Записи с меткой «mac os x»

Маски сорваны: «Лаборатория Касперского» раскрывает сложнейшую глобальную кампанию кибершпионажа

Posted: Февраль 12, 2014 in Антивирус, Известность, Касперский, Новости, антивирусы, атака, вирусы, компьютеры, поиск, пользователи, программы, Linux, софт, срочно, техника, угрозы, Trojan
Метки:, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

новости от «Лаборатории Касперского»

https://i2.wp.com/www.e-media66.ru/img/small/kaspersky.jpg

«Лаборатория Касперского» объявила о раскрытии глобальной сети кибершпионажа «Маска», за которой стоят испаноговорящие злоумышленники. Обнаруженные следы указывают на то, что операция ведется как минимум с 2007 года. Ее выделяет сложность арсенала атакующих, который включает в себя ряд крайне изощренных вредоносных программ, разработанных для различных платформ, включая Mac OS X, Linux и, возможно, iOS.

Действия злоумышленников в первую очередь были направлены на государственные организации, дипломатические офисы и посольства, энергетические и нефтегазовые компании, исследовательские организации и политических активистов. По подсчетам «Лаборатории Касперского» жертвами этой таргетированной атаки стали 380 пользователей из 31 стран по всему миру, включая Ближний Восток, Европу, Африку и Америку.

Главной целью атакующих был сбор ценной информации из зараженных систем, включая различные документы, ключи шифрования, настройки VPN, применяемые для идентификации пользователя на сервере SSH-ключи, а также файлы, используемые программами для обеспечения удаленного доступа к компьютеру.

«Несколько причин заставляют нас думать, что это может быть кампанией, обеспеченной государственной поддержкой. Прежде всего, мы наблюдаем крайне высокий уровень профессионализма в действиях группы, которая обеспечивает мониторинг собственной инфраструктуры, скрывает себя с помощью правил системы разграничения доступа, начисто стирает содержимое журнальных файлов вместо обычного их удаления, а также при необходимости прекращает всякие действия. Такой уровень самозащиты нетипичен для киберпреступников. Все это ставит данную кампанию по уровню сложности даже выше Duqu – можно сказать, это самая сложная угроза такого класса на данный момент», – объяснил Костин Райю, руководитель глобального исследовательского центра «Лаборатории Касперского».

Для жертв заражение может обернуться катастрофическими последствиями. Вредоносное ПО перехватывает все коммуникационные каналы и собирает наиболее важную информацию с компьютера пользователя. Обнаружение заражения чрезвычайно сложно из-за доступных в рутките механизмов скрытия и имеющихся дополнительных модулей кибершпионажа. В дополнение к встроенным функциям, злоумышленники могли закачивать на зараженный компьютер модули, позволяющие выполнить набор любых вредоносных действий.

Тщательное исследование показало, что для авторов этих программ испанский является родным языком – этого ранее не наблюдалось в атаках подобного уровня. Анализ показал, что операция «Маска» активно велась на протяжении 5 лет до января 2014 года (а некоторые образцы вредоносного ПО имели дату сборки 2007 года) – во время проведения исследования управляющие сервера злоумышленников были свернуты.

Заражение пользователей происходило через рассылку фишинговых писем, содержащих ссылки на вредоносные ресурсы. На этих сайтах располагался ряд эксплойтов, которые в зависимости от конфигурации системы посетителя, использовали различные способы атаки его компьютера. В случае успешной попытки заражения, вредоносный сайт перенаправлял пользователя на безвредный ресурс, который упоминался в письме – это мог быть YouTube или новостной портал.

Важно отметить, что сами вредоносные сайты не заражали посетителей автоматически в случае прямого обращения по одному только доменному имени. Злоумышленники хранили эксплойты в отдельных каталогах, ссылки на которые присутствовали только в письмах, – проходя именно по ним, пользователь подвергался атаке. Иногда на этих сайтах злоумышленники использовали поддомены, чтобы полные адреса выглядели более правдоподобными. Эти поддомены имитировали разделы популярных испанских газет, а также несколько международных – «The Guardain» и «Washington Post».

На данный момент продукты «Лаборатории Касперского» распознают и удаляют все известные версии программ «Маска». С подробным отчетом, включающим описание работы механизмов и статистику заражения, можно ознакомиться по адресу http://www.securelist.com/en/blog/208216078/The_Careto_Mask_APT_Frequently_Asked_Questions

Реклама

DRWEB

 

Середина осени 2013 года вновь была отмечена широким распространением троянцев-шифровальщиков: в октябре в службу технической поддержки компании «Доктор Веб» обратились сотни пострадавших от действий троянцев-энкодеров. Также в октябре были выявлены очередные вредоносные программы для мобильной платформы Google Android, которая давно уже находится под прицелом злоумышленников.

Вирусная обстановка

Согласно статистике, собранной в октябре с использованием бесплатной лечащей утилиты Dr.Web CureIt!, в списке выявленных угроз, как и прежде, лидирует Trojan.LoadMoney.1 — приложение-загрузчик, созданное организаторами партнерской программы Loadmoney. Также в лидерах списка — еще одна его модификация, Trojan.LoadMoney.76. Велико число заражений компьютеров вредоносной программой Trojan.Hosts.6815: это приложение модифицирует содержимое файла hosts с целью перенаправления браузера на мошеннические или фишинговые ресурсы. Кроме того, в числе лидеров по количеству обнаружений на компьютерах пользователей — троянец-загрузчик Trojan.InstallMonster.28 и рекламный троянец Trojan.Lyrics.11. Двадцатка наиболее актуальных угроз, обнаруженных при помощи лечащей утилиты Dr.Web CureIt! в октябре, представлена в следующей таблице:

Название Кол-во %
Trojan.LoadMoney.1 4794 3.84
Trojan.Packed.24524 3716 2.98
Trojan.LoadMoney.76 3237 2.60
Trojan.Hosts.6815 2192 1.76
Trojan.InstallMonster.28 2061 1.65
Trojan.Lyrics.11 1441 1.16
Trojan.InstallMonster.33 1226 0.98
Win32.HLLP.Neshta 1192 0.96
BackDoor.Andromeda.178 982 0.79
Trojan.Fraudster.524 961 0.77
BackDoor.IRC.NgrBot.42 947 0.76
Trojan.Winlock.8811 881 0.71
BackDoor.Maxplus.24 878 0.70
Trojan.Hosts.6838 862 0.69
Win32.Sector.22 829 0.66
VBS.Rmnet.2 777 0.62
Trojan.Fraudster.502 738 0.59
Win32.HLLW.Gavir.ini 710 0.57
Trojan.Crossrider.1 708 0.57
Trojan.DownLoader9.19157 683 0.55

Ботнеты

Динамика прироста ботнета, образованного зараженными файловым вирусом Win32.Rmnet.12 компьютерами, в октябре осталась практически неизменной: ежесуточно к первой бот-сети подключалось в среднем порядка 15 000 вновь инфицированных ПК, ко второй — 11 000, что в целом соответствует показателям за сентябрь. Изменение численности обеих подсетей Win32.Rmnet.12 в октябре 2013 года можно проследить на представленных ниже графиках:

Динамика регистрации новых ботов в ботнете Win32.Rmnet.12 в октябре 2013 года (1-я подсеть)
screenshot

Динамика регистрации новых ботов в ботнете Win32.Rmnet.12 в октябре 2013 года (2-я подсеть)
screenshot

Продолжает уменьшаться количество компьютеров, на которых антивирусное ПО фиксирует наличие вредоносного модуля Trojan.Rmnet.19, — если на начало октября таковых насчитывалось 4 640, то уже к концу месяца это число составило 3 851.

Практически неизменным остается размер ботнета BackDoor.Bulknet.739: по данным на 28 октября в этой сети числится 1 539 инфицированных компьютеров. В свою очередь, немного снизилась численность ботнета BackDoor.Dande, основным предназначением которого является кража конфиденциальной информации у представителей российских фармацевтических компаний. В конце сентября насчитывалось 1 232 рабочие станции, инфицированные этим троянцем, а в двадцатых числах октября это значение составило уже 1 105.

Постепенно снижается и количество Apple-совместимых компьютеров, инфицированных работающим под управлением Mac OS X троянцем BackDoor.Flashback.39. В конце сентября число заражений составляло 38 288, а спустя месяц количество инфицированных «маков» снизилось до 31 553.

Угрозы для Android

В минувшем месяце специалистами компании «Доктор Веб» было зафиксировано сразу нескольких новых вредоносных Android-приложений, созданных для кражи конфиденциальных данных владельцев мобильных устройств. Так, троянские программы Android.Spy.40.origin, Android.SmsSpy.49.origin и Android.SmsForward.14.origin предназначались для южнокорейских пользователей и распространялись при помощи нежелательных СМС-сообщений, содержащих ссылку на загрузку вредоносного apk-файла. Данный метод киберпреступники взяли на вооружение уже давно, и его популярность продолжает стабильно увеличиваться, что позволяет судить о его достаточно высокой эффективности.

screenshot screenshot

screenshot

Как и многие аналогичные вредоносные программы, эти троянцы способны перехватывать поступающие СМС-сообщения, в которых может содержаться различная ценная информация, включающая как одноразовые mTAN-пароли и иные финансовые реквизиты, так и личную или деловую переписку. Однако в данном случае наибольший интерес представляет троянец Android.Spy.40.origin, при создании которого была использована очередная ошибка ОС Android, позволяющая ему избежать обнаружения антивирусными программами. Для этого злоумышленникам было необходимо лишь определенным образом изменить структуру троянского apk-пакета, после чего он мог успешно обходить сканирование. Более подробная информация об этой угрозе содержится в соответствующей публикации на сайте нашей компании.

Другим заметным событием октября стало обнаружение многофункционального троянца Android.Zoo.1.origin, который распространялся на одном из китайских сайтов в популярной игре, модифицированной киберпреступниками. Попав на мобильное устройство, Android.Zoo.1.origin собирал сведения об имеющихся в телефонной книге контактах и загружал их на удаленный сервер, мог скачивать и устанавливать другие вредоносные приложения, был способен отправлять сообщения на платные премиум-номера, открывать в браузере определенные веб-страницы, а также выполнять ряд других действий.

screenshot screenshot

Не обошлось и без новых модификаций троянцев Android.SmsSend и Android.SmsBot, способных отправлять СМС-сообщения на премиум-номера. В прошедшем месяце вирусная база Dr.Web пополнилась записями для нескольких представителей этих семейств вредоносных программ. Среди них – Android.SmsSend.853.origin, Android.SmsSend.888.origin и Android.SmsBot.7.origin, которые распространялись под видом популярных приложений, а также их инсталляторов.

Прочие события октября

Call-центр мошенников «блокирует» карты Сбербанка

Мошенники нашли очередную схему обмана владельцев карт Сбербанка, связанную с рассылкой фальшивых СМС-уведомлений.

При открытии карты клиентов предупреждают, что СМС-сообщения от Сбербанка приходят только с короткого номера 900 (для некоторых регионов используются номера 9000, 9001, 8632, 6470, SBERBANK). Злоумышленники используют похожие номера, обозначенные буквами и цифрами, например «9oo» (здесь вместо цифр использованы буквы) или «СБ900», для рассылки мошеннических СМС-сообщений о блокировке карты якобы из-за подозрительной транзакции. Для получения инструкций о дальнейших действиях жертве предлагают позвонить по номеру +7(499)504-88-24. Мошенник, представляясь оператором call-центра, сообщает, что клиенту необходимо как можно скорее дойти до ближайшего банкомата и перевести денежные средства со счета карты на новый счет.

Пользователя в подобных случаях может насторожить следующее: ему не могут внятно объяснить причину блокировки карты, просят назвать конфиденциальные данные карты, предлагают подойти к ближайшему банкомату для выполнения сомнительной операции и т. п.

Выявлено около 50 попыток разослать такие фальшивки клиентам Сбербанка. Номера, с которых приходили сообщения, заблокированы и внесены в «черный список» отправителей СМС, который ведут крупные СМС-агрегаторы, поэтому мошенники не смогут повторно подключиться к оператору сотовой связи, сменив компанию-провайдера услуг.

Gameover продолжается: Upatre распространяет шифровальщика CryptoLocker вместе с банковским троянцем Gameover ZeuS

Получила развитие ситуация, связанная с сообщением компании Dell SecureWorks от 10 октября этого года о распространении банковского троянца Gameover ZeuS при помощи троянца-загрузчика. Специалисты по информационной безопасности выяснили, что с этим же загрузчиком распространятся программа-шифровальщик CryptoLocker, вымогающая у владельцев зараженных компьютеров плату за расшифровку файлов.

Троянец из семейства Trojan.DownLoad — это файл небольшого размера, реализующий простую функцию загрузки других вредоносных программ на компьютер жертвы. Он маскируется под zip- или pdf-файл, и распространяется как вложение в спам-сообщения. Стоит пользователю открыть такое вложение, и на компьютер загружается вредоносное ПО, в первую очередь – банковские троянцы семейства Zbot/ZeuS, а теперь и CryptoLocker. Данный шифровальщик не только блокирует доступ к системе, но и вынуждает пользователя оплачивать расшифровку файлов.

Зарубежные эксперты исследовали образец такого спам-сообщения. Вредоносное вложение содержит загрузчик Trojan.DownLoad, скачивающий программу Trojan.PWS.Panda. Именно она фактически загружает CryptoLocker.

Таким образом, пользователь, компьютер которого заражен указанными вредоносными программами, рискует потерять не только учетные данные для онлайн-банкинга и деньги вследствие несанкционированных банковских операций, но и другие свои файлы, зашифрованные CryptoLocker. Самостоятельная расшифровка данных из-за сложности применяемого метода шифрования невозможна.

Троянец CryptoLocker детектируется антивирусом Dr.Web как Trojan.Encoder.304 (образец добавлен в вирусную базу 25 октября 2013 года).

Пользователи, установившие антивирус Dr.Web, защищены от данных угроз. Однако из-за большой комплексной опасности, которую представляют эти вредоносные программы, рекомендуется соблюдать дополнительные меры предосторожности: не открывать вложения в письмах, поступивших из недостоверных источников; избегать переходов по непроверенным ссылкам; регулярно делать резервные копии файлов; пользоваться лицензионным ПО и своевременно обновлять его.

Подробности октябрьских DDOS-атак на сайты российских банков

Представитель службы безопасности Центробанка России Артем Сычев сообщил о подробностях DDOS-атак, организованных в начале октября 2013 года на сайты ЦБ, Сбербанка, ВТБ, Альфа-банка, Газпромбанка и Россельхозбанка.

Бот-сеть из 400 компьютеров, находящихся в Европе, начинала каждую атаку в первой половине дня. В ряде случаев акция продолжалась в течение суток. Банки были атакованы последовательно: первым под удар попал сайт Сбербанка, последним — сайт ВТБ. Целью кибератак был скрипт, обрабатывающий публикацию курсов валют на сайте финансового учреждения. Угроз банковским сервисам в ходе атак выявлено не было, персональные данные и счета клиентов риску не подвергались. По словам Сычева, работа сайта Центробанка прерывалась всего на 7 минут.

О своей причастности к указанным кибератакам заявила группа «Кавказские анонимусы». В этой связи Сычев сообщил о «монетизации преступных действий в киберпространстве, приводящей к тому, что атаки становятся коммерчески выгодными. Распространена ситуация, когда заказчиками являются граждане России, а исполнителями — люди, находящиеся в Европе или Азии. Атакующие машины могут иметь зарубежные IP-адреса».

Dexter: новая тенденция угроз для владельцев банковских карт

Новый вариант вредоносной программы Dexter нанес многомиллионный ущерб большинству южноафриканских банков. Скомпрометированы сотни тысяч кредитных и дебетовых карт. Dexter заражает компьютеры с подключенными к ним торговыми терминалами (point-of-sale, POS-терминалами) для платежей в торговых сетях и ресторанах, похищает данные с пластиковых карт, загруженные в оперативную память компьютера, шифрует их и отправляет на сервер злоумышленников.

По данным зарубежных исследователей, Dexter был выявлен еще в 2012 году. Модификации обнаруженного троянца известны также под названиями Alina, BlackPOS, Vskimmer. За несколько месяцев были заражены сотни компьютеров торговых терминалов в 40 странах. Большинство зараженных систем находилось в Северной Америке и Великобритании.

Образцы указанного вредоносного ПО детектируются антивирусом Dr.Web как Trojan.Packed.23683, Trojan.Packed.23684 и Trojan.Packed.23685. Они добавлены в вирусную базу 27 сентября 2012 года.

Рассылка банковских троянцев семейства P2P Zeus: адрес известен

На многочисленных зарубежных сайтах, где отслеживаются образцы спамерских и фишинговых писем, сообщается о распространении в начале октября со спамом новых вариантов вредоносного ПО (предположительно банковского троянца P2P Zeus). По данным одного из крупных австралийских сайтов, зафиксировано более 135 000 почтовых ящиков, на которые поступил указанный спам.

Мошенники рассылают письма с поддельных адресов, используя возможности протокола SMTP. Предполагается, что их реальный адрес — fraud@aexp.com, зарегистрированный на сервере с IP-адресом 190.213.190.211, относящемся к региону Тринидад и Тобаго. В теме писем (присланных якобы из государственных учреждений, банков и т. п.) злоумышленники указывают названия документов финансовой отчетности, предупреждений служб безопасности и т. п., мотивируя потенциальную жертву открыть вложение, чтобы избежать возможных материальных потерь.

Вложение к письму (маскирующееся под *.zip- или *.pdf-файл) является исполняемым файлом. При открытии вложения загружаются различные варианты троянцев: Trojan.DownLoad3.28161, Trojan.DownLoader10.16610, Trojan.Inject1.27909 (все названия даны в соответствии с вирусной базой Dr.Web).

Есть предположение, что при помощи указанного вредоносного ПО на компьютер жертвы загружается банковский троянец P2P Zeus.

Образцы троянцев Trojan.DownLoad3.28161, Trojan.DownLoader10.16610, Trojan.Inject1.27909, распространявшиеся в указанной рассылке, добавлены в вирусную базу Dr.Web 9 и 10 октября 2013 года.

Вредоносная программа P2P Zeus детектируется Dr.Web как Trojan.PWS.Panda.4379. Этот банковский троянец опасен тем, что относится к числу наиболее распространенных. Он передает злоумышленникам данные для доступа к банковским сервисам, похищает ключи и пароли от различных программ, отслеживает нажатия клавиш, делает снимки экрана, объединяет зараженные устройства в бот-сети, выполняет поступающие с сервера злоумышленников команды, перенаправляет жертву на поддельные (фишинговые) сайты для кражи конфиденциальной информации. По мнению специалистов компании «Доктор Веб», указанная спам-кампания нацелена на клиентов различных банков. Чтобы избежать опасности, пользователям рекомендуется не открывать вложения в письмах, поступивших из подозрительных источников; не переходить по подозрительным ссылкам; защищать устройство при помощи антивирусных программ и своевременно обновлять ПО.

Вредоносные файлы, обнаруженные в почтовом трафике в октябре

 01.10.2013 00:00 — 31.10.2013 23:00
1 Trojan.DownLoad3.28161 1.02%
2 Trojan.Packed.24872 0.77%
3 Trojan.DownLoader9.22851 0.70%
4 Trojan.Packed.3036 0.68%
5 BackDoor.Maxplus.13275 0.60%
6 Trojan.PWS.StealerENT.3243 0.56%
7 Trojan.Click2.22983 0.51%
8 Trojan.PWS.Panda.547 0.49%
9 Trojan.PWS.Panda.2401 0.48%
10 Trojan.PWS.Multi.911 0.44%
11 Trojan.PWS.Panda.4795 0.41%
12 BackDoor.Comet.152 0.39%
13 Trojan.DownLoader10.34549 0.39%
14 Win32.HLLM.MyDoom.33808 0.37%
15 Trojan.Fraudster.517 0.34%
16 Trojan.Packed.24612 0.32%
17 BackDoor.Maxplus.13119 0.32%
18 BackDoor.Blackshades.17 0.31%
19 Trojan.PWS.Panda.4379 0.31%
20 Win32.HLLM.Beagle 0.29%

Вредоносные файлы, обнаруженные в октябре на компьютерах пользователей

 01.10.2013 00:00 — 31.10.2013 23:00
1 Exploit.SWF.254 0.98%
2 Trojan.Fraudster.524 0.57%
3 Trojan.LoadMoney.76 0.54%
4 Trojan.Packed.24524 0.53%
5 BackDoor.PHP.Shell.6 0.48%
6 Trojan.LoadMoney.1 0.47%
7 Trojan.Fraudster.502 0.37%
8 BackDoor.IRC.NgrBot.42 0.33%
9 Trojan.Fraudster.394 0.31%
10 Trojan.InstallMonster.33 0.30%
11 Win32.HLLW.Shadow 0.28%
12 Trojan.SMSSend.4196 0.27%
13 Win32.HLLW.Autoruner.59834 0.27%
14 Trojan.MulDrop5.1740 0.27%
15 Trojan.Winlock.9260 0.26%
16 Trojan.MulDrop4.25343 0.26%
17 Trojan.InstallMonster.34 0.25%
18 Trojan.InstallMonster.28 0.24%
19 JS.Redirector.194 0.24%
20 Trojan.LoadMoney.188 0.23%

19 марта 2013 года

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — сообщает о наблюдаемом с начала года росте распространения рекламных приложений для компьютеров под управлением Mac OS X. Среди них выделяется троянец Trojan.Yontoo.1, который, являясь загрузчиком, устанавливает на инфицированный компьютер дополнение для популярных браузеров, основное назначение которого — демонстрация рекламы в процессе просмотра веб-сайтов.

С начала 2013 года специалисты компании «Доктор Веб» отмечают рост количества рекламных приложений для различных платформ, в том числе для операционной системы Mac OS X. Таким образом злоумышленники зарабатывают на партнерских программах рекламных сетей, и с каждым днем растет их интерес к пользователям Apple-совместимых компьютеров. Ярким примером подобного ПО может служить обнаруженный недавно Trojan.Yontoo.1.

Эта троянская программа проникает на компьютер жертвы различными способами. Например, с целью распространения троянца злоумышленники создали специальные веб-страницы с анонсами фильмов, при открытии которых в верхней части окна демонстрируется стандартное предложение установки плагина для браузера. На самом деле данный диалог лишь имитирует традиционную панель, демонстрируемую пользователям в случае необходимости установки какого-либо дополнения или надстройки, и создан злоумышленниками специально, чтобы ввести потенциальную жертву в заблуждение. После нажатия на кнопку Install the plug-in происходит перенаправление пользователя на сайт для загрузки приложения, детектируемого антивирусным ПО «Доктор Веб» как Trojan.Yontoo.1.

screen

Злоумышленники предусмотрели несколько альтернативных способов распространения этой угрозы. Например, жертва может загрузить троянца под видом медиаплеера, программы для улучшения качества просмотра видео, «ускорителя» загрузки файлов из Интернета и т. д.

После запуска Trojan.Yontoo.1 демонстрирует на экране диалоговое окно программы, предлагающей инсталлировать приложение под названием Free Twit Tube.

screen

Однако вместо заявленной программы после нажатия на кнопку Continue троянец загружает из Интернета и устанавливает специальный плагин Yontoo для наиболее популярных среди пользователей Mac OS X браузеров: Safari, Chrome и Firefox. Этот плагин в процессе просмотра веб-страниц в фоновом режиме передает на удаленный сервер данные о том, какую веб-страницу открыл в своем браузере пользователь.

screen

В ответ данное дополнение получает от злоумышленников специальный файл, позволяющий встраивать в просматриваемые пользователем веб-страницы различные рекламные модули от сторонних партнерских программ. Вот так, например, будет выглядеть на инфицированном компьютере веб-страница сайта apple.com:

screen

Такие расширения для браузеров детектируются антивирусным ПО как Adware.Plugin. Следует отметить, что аналогичная схема распространения «рекламного троянца» существует и для пользователей ОС Windows.

19 марта 2013 года

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — сообщает о наблюдаемом с начала года росте распространения рекламных приложений для компьютеров под управлением Mac OS X. Среди них выделяется троянец Trojan.Yontoo.1, который, являясь загрузчиком, устанавливает на инфицированный компьютер дополнение для популярных браузеров, основное назначение которого — демонстрация рекламы в процессе просмотра веб-сайтов.

С начала 2013 года специалисты компании «Доктор Веб» отмечают рост количества рекламных приложений для различных платформ, в том числе для операционной системы Mac OS X. Таким образом злоумышленники зарабатывают на партнерских программах рекламных сетей, и с каждым днем растет их интерес к пользователям Apple-совместимых компьютеров. Ярким примером подобного ПО может служить обнаруженный недавно Trojan.Yontoo.1.

Эта троянская программа проникает на компьютер жертвы различными способами. Например, с целью распространения троянца злоумышленники создали специальные веб-страницы с анонсами фильмов, при открытии которых в верхней части окна демонстрируется стандартное предложение установки плагина для браузера. На самом деле данный диалог лишь имитирует традиционную панель, демонстрируемую пользователям в случае необходимости установки какого-либо дополнения или надстройки, и создан злоумышленниками специально, чтобы ввести потенциальную жертву в заблуждение. После нажатия на кнопку Install the plug-in происходит перенаправление пользователя на сайт для загрузки приложения, детектируемого антивирусным ПО «Доктор Веб» как Trojan.Yontoo.1.

screen

Злоумышленники предусмотрели несколько альтернативных способов распространения этой угрозы. Например, жертва может загрузить троянца под видом медиаплеера, программы для улучшения качества просмотра видео, «ускорителя» загрузки файлов из Интернета и т. д.

После запуска Trojan.Yontoo.1 демонстрирует на экране диалоговое окно программы, предлагающей инсталлировать приложение под названием Free Twit Tube.

screen

Однако вместо заявленной программы после нажатия на кнопку Continue троянец загружает из Интернета и устанавливает специальный плагин Yontoo для наиболее популярных среди пользователей Mac OS X браузеров: Safari, Chrome и Firefox. Этот плагин в процессе просмотра веб-страниц в фоновом режиме передает на удаленный сервер данные о том, какую веб-страницу открыл в своем браузере пользователь.

screen

В ответ данное дополнение получает от злоумышленников специальный файл, позволяющий встраивать в просматриваемые пользователем веб-страницы различные рекламные модули от сторонних партнерских программ. Вот так, например, будет выглядеть на инфицированном компьютере веб-страница сайта apple.com:

screen

Такие расширения для браузеров детектируются антивирусным ПО как Adware.Plugin. Следует отметить, что аналогичная схема распространения «рекламного троянца» существует и для пользователей ОС Windows.

ИСТОЧНИК

14 января 2013 года

Компания «Доктор Веб» представляет обзор вирусной активности в 2012 году. Прошедший год запомнится, прежде всего, крупнейшей в истории эпидемией троянской программы Backdoor.Flashback.39 для «маков». Это событие всколыхнуло мировую общественность и во многом подорвало веру пользователей в «непогрешимость» операционной системы от Apple. Кроме того, за прошедшие двенадцать месяцев значительно выросло количество разновидностей троянцев-энкодеров, а также число заражений этими вредоносными программами. Одна из крупнейших на сегодняшний день бот-сетей, состоящая из персональных компьютеров, инфицированных файловым вирусом Win32.Rmnet.12, превысила рекордную шестимиллионную отметку. К сожалению, значительно возросло разнообразие угроз для мобильной платформы Google Android.

Крупнейший ботнет для Mac OS X

Появление троянской программы Backdoor.Flashback.39, из-за которой разразилась самая настоящая эпидемия среди Apple-совместимых компьютеров, можно назвать, пожалуй, самым ярким событием 2012 года в сфере информационной безопасности. Впервые это вредоносное ПО было обнаружено специалистами компании «Доктор Веб» еще в конце марта 2012 года, а информационное сообщение о выявлении крупнейшего в истории ботнета, работающего под управлением Mac OS X, было опубликовано 4 апреля. Еще в конце марта в вирусную лабораторию стали поступать сообщения о распространении троянцев для Mac OS X с использованием уязвимости Java, именно тогда и возникло предположение о том, что Backdoor.Flashback.39 способен объединять «маки» в бот-сети. Аналитики «Доктор Веб» изучили алгоритм, используемый этим троянцем для генерации имен управляющих серверов, и зарегистрировали несколько таких имен. Результат превзошел все ожидания: уже в первые сутки стало понятно, что количество зараженных «маков» превысило 600 000 и продолжает стремительно расти. География распространения инфекции также была весьма обширной:

География распространения
География распространения Backdoor.Flashback.39

За последующие 10 дней размер бот-сети достиг максимальной отметки в 670 000 с лишним одновременно работающих инфицированных компьютеров (более 800 000 уникальных компьютеров с учетом «излечившихся») и постепенно пошел на спад. Опубликованный компанией «Доктор Веб» пресс-релиз с описанием данной угрозы наделал много шума в мировой прессе и вызвал широчайший общественный резонанс. Миф о том, что Mac OS X является одной из самых защищенных операционных систем в мире, был в одночасье разрушен.

Основной причиной эпидемии стало то обстоятельство, что корпорация Apple выпустила обновление безопасности для собственной реализации Java спустя два месяца после аналогичного обновления, опубликованного корпорацией Oracle, что позволило злоумышленникам безнаказанно распространять вредоносное ПО в течение длительного времени. Другая причина — это, безусловно, слепая вера пользователей продукции Apple в абсолютную защищенность платформы Mac OS X: в пользу этого суждения говорил, в частности, тот факт, что число инфицированных «маков» продолжало увеличиваться даже после того, как компания «Доктор Веб» сообщила на весь мир об этой угрозе.

Динамика изменения численности бот-сети в 2012 году

Исследования, проведенные аналитиками компании «Доктор Веб», позволили определить версии платформы Mac OS X, которые инфицировала вредоносная программа, версии ядра ОС, а также ряд других характеристик ботнета, исходя из анализа обращений этой вредоносной программы к управляющим серверам. Результаты этих исследований по данным на апрель 2012 года показаны на представленных ниже иллюстрациях.

Распредение запросов по версии ядра операционной системы

graph

graph

В декабре 2012 года рост бот-сети Backdoor.Flashback.39 практически полностью остановился, однако окончательно она не побеждена — во всем мире еще насчитывается несколько десятков тысяч инфицированных «маков».

Поскольку популярность системной платформы от Apple постепенно растет, а пользователи этой ОС не привыкли использовать антивирусное программное обеспечение, Mac OS X становится лакомым куском для многочисленных злоумышленников. Вряд ли среднестатистический правонарушитель пройдет мимо богато обставленной квартиры, хозяева которой по идеологическим соображениям не желают запирать входную дверь на замок.

Файловые вирусы и другие ботнеты

Файловый вирус Win32.Rmnet.12, сигнатура которого была добавлена в вирусные базы Dr.Web в сентябре 2011 года, за истекшие 12 месяцев побил все мыслимые рекорды, образовав бот-сеть, состоящую из шести с половиной миллионов инфицированных узлов. Win32.Rmnet.12 — сложный многокомпонентный файловый вирус, состоящий из нескольких модулей и обладающий способностью к саморазмножению, то есть, он умеет копировать сам себя и бесконтрольно распространяться без участия пользователя. Этот вирус заражает ПК на базе Microsoft Windows, реализуя функции бэкдора, а также осуществляя кражу паролей от популярных FTP-клиентов, – эти пароли могут быть использованы для организации сетевых атак. Обрабатывая поступающие от удаленного центра злоумышленников указания, Win32.Rmnet.12 также может дать команду и на уничтожение операционной системы. Его вредоносный функционал позволяет встраивать в просматриваемые веб-страницы посторонний контент (веб-инжекты), перенаправлять пользователя на указанные злоумышленниками сайты, а также передавать на удаленные узлы содержимое заполняемых жертвой форм. Вот почему этот вирус представляет существенную опасность для пользователей.

Наибольшее распространение данный вирус получил в странах юго-восточной Азии, таких как Индонезия, Бангладеш, Вьетнам, Индия и Пакистан. Однако имеется значительное число инфицированных машин и в России.

Первоначально число заражений вирусом Win32.Rmnet.12 было относительно невелико, однако с каждым месяцем количество инфицированных ПК увеличивалось, пока к концу года не достигло рекордной отметки в 6,5 миллионов. Динамику этого процесса можно проследить с помощью представленного ниже графика.

graph

Поскольку тенденций к снижению роста данной угрозы не наблюдается, можно предположить, что вирус Win32.Rmnet.12 продолжит свое распространение. Если расширение ботнета будет продолжаться прежними темпами, то в 2013 году общая численность зарегистрированных в сети инфицированных компьютеров превысит 10 миллионов.

Одной из наиболее распространенных модификаций файлового вируса Win32.Rmnet.12 является его «родной брат» Win32.Rmnet.16. Основное отличие данной вредоносной программы от ее предшественницы заключается том, что она использует цифровую подпись, которой подписывается IP-адрес управляющего сервера. Также вирусописатели обновили основные функциональные модули приложения.

graph

Ботнет, состоящий из инфицированных Win32.Rmnet.16 рабочих станций, наиболее распространен на территории Великобритании и Австралии. Однако численность этой бот-сети значительно скромнее по сравнению с Win32.Rmnet.12. Число случаев заражения в течение 2012 года также постепенно росло, однако гораздо менее высокими темпами, о чем свидетельствует представленная ниже диаграмма.

graph

Исходя из имеющейся в распоряжении специалистов «Доктор Веб» статистики можно предположить, что прирост численности ботнета Win32.Rmnet.16 будет понемногу сокращаться, а его общий объем вряд ли превысит миллион инфицированных узлов, если, конечно, лавинообразному росту заражений не поспособствуют какие-либо непредвиденные обстоятельства. Напомним, что специалисты компании «Доктор Веб» полностью контролируют вирусные сети Win32.Rmnet.12 и Win32.Rmnet.16.

Еще в ноябре 2011 года компания «Доктор Веб» сообщила о появлении узкоспециализированной троянской программы BackDoor.Dande, предназначенной для кражи информации у российских фармацевтических компаний и аптек. BackDoor.Dande — сложный многокомпонентный троянец, шифрующий свои модули ключом, привязанным к конкретной инфицированной машине, и самостоятельно загружающий их в память. Благодаря этому детектировать его вредоносные модули можно только в оперативной памяти зараженного компьютера, а расшифровать их отдельно от инфицированного ПК крайне сложно. Кроме того, загрузчик модулей встраивается в первую секцию одной из системных библиотек Windows, в результате чего по формальным признакам ее становится невозможно отличить от незараженной библиотеки. Троянец крадет данные из так называемых «систем электронного заказа», к которым относятся специализированная конфигурация «Аналит: Фармация 7.7» для платформы 1С, «Система электронного заказа» СЭЗ-2 производства компании «Аптека-Холдинг», программа формирования заявок компании «Российская Фармация», система электронного заказа фармацевтической группы «Роста», программа «Катрен WinPrice» и некоторые другие.

Несмотря на то, что троянец впервые был добавлен в вирусные базы Dr.Web более года назад, к концу декабря 2012 года бот-сеть BackDoor.Dande продолжала действовать. С учетом того, что троянец продолжает работу только на компьютерах, где установлена одна из систем электронного заказа медикаментов (а при ее отсутствии самоудаляется), можно с уверенностью говорить, что в бот-сети BackDoor.Dande состоят преимущественно рабочие станции, принадлежащие аптекам и фармацевтическим компаниям. На 19 декабря 2012 года в ботнете BackDoor.Dande числился 3 031 инфицированный компьютер. Изменение численности данной бот-сети показано на представленном ниже графике.

graph

Троянцы-кодировщики

2012 год можно, пожалуй, назвать периодом наибольшего распространения троянцев-энкодеров: по приблизительным подсчетам в прошлом году от действия этих вредоносных программ пострадали тысячи человек по всему земному шару. В течение года в вирусные базы Dr.Web было добавлено множество новых модификаций троянцев данного типа. Динамика поступления запросов в службу технической поддержки компании «Доктор Веб» от пользователей, пострадавших в результате действия троянцев-кодировщиков, показана на представленном ниже графике:

graph

Появление первых версий троянцев-кодировщиков было зафиксировано еще в 2009 году. Энкодеры отыскивают на дисках инфицированного компьютера пользовательские файлы, в частности, документы Microsoft Office, музыку, фотографии, изображения и архивы, после чего шифруют их. За расшифровку файлов злоумышленники требуют заплатить определенную денежную сумму.

В течение длительного времени от действий троянцев-кодировщиков страдали в основном пользователи на территории России и стран бывшего СССР, однако весной 2012 года вредоносные программы семейства Trojan.Encoder вышли на зарубежные просторы. Одним из первых троянцев-вымогателей, ориентированных на западную аудиторию, стал Trojan.Encoder.94. Троянец имел англоязычный интерфейс, однако случаи заражения были зафиксированы в Германии, Италии, Испании, Англии, Польше, Австрии, Норвегии, Болгарии и некоторых других странах. Первые обращения пострадавших от Trojan.Encoder.94 зарубежных пользователей были зафиксированы 9–10 апреля 2012 года. Вскоре в службу технической поддержки компании «Доктор Веб» стали обращаться пользователи из Латинской Америки (Бразилии и Аргентины), а также таких европейских стран как Франция, Бельгия, Швейцария, Нидерланды, Хорватия, Словения, Венгрия и Румыния.

К концу года ситуация с троянцами-шифровальщиками кардинально изменилась: если в 2011 году подобные вредоносные программы все еще были ориентированы в основном на русскоязычную аудиторию, то уже к декабрю 2012, по мнению аналитиков «Доктор Веб», соотношение «российских» и «зарубежных» энкодеров составляло примерно 50/50. Основной всплеск распространения шифровальщиков, ориентированных на западный рынок, пришелся на апрель-май 2012 года, однако к осени их число несколько уменьшилось. Основываясь на имеющейся статистике можно предположить, что в наступающем году число энкодеров, направленных на зарубежных пользователей ПК, будет стремительно расти. В целом 2013 год можно будет, по всей видимости, назвать «годом энкодеров» — распространенность этой категории угроз вполне может принять масштабы эпидемии.

Винлоки

Троянцы-вымогатели, парализующие нормальную работу операционной системы и требующие у пользователя заплатить определенную сумму за ее разблокировку, известны уже давно. В течение 2012 года появлялись новые модификации винлоков, но динамику их распространения нельзя было назвать чрезмерно высокой. Всего в течение года в службу технической поддержки «Доктор Веб» обратилось более 10 000 пользователей, пострадавших от действия троянцев-блокировщиков, всем им была оказана квалифицированная помощь. Динамику таких запросов можно отследить с помощью представленного ниже графика.

graph

Осенью 2012 года было зафиксировано распространение троянцев-блокировщиков, получивших общее наименование «мультилокеры», — исходя из заголовка, демонстрировавшегося на входной странице используемых ими управляющих серверов. Такие троянцы не содержат каких-либо изображений, текстовых ресурсов или иных компонентов, которые обычно демонстрируются подобными вредоносными приложениями на экране компьютера при блокировке Windows. Все необходимые элементы мультилокеры загружают с удаленного сервера. Соответственно, это позволяет злоумышленникам оперативно настраивать демонстрируемые на экране инфицированного компьютера текст, изображения, а также менять код разблокировки.

Запустившись на зараженном ПК, троянцы-мультилокеры блокируют возможность загрузки ряда приложений и системных утилит. Кроме того, некоторые модификации этих вредоносных программ способны перехватывать изображение с подключенной к зараженному компьютеру веб-камеры и демонстрировать его в блокирующем систему окне с целью запугивания пользователя. В тексте сообщения, написанного якобы от имени государственных правоохранительных структур, как правило, упоминается о том, что все действия жертвы на данном компьютере записываются, а ее портрет, полученный с помощью веб-камеры, сохраняется для последующей идентификации и получения дополнительной персональной информации.

screen

Специалистами компании «Доктор Веб» были зафиксированы случаи распространения подобных угроз в Канаде, Испании, Германии, Франции, Италии, Португалии, Австрии, Швейцарии, Великобритании, Австралии, США и нескольких других странах. Для получения оплаты злоумышленники обычно используют ваучерные платежные системы Ukash, Moneypack и Paysafecard. Анализ троянцев-вымогателей, поступивших в течение года в вирусную лабораторию «Доктор Веб», говорит о том, что вирусописатели понемногу отказываются от винлоков традиционной архитектуры, в то же время прослеживается тенденция к усложнению их конструкции и росту функциональных возможностей. Можно предположить, что подобные троянцы будут с определенной периодичностью появляться на свет и в следующем году, а ареал их распространения продолжит расширяться.

Наиболее важные события в сфере информационной безопасности

2012 год запомнится пользователям множеством важных и интересных событий в сфере информационной безопасности. Так, этот год был отмечен значительным ростом числа взломов веб-сайтов с целью распространения вредоносного ПО. Первая волна хакерских атак была зафиксирована еще в начале года, когда оказалось взломано от нескольких десятков до сотен тысяч сайтов. На скомпрометированных ресурсах злоумышленники размещали содержащие уязвимость сценарии, с помощью которых, в частности, распространялся известнейший троянец для Mac OS X Backdoor.Flashback.39. Еще одна волна взлома интернет-ресурсов пришлась на середину августа: в российском сегменте Интернета было скомпрометировано несколько тысяч сайтов с целью распространения троянцев для мобильных платформ. Данная тенденция продолжала прослеживаться до конца года: уже в декабре были зафиксированы случаи взлома популярных порталов, в частности, официального сайта далай-ламы. Злоумышленники ставили своей целью заразить компьютеры посетителей этих сайтов вредоносными программами для ОС Windows и Mac OS X.

В минувшем году киберпреступники весьма активно использовали в своих целях различные уязвимости Java. Так, весной 2012 года злоумышленники распространяли с использованием уязвимости CVE-2012-0507 вредоносные программы семейства Trojan.Carberp и бэкдор для Mac OS X Backdoor.Flashback.39. В июле средства массовой информации сообщили об использовании уязвимости CVE-2012-1723 в популярном среди злоумышленников наборе эксплойтов BlackHole. А уже 26 августа была обнаружена очередная критическая уязвимость Java, которая стала использоваться злоумышленниками в направленных атаках на компьютеры, работающие под управлением Mac OS X, Linux и Windows. Аналитики компании «Доктор Веб» полагают, что ситуация на тот момент складывалась критическая: на день публикации первой новости об обнаружении эксплоита злоумышленникам было широко известно о критической уязвимости Java 7, а обновление Java-машины планировалось только на середину октября. Следовательно, примерно 2 месяца вредоносное ПО имело бы возможность потоком идти через эту «незалатанную дыру» в Java, а также перенаправлять пользователей на вредоносные ресурсы посