rss Twitter Добавить виджет на Яндекс
Реклама:
     
 
 
 
     
     
 
 
 
     
     
 

«Доктор Веб»: обзор вирусной активности за 2021 год

Среди самых популярных угроз в 2021 году фигурировали многочисленные вредоносные программы. Среди них были трояны-дропперы, предназначенные для распространения вредоносного ПО, а также множественные модификации троянов-загрузчиков — они загружают и запускают на компьютере жертвы исполняемые файлы с различной полезной нагрузкой. Помимо этого, злоумышленники активно распространяли бэкдоры.

Среди почтовых угроз самыми популярными оказались стилеры, различные модификации бэкдоров, написанные на VB.NET. Кроме того, злоумышленники активно распространяли PDF-файлы с вредоносной нагрузкой, трояны-загрузчики, а также веб-страницы, представляющие собой форму ввода учетных данных, которая имитирует авторизацию на известных сайтах. Часть распространяемых в почте угроз пришлась на программы, эксплуатирующие различные уязвимости документов Microsoft Office.

В 2021 году вирусная лаборатория «Доктор Веб» опубликовала несколько расследований. Одним из них стало исследование Spyder — модульного бэкдора для целевых атак. Наши специалисты зафиксировали, что хакерская группировка Winnti использовала этот образец для атак на предприятия в Центральной Азии.

Также в прошедшем году аналитики «Доктор Веб» расследовали целевые атаки на российские НИИ. В ходе расследования специалистам нашей компании удалось раскрыть несанкционированное присутствие APT-группы, деятельность которой оставалась незамеченной почти 3 года.

Однако вирусописатели традиционно не ограничивали себя платформой Windows. Атакам регулярно подвергались владельцы устройств на базе ОС Android. Злоумышленники активно распространяли трояны в каталоге Google Play, при этом мы обнаружили первые трояны и в AppGallery. Самыми популярными угрозами для мобильных устройств оказались различные шпионские и банковские трояны, а также загрузчики вредоносного ПО и трояны, способные выполнять произвольный код.

Главные тенденции года

•           Активное распространение ВПО для Android, в том числе в официальных каталогах

•           Рост числа инцидентов с троянами-вымогателями

•           Рост числа мошеннических сайтов 

Наиболее интересные события 2021 года

В марте специалисты «Доктор Веб» выпустили масштабное исследование модульного бэкдора, предназначенного для целевых атак. В нашу вирусную лабораторию обратились телекоммуникационная компания из Центральной Азии. Оказалось, что сеть была скомпрометирована хакерской группировкой Winnti. Рассмотренный образец бэкдора для целевых атак BackDoor.Spyder.1 оказался примечателен тем, что его код не выполняет прямых вредоносных функций. Среди основных задач трояна — скрытое функционирование в зараженной системе и установление связи с управляющим сервером с последующим ожиданием команд операторов.

Спустя месяц специалисты «Доктор Веб» опубликовали ещё одно исследование. За помощью обратился российский научно-исследовательский институт — сотрудники заметили некоторые технические проблемы, которые свидетельствовали о наличии вредоносного ПО на сервере локальной сети. Вирусные аналитики выяснили, что НИИ подвергся целевой атаке с использованием нескольких бэкдоров, включая BackDoor.Skeye и BackDoor.DNSep. Примечательно, что впервые сеть была скомпрометирована ещё в 2017 году и с тех пор несколько раз подвергалась атакам, судя по имеющимся данным — сразу несколькими хакерскими группировками.

Летом компания «Доктор Веб» рассказывала о появлении критических уязвимостей диспетчера очереди печати ОС Windows. Уязвимость затрагивала все популярные версии операционной системы. С помощью эксплойтов злоумышленники использовали в своих целях компьютеры жертв. Например, загружали вредоносные трояны-шифровальщики, требующие выкуп за расшифровку поврежденных файлов. Уязвимости CVE-2021-34527 и CVE-2021-1675 получили название PrintNightmare. Для каждой из них вскоре появились официальные патчи от разработчика операционной системы.

Начало осени запомнилось массовым введением QR-кодов, подтверждающих факт вакцинации, в связи с чем активизировались мошенники. Например, злоумышленники часто подделывали сайт портала Госуслуг. Фишинговые сайты предназначались для кражи учетных данных, впоследствии используемых для несанкционированных действий от лица жертв. Количество выявленных фишинговых сайтов резко увеличилось почти на 30%. В дни наибольшей активности мошенников база веб-антивируса Dr.Web SpIDer Gate пополнялась сотнями фейковых сайтов.

Эксплуатация коронавирусной повестки продолжилась и в декабре. Злоумышленники предлагали скачать генератор QR-кодов о вакцинации. На деле же пользователь, который загружал вредоносную программу, получал сразу несколько троянов. Загруженный архив содержал исполняемый файл, который дополнительно доставлял на компьютер жертвы майнер и клипер.

Также в прошедшем году пользователям угрожали уязвимости библиотеки логирования Log4j 2. Наиболее критическая из них — Log4Shell (CVE-2021-44228) основана на том, что при логировании библиотекой Log4j 2 сообщений, сформированных особым образом, происходит обращение к контролируемому злоумышленниками серверу с последующим выполнением кода. Через уязвимости киберпреступники распространяли майнеры, бэкдоры, а также DDoS-трояны. Продукты Dr.Web успешно детектируют полезную нагрузку вредоносного ПО, проникающего на устройства через уязвимости.

Вирусная обстановка

Анализ статистики Dr.Web показал, что в 2021 году пользователей чаще всего атаковали трояны-загрузчики, которые устанавливали вредоносные программы. Помимо этого, на протяжении всего года пользователям угрожали различные бэкдоры и трояны, предназначенные для скрытого майнинга.

Сетевое мошенничество

В течение 2021 года интернет-аналитики «Доктор Веб» обнаружили множество опасных сайтов, большинство из которых оказались связаны с тематикой QR-кодов. В мае были обнаружены страницы, позволяющие купить любые поддельные документы, в том числе и справки о прививке от коронавируса. Мошенники тщательно пытались замаскировать нелегальную деятельность, публикуя на сайте разоблачающие других жуликов статьи.

С тех пор злоумышленники не отпускали тему коронавируса, каждый месяц создавая сайты и прочие ресурсы, где можно купить или сгенерировать QR-код. Летом специалисты «Доктор Веб» обнаружили приватные чаты: они кишат предложениями приобрести QR-код и подтверждают «безопасность» процедуры якобы восторженными отзывами тех, кто уже купил сертификат о вакцинации.

Также на волне коронавирусной тематики злоумышленники распространяют фейковые генераторы QR-кодов. Следует помнить, что сертификат о вакцинации нельзя сгенерировать каким-то особым образом, — он генерируется только из ссылки на конкретную страницу портала Госуслуг или информационной системы субъекта федерации, касающуюся факта иммунизации гражданина.

Для мобильных устройств

Согласно статистике детектирований антивирусными продуктами Dr.Web для Android, в 2021 году пользователи ОС Android чаще всего сталкивались с троянами семейства Android.HiddenAds, демонстрировавшими всевозможную рекламу. На их долю пришлось более 83% всех вредоносных приложений, обнаруженных на защищаемых устройствах. Широкое распространение получили трояны, основная функция которых — загрузка других программ, а также скачивание и запуск произвольного кода. По сравнению с 2020 годом, на 43% возросла активность банковских троянов.

Среди нежелательных приложений самыми активными оказались программы семейства Program.FakeAntiVirus, имитировавшие работу антивирусов. Они предлагали пользователям приобрести их полные версии — якобы для лечения выявленных заражений. Также на Android-устройствах встречалось различное ПО, позволяющее следить за их владельцами.

Более чем на 53% выросло число обнаруженных потенциально опасных утилит Tool.SilentInstaller, позволяющих запускать Android-приложения без их установки. Такие инструменты могут использоваться не только в безобидных целях, но и при распространении троянов. Всевозможные рекламные модули и рекламные программы также детектировались довольно часто — их доля превысила 10% от всех выявленных угроз.

В течение года вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play множество угроз. Среди них — приложения-подделки семейства Android.FakeApp, которые злоумышленники используют в различных мошеннических схемах, и трояны Android.Joker, способные загружать и исполнять произвольный код, а также автоматически подписывать пользователей на платные мобильные сервисы. Также здесь встречались рекламные трояны, рекламные приложения и банковские трояны. Кроме того, злоумышленники распространяли вредоносные программы семейства Android.PWS.Facebook, похищавшие необходимые для взлома учетных записей Facebook данные.

Минувший год был отмечен тем, что в каталоге приложений AppGallery для Android-устройств компании Huawei были найдены первые троянские приложения. Ими стали уже знакомые трояны семейства Android.Joker, а также вредоносный модуль Android.Cynos.7.origin, который собирал информацию о мобильных номерах пользователей и демонстрировал рекламу.

Среди угроз, выявленных нашими специалистами в 2021 году, был троян Android.Triada.4912. Злоумышленники встроили его в одну из версий приложения APKPure — клиентского ПО одноименного альтернативного каталога Android-программ. Он загружал различные веб-сайты, а также скачивал другие вредоносные модули и разнообразные приложения. Кроме того, вирусные аналитики «Доктор Веб» обнаружили новое семейство модульных банковских троянов Android.BankBot.Coper. Они перехватывают и отправляют СМС-сообщения, выполняют USSD-запросы, блокируют и разблокируют экран, демонстрируют push-уведомления и фишинговые окна, способны удалять программы, перехватывать вводимую на клавиатуре информацию и выполнять другие вредоносные действия.

Также в минувшем году компания «Доктор Веб» проанализировала популярные в России модели детских смарт-часов на предмет возможных уязвимостей в них. Как показало исследование, безопасность подобных устройств находится на неудовлетворительном уровне. Например, на одной из моделей были предустановленные троянские приложения.

ТЕНДЕНЦИИ ПРОШЕДШЕГО ГОДА

  • Рост числа атак рекламных троянов
  • Усиление активности Android-банкеров
  • Вредоносные приложения, загружающие и устанавливающие другое ПО, — в числе лидеров по распространенности среди обнаруженных на Android-устройствах угроз
  • Появление новых угроз в каталоге Google Play
  • Появление первых вредоносных приложений в каталоге AppGallery
  • Активность сетевых мошенников и программ-подделок
  • Распространение троянов-шпионов и программ для наблюдения за пользователями
  • Злоумышленники продолжили эксплуатировать тему пандемии COVID-19 при совершении атак 

Перспективы и вероятные тенденции

В первую очередь, прошедший год показал, насколько оперативно злоумышленники подстраиваются под ту или иную актуальную тематику. Следует ожидать ещё более хитрых мошеннических схем, связанных с ковидом или другими важными темами грядущего года.

Помимо этого, останутся активными рекламные трояны, всевозможные шифровальщики и другое вредоносное ПО. Корпорациям и компаниям в новом году следует уделять повышенное внимание информационной защите. Как показывает практика, пренебрежение правилами цифровой безопасности многократно увеличивает риски компрометации корпоративной сети. 2021 год запомнился большим количеством «громких» инцидентов с троянами-вымогателями, распространяющимся по модели Ransomware as a Service (RaaS). И эта тенденция продолжит набирать обороты.

Также стоит быть внимательными пользователям устройств, управляемых ОС Android. Ожидается увеличение количества угроз в официальных каталогах приложений.

Редактор раздела: Александр Авдеенко (info@mskit.ru)

Рубрики: Web, Безопасность

наверх
 
 
     

А знаете ли Вы что?

     
 

MSKIT.RU: последние новости Москвы и Центра

NNIT.RU: последние новости Нижнего Новгорода

ITSZ.RU: последние новости Петербурга