rss Twitter Добавить виджет на Яндекс
Реклама:
     
 
 
 
     
     
 
 
 
     
     
 

Зловреды в Сети. Перипетии октября

По данным разработчиков и производителей решений в области информационной безопасности, октябрь текущего года был отмечен активностью злоумышленники в Сети. В частности, эксперты компании Eset отмечают, что в прошлом месяце наблюдалось некоторое снижение активности интернет-угроз, но при этом положительную динамику продемонстрировали три вредоносные программы, одна из которых впервые попала в «десятку» глобального рейтинга Eset. По наблюдениям же аналитиков компании «Доктор Веб», середина осени 2013 года вновь была отмечена широким распространением троянцев-шифровальщиков. Также в октябре были выявлены очередные вредоносные программы для мобильной платформы Android.

Говоря об активизации киберпреступников в октябре, эксперты компании Eset указывают на то, что в минувшем месяце в глобальном рейтинге положительную динамику продемонстрировали только три вредоносные программы: троян Win32/Bundpil (3.79%), вредоносные элементы веб-страниц HTML/ScrInject (1.69%), а также впервые попавшая в «десятку» программа Win32/Sirefef (1.02%). Бэкдор Sirefef (ZeroAccess) представляет собой сложное вредоносное ПО, которое используется злоумышленниками для скрытого доступа на компьютер пользователя, а также для накрутки переходов по рекламным ссылкам, благодаря чему киберпреступники извлекают материальную выгоду из специальных партнерских программ (в рамках которых рекламодатель платит злоумышленникам за каждого посетителя сайта). Различные версии Sirefef содержат в своем арсенале руткит-технологии, которые позволяют ему успешно скрываться в системе.

Также в начале октября стало известно об успешной кибератаке на корпорацию Adobe. Злоумышленники смогли получить доступ к миллионам аккаунтов пользователей, а также к их конфиденциальной информации: логинам, паролям, customer ID, номерам кредитных карт. Разумеется, вся эта информация хранилась в зашифрованном виде. Специалисты Adobe уведомили пользователей о необходимости сменить регистрационные данные своих аккаунтов. Помимо сведений о клиентах, злоумышленникам удалось получить доступ к исходным кодам таких известных программ, как Adobe Acrobat, Cold Fusion и Photoshop. Архивы с похищенной информацией уже были замечены на некоторых веб-сайтах.

Кроме того, эксперты компании Eset в октябре сообщили об обнаружении вредоносного кода в популярном менеджере загрузок Xunlei. Некоторые версии этой программы содержали код, который в скрытом режиме мог устанавливать на компьютер или мобильное устройство пользователя сторонние приложения. Сами файлы программы были подписаны цифровым сертификатом, что отводило от них какие-либо подозрения во вредоносной деятельности. Тем не менее, они использовались для проведения различных операций на ПК и маскировались под расширения программ Microsoft Office.

В октябре доля России в мировом объеме вредоносного ПО составила 7,93%. В российском рейтинге угроз был отмечен рост активности таких вредоносных программ, как HTML/ScrInject (2.76%), HTML/IFrame (2.26%), Win32/Dorkbot (1.85%), и Win32/Bicololo (1.32%). Активность вредоносных элементов JavaScript, которые используются злоумышленниками для перенаправления пользователей на веб-сайты с вредоносным содержимым, по сравнению с сентябрем значительно снизилась и составила 1.62%.

Производители ПО, в свою очередь, продолжают закрывать уязвимости в своих программных продуктах. В прошлом месяце компания Microsoft закрыла ряд серьезных уязвимостей в своих продуктах. Обновление MS13-080 нацелено на исправление девяти критических уязвимостей в браузере Internet Explorer, которые могут использоваться для скрытной установки вредоносного кода. Причем обновлению подверглись все версии, начиная с IE6 и заканчивая новейшим IE11 для Windows 8.1 и RT 8.1. Всего компания Microsoft закрыла 27 уникальных уязвимостей в своих продуктах. Помимо Internet Explorer, обновлению подверглись программная платформа .NET Framework, драйвер подсистемы Win32k.sys, продукты Microsoft Office и Silverlight.

В свою очередь, относительно вирусной обстановки в октябре вирусные аналитики «Доктор Веб» приводят следующую информацию: в списке выявленных угроз продолжает лидировать Trojan.LoadMoney.1 (приложение-загрузчик, созданное организаторами партнерской программы Loadmoney). Также в лидерах списка еще одна модификация этого зловреда -  Trojan.LoadMoney.76. Велико число заражений компьютеров вредоносной программой Trojan.Hosts.6815 (это приложение модифицирует содержимое файла hosts с целью перенаправления браузера на мошеннические или фишинговые ресурсы). Кроме того, в числе лидеров по количеству обнаружений на компьютерах пользователей троянец-загрузчик Trojan.InstallMonster.28 и рекламный троянец Trojan.Lyrics.11.

