De senaste fyra månaderna var sommarlovets tid för många av oss på norra halvklotet. Det verkar som att vissa operatörer av skadlig programvara också tog den här tiden som en möjlighet att eventuellt vila, fokusera om och analysera sina nuvarande procedurer och aktiviteter.

Enligt vår telemetri var augusti en semestermånad för operatörerna av Emotet, den mest inflytelserika nedladdarstammen. Gänget bakom anpassade sig också till Microsofts beslut att inaktivera VBA-makron i dokument som härstammar från internet och fokuserade på kampanjer baserade på vapenförsedda Microsoft Office-filer och LNK-filer.

I T2 2022 såg vi en fortsättning på den kraftiga minskningen av Remote Desktop Protocol (RDP)-attacker, som sannolikt fortsatte att tappa kraften på grund av kriget mellan Ryssland och Ukraina, tillsammans med återgången till kontor efter COVID-XNUMX och övergripande förbättrad säkerhet för företagsmiljöer.

Även med sjunkande siffror fortsatte ryska IP-adresser att stå för den största delen av RDP-attacker. I T1 2022 var Ryssland också det land som var mest måltavla för ransomware, med några av attackerna som var politiskt eller ideologiskt motiverade av kriget. Men som du kommer att läsa i ESETs hotrapport T2 2022 har denna hacktivismvåg minskat i T2, och ransomware-operatörer riktade sin uppmärksamhet mot USA, Kina och Israel.

När det gäller hot som främst drabbar hemanvändare, såg vi en sexfaldig ökning av upptäckterna av nätfiskebeten med frakttema, för det mesta presenterade offren falska DHL- och USPS-förfrågningar om att verifiera leveransadresser.

En webbskimmer känd som Magecart, som såg en trefaldig ökning i T1 2022, fortsatte att vara det ledande hotet efter onlineköpares kreditkortsuppgifter. De sjunkande kryptovalutornas växelkurser påverkade också onlinehot – brottslingar vände sig till att stjäla kryptovalutor istället för att bryta dem, vilket kan ses i en fördubblad ökning av nätfiske med kryptovaluta-tema och ett ökande antal kryptostöldare.

De senaste fyra månaderna har också varit intressanta forskningsmässigt. Våra forskare avslöjade en tidigare okänd macOS bakdörr och senare tillskrev det ScarCruft, upptäckte en uppdaterad version av Sandworm APT-gruppens ArguePatch skadlig programvara laddare, avslöjade Lasarus nyttolaster in trojaniserade appar, och analyserade en instans av Lazarus Operation In(ter)ceptionskampanj riktar in sig på macOS-enheter samtidigt som spearphishing i kryptovatten. De upptäckte också buffertspillsårbarheter i Lenovo UEFI firmware och en ny kampanj med en falsk Salesforce-uppdatering som ett lockbete.

Under de senaste månaderna har vi fortsatt att dela med oss ​​av vår kunskap på Virus Bulletin, Black Hat USA, RSA, CODE BLUE, Sector, REcon, LABSCon och BSides Montreal cybersäkerhetskonferenser, där vi avslöjade våra resultat om kampanjer som implementerats av OilRig, APT35, Agrius, Sandmask, Lazarus och POLONIUM. Vi pratade också om framtiden för UEFI-hot, dissekerade den unika laddaren som vi döpte till Wslink och förklarade hur ESET Research tillskriver skadliga hot och kampanjer. Under de kommande månaderna bjuder vi gärna in dig till ESET-samtal på AVAR, Ekoparty och många andra.

Jag önskar dig en insiktsfull läsning.

Följ ESET-forskning på Twitter för regelbundna uppdateringar om viktiga trender och topphot.