwem wielu dodatkowych złośliwych programów, w tym GootLoader, Dridex, NetSupport, DoppelPaymer i AZORult.
- Androxgh0st zajmuje drugie miejsce najpopularniejszych malware na świecie.
- Qbot to wielofunkcyjne szkodliwe oprogramowanie, które pojawiło się po raz pierwszy w 2008 roku. Zostało zaprojektowane w celu kradzieży danych uwierzytelniających użytkownika, rejestrowania naciśnięć klawiszy, kradzieży plików cookie z przeglądarek, szpiegowania działań bankowych i wdrażania dodatkowego złośliwego oprogramowania. Często rozpowszechniany za pośrednictwem spamu, Qbot wykorzystuje kilka technik ochrony przed maszynami wirtualnymi, debugowaniem i piaskownicą, aby utrudnić analizę i uniknąć wykrycia. Od 2022 r. stał się jednym z najpowszechniejszych trojanów.