Продолжают появляться и новые угрозы, направленные на пользователей мобильных устройств под управлением ОС Android. В октябре специалистами компании «Доктор Веб» было зафиксировано сразу нескольких новых вредоносных Android-приложений, созданных для кражи конфиденциальных данных владельцев мобильных устройств. Так, троянские программы Android.Spy.40.origin, Android.SmsSpy.49.origin и Android.SmsForward.14.origin предназначались для южнокорейских пользователей и распространялись при помощи нежелательных SMS-сообщений, содержащих ссылку на загрузку вредоносного apk-файла. Данный метод киберпреступники взяли на вооружение уже давно, и его популярность продолжает стабильно увеличиваться, что позволяет судить о его достаточно высокой эффективности.

Другим заметным событием октября стало обнаружение многофункционального троянца Android.Zoo.1.origin, который распространялся на одном из китайских сайтов в популярной игре, модифицированной киберпреступниками. Попав на мобильное устройство, Android.Zoo.1.origin собирал сведения об имеющихся в телефонной книге контактах и загружал их на удаленный сервер, мог скачивать и устанавливать другие вредоносные приложения, был способен отправлять сообщения на платные премиум-номера, открывать в браузере определенные веб-страницы, а также выполнять ряд других действий.

Не обошлось и без новых модификаций троянцев Android.SmsSend и Android.SmsBot, способных отправлять SMS-сообщения на премиум-номера. В прошедшем месяце вирусная база Dr.Web пополнилась записями для нескольких представителей этих семейств вредоносных программ. Среди них – Android.SmsSend.853.origin, Android.SmsSend.888.origin и Android.SmsBot.7.origin, которые распространялись под видом популярных приложений, а также их инсталляторов.

Отмечая другие важные события октября, аналитики компании «Доктор Веб» указывают также на то, что мошенники активно применяют очередную схему обмана владельцев карт Сбербанка, связанную с рассылкой фальшивых SMS-уведомлений. При открытии карты, клиентов предупреждают, что SMS -сообщения от Сбербанка приходят только с короткого номера 900 (для некоторых регионов используются номера 9000, 9001, 8632, 6470, SBERBANK). Злоумышленники используют похожие номера, обозначенные буквами и цифрами, например «9oo» (здесь вместо цифр использованы буквы) или «СБ900», для рассылки мошеннических SMS -сообщений о блокировке карты якобы из-за подозрительной транзакции. Для получения инструкций о дальнейших действиях жертве предлагают позвонить по определенному номеру. Мошенник, представляясь оператором call-центра, сообщает, что клиенту необходимо как можно скорее дойти до ближайшего банкомата и перевести денежные средства со счета карты на новый счет.

Выявлено около 50 попыток разослать такие фальшивки клиентам Сбербанка. Номера, с которых приходили сообщения, заблокированы и внесены в «черный список» отправителей SMS, который ведут крупные SMS -агрегаторы, поэтому мошенники не смогут повторно подключиться к оператору сотовой связи, сменив компанию-провайдера услуг.

Кроме того, по данным, приведенным в отчете «Доктор Веб», отмечено, что на многочисленных зарубежных сайтах, где отслеживаются образцы спамерских и фишинговых писем, сообщается о распространении в начале октября со спамом новых вариантов вредоносного ПО (предположительно банковского троянца P2P Zeus). По данным одного из крупных австралийских сайтов, зафиксировано более 135 тысяч почтовых ящиков, на которые поступил указанный спам.

Мошенники рассылают письма с поддельных адресов, используя возможности протокола SMTP. В теме писем (присланных якобы из государственных учреждений, банков и т. п.) злоумышленники указывают названия документов финансовой отчетности, предупреждений служб безопасности и т. п., мотивируя потенциальную жертву открыть вложение, чтобы избежать возможных материальных потерь. Вложение к письму (маскирующееся под *.zip- или *.pdf-файл) является исполняемым файлом. При открытии вложения загружаются различные варианты троянцев: Trojan.DownLoad3.28161, Trojan.DownLoader10.16610, Trojan.Inject1.27909 (все названия даны в соответствии с вирусной базой Dr.Web). Есть предположение, что при помощи указанного вредоносного ПО на компьютер жертвы загружается банковский троянец P2P Zeus.

Автор: Тимофей Белосельцев (info@mskit.ru)

Рубрики: Интернет, Web, Безопасность

Ключевые слова: Dr Web, анализ информационной безопасности, троян, вирус, зловред, безопасность, eset, вирусная активность, Доктор Веб, мошенничество, мошенничество в интернете, мошенничество смс

наверх
 
 
     

А знаете ли Вы что?

     
 

MSKIT.RU: последние новости Москвы и Центра

NNIT.RU: последние новости Нижнего Новгорода

ITSZ.RU: последние новости Петербурга