Зловреды в Сети. Декабрьская активность

По данным разработчиков и производителей решений в области информационной безопасности, декабрь 2013 года был отмечен активностью злоумышленников в Сети. В частности, эксперты компании Eset отмечают, что в прошлом месяце наблюдалось увеличение активности файловых вирусов. По наблюдениям же аналитиков компании «Доктор Веб», конец 2013 года был отмечен большим количеством выявленных вредоносных программ, направленных на добычу электронной валюты Bitcoin и ее аналога Litecoin. Также в декабре специалисты компании «Доктор Веб» обнаружили значительное число «рекламных троянцев». Были выявлены и новые угрозы для мобильной платформы Android, число которых традиционно велико.

Говоря об активизации киберпреступников в декабре, эксперты компании Eset указывают на то, что в минувшем месяце в глобальном рейтинге угроз рост динамики продемонстрировали вредоносные программы Win32/Sality, Win32/Ramnit и Win32/Virut. Все три угрозы являются файловыми вирусами и предназначены для извлечения выгоды через нарушение целостности исполняемых файлов скомпрометированного пользователя. Файловые вирусы представляют большую опасность из-за метода распространения – заражения исполняемых файлов на локальных и сетевых дисках. Активность одного зараженного файла может привести к компрометации сети целого предприятия.

Рост активности также продемонстрировали вредоносные элементы веб-страниц HTML/ScrInject и вредоносная программа JS/Fbook. Оба этих вида вредоносного ПО активизируются удаленно через веб-страницы.

Кроме того, в декабре специалисты Eset обнаружили новую модификацию шифровальщика Cryptolocker под названием Cryptolocker 2.0. Эта программа шифрует личные данные пользователя, требуя выкуп за разблокировку доступа. В модификации Cryptolocker 2.0 были добавлены возможности по шифрованию новых типов файлов: распространенного музыкального формата mp3, изображений с расширениями jpg и png, а также видеофайлов mp4, avi и mpg.

В декабре 2013 года доля России в мировом объеме вредоносного ПО составила 8%. В российском рейтинге угроз отмечен рекордно низкий за последний год уровень активности вредоносной программы Win32/Qhost, которая упала с 15,91% в начале года до 7,75% в декабре, но по-прежнему сохранила лидерство. Qhost используется для перенаправления пользователя на фишинговые ресурсы через системный файл hosts. Рост продемонстрировала троянская программа Win32/Spy.Ursnif, которая используется для похищения различных данных аккаунтов и вредоносные элементы веб-страниц JS/IFrame.

Производители ПО, в свою очередь, продолжают закрывать уязвимости в своих программных продуктах. В прошлом месяце компания Microsoft в очередной раз закрыла ряд уязвимостей в своих продуктах. Были выпущены одиннадцать обновлений для ОС семейства Windows, а также для решений MS Office, Exchange и других. Также были обновлены все поддерживаемые версии браузера Internet Explorer (6-11) для всех ОС, начиная с Windows XP. Большинство исправляемых уязвимостей относятся к типу Remote Code Execution и могут использоваться для удаленного исполнения кода через специальным образом сформированную веб-страницу. Всего для IE было исправлено семь уязвимостей.

Кроме того, для усиления защиты продуктов MS Office компания выпустила обновление MS13-106 для библиотеки hxds.dll, которая используется в Office2007 и 2010. Эта библиотека использовалась злоумышленниками для обхода защитных механизмов браузеров.

В свою очередь, относительно вирусной обстановки в декабре вирусные аналитики «Доктор Веб» приводят следующую информацию: среди угроз, обнаруженных в декабре 2013 года на компьютерах пользователей, абсолютными лидерами, как и прежде, являются рекламные троянцы Trojan.InstallMonster.38 и Trojan.LoadMoney.1. Кроме того, среди наиболее часто выявляемых угроз в декабрьской статистике присутствуют рекламный троянец Trojan.Packed.24524 и Trojan.Siggen5.64541 — детект троянских динамических библиотек, предназначенных для перехвата различных функций браузеров.

По данным аналитиков «Доктор Веб», декабрь выдался на редкость «урожайным» с точки зрения распространения новых вредоносных программ, предназначенных для добычи (майнинга) криптовалюты Bitcoin и одного из ее аналогов — Litecoin. Так, в начале месяца специалисты «Доктор Веб» добавили в вирусные базы сигнатуру троянца Trojan.BtcMine.221, распространявшегося с нескольких принадлежащих злоумышленникам веб-сайтов под видом надстройки для популярных браузеров, якобы помогающей пользователям при совершении покупок в интернет-магазинах. Также этот троянец нередко маскируется под иные приложения, такие как VLC-плеер или программу для анонимного серфинга в Интернете. На самом же деле Trojan.BtcMine.221 предназначен для добычи (майнинга) криптовалюты Litecoin, для чего он использует аппаратные ресурсы компьютера без ведома пользователя. На момент обнаружения троянца было зафиксировано 311 477 установок бота.

Также в декабре в антивирусную лабораторию компании «Доктор Веб» поступил образец еще одного троянца-майнера, который был добавлен в базы под именем Trojan.BtcMine.218. Это приложение распространялось с использованием вредоносной партнерской программы Installmonster.ru и любопытно тем, что вирусописатели оставили в отладочной информации троянца свои «автографы».

В конце декабря было зафиксировано распространение новой модификации троянца семейства Trojan.Mods, получившей наименование Trojan.Mods.10. Основным отличием этой вредоносной программы от предшественниц является присутствие в ее составе программы, предназначенной для добычи (майнинга) электронной криптовалюты Bitcoin. Основные же функциональные возможности Trojan.Mods.10 заключаются в подмене просматриваемых пользователем сайтов принадлежащими злоумышленникам веб-страницами путем перехвата системных функций, отвечающих за трансляцию DNS-имен сайтов в IP-адреса.

Эксперты «Доктор Веб» отмечают, что увеличение количества угроз, направленных на добычу электронной валюты, не случайно, поскольку такие троянцы приносят вирусописателям заметную прибыль. По информации, собранной специалистами компании «Доктор Веб», средний ежесуточный доход злоумышленников от эксплуатации троянской программы Trojan.BtcMine.221 составляет $1 454,53.

Угрозой месяца эксперты «Доктор Веб» называют распространение вредоносной программы Trojan.Zadved.1, первые образцы которой были добавлены в вирусные базы еще в начале ноября. Наиболее актуальная версия инсталлятора Trojan.Zadved.1 недавно появилась в раздаче вредоносной партнерской программы Installmonster.ru. Троянец представляет собой надстройку к браузерам, якобы предназначенную для обеспечения безопасности при просмотре веб-сайтов, однако выполняет она прямо противоположные функции.

По завершении установки плагин появляется в списке зарегистрированных расширений браузера и загружает с удаленных серверов несколько файлов сценариев, с помощью которых троянец и реализует свои вредоносные функции. Один из них подменяет в окне браузера выдачу поисковых систем, демонстрируя пользователю посторонние ссылки.

Другой сценарий выводит на экран поддельные всплывающие окна сообщений социальной сети «ВКонтакте». Причем, видимо, в целях повышения достоверности злоумышленники демонстрируют подобные сообщения только в том случае, если жертва просматривает веб-страницы на сайте vk.com. Кроме того, троянец заменяет тизерные рекламные модули «ВКонтакте» своими собственными. Еще один сценарий предназначен для реализации так называемой «кликандер»-рекламы: при щелчке мышью в произвольной точке веб-страницы скрипт открывает новое окно браузера, в котором загружается рекламируемый злоумышленниками сайт.

Продолжают появляться и новые угрозы, направленные на пользователей мобильных устройств под управлением ОС Android. В декабре специалистами компании «Доктор Веб» было зафиксировано сразу несколько предновогодних «сюрпризов», таких как появление множества новых троянцев-шпионов и других опасных программ.

В частности, антивирусная база Dr.Web в декабре пополнилась более чем десятью записями для вредоносных приложений, принадлежащих к семействам Android.SmsSpy и Android.Spy, большая часть из которых распространялась на территории Южной Кореи с применением нежелательных SMS-сообщений, содержащих ссылку на загрузку троянцев. По сравнению с предыдущим месяцем, число таких рассылок выросло на 88,9% и составило 204 зарегистрированных случая.

Не менее заметным событием декабря стало обнаружение в каталоге Google Play троянского приложения под названием WhatsAppCopy, выполняющего кражу истории переписки из официального клиента популярного сервиса обмена сообщениями WhatsApp для ОС Android. Данная программа, внесенная в вирусную базу Dr.Web как Android.WhatsappSpy.1.origin, представляла собой простое игровое приложение, которое незаметно для пользователей Android-устройств загружало на сервер разработчика троянца базу данных, содержащих сохраненные сообщения мессенджера. Кроме того, вредоносная программа передавала на сервер изображения, а также номер телефона, связанные с учетной записью клиента сервиса.

В дальнейшем любой желающий мог получить доступ к переписке интересующего его пользователя, введя на веб-сайте автора троянца соответствующий мобильный номер. Несмотря на то, что данное приложение позиционировалось как безобидное средство создания резервной копии переписки из программы WhatsApp, потенциальный риск его недобросовестного использования вынудил корпорацию Google удалить данную программу из каталога Google Play. Тем не менее, программа остается доступной для загрузки на официальном сайте разработчика, поэтому многие пользователи рискуют стать жертвами шпионажа со стороны злоумышленников.

Еще одним открытием стало появление в каталоге Google Play приложения под названием Bazuc, позволявшего пользователям получать вознаграждение за отправку рекламных и информационных SMS-сообщений со своего мобильного номера. Разработчики сообщали, что наиболее предпочтительными для этой являются безлимитные тарифные планы, однако никакого контроля тарифа в приложении не предусмотрено, поэтому беспечные пользователи со стандартными параметрами тарификации SMS рисковали столкнуться с огромными счетами или же отключением от сети оператора, т.к. Bazuc был способен выполнить отправку тысяч сообщений в сутки. Кроме того, рассылаемые SMS приходили целевой аудитории непосредственно с номера, принадлежащего предприимчивому абоненту, что также могло привести к негативным последствиям: недовольные рекламой получатели сообщений имели возможность, например, позвонить по этому номеру и, в лучшем случае, гневно высказать свое отношение к новоявленному спамеру. Данная программа была удалена из каталога Google Play, однако она все еще доступна для загрузки на официальном сайте разработчика. Учитывая потенциальные риски данного приложения, специалисты компании «Доктор Веб» приняли решение внести его в вирусную базу как Program.Bazuc.1.origin.

Автор: Тимофей Белосельцев (info@mskit.ru)

Рубрики: Web, Безопасность

Ключевые слова: Dr Web, анализ информационной безопасности, троян, вирус, зловред, безопасный интернет, безопасность, информационная безопасность, антивирус, eset, вирусная активность, Доктор Веб, мобильное мошенничество, мошенничество, мошенничество в интернете, мошенничество смс

наверх
 
 
     

А знаете ли Вы что?

     
 

MSKIT.RU: последние новости Москвы и Центра

27.03.2020 Рунет и дети: перед карантином

25.03.2020 «МойОфис» ставит на Африку

24.03.2020 Интернет-ретейл: есть ли жизнь во время COVID-19

18.03.2020 4G и 5G увеличат инвестиции в технологии выездного обслуживания

11.03.2020 LTE-заплатка на российский 5G

11.03.2020 Архивы электронных документов: хранить нельзя уничтожить

20.02.2020 Глобальные расходы на ИКТ в 2020 году достигнут $4,3 трлн

18.02.2020 $8 млрд на 5G-IoT заработают операторы

NNIT.RU: последние новости Нижнего Новгорода

ITSZ.RU: последние новости Петербурга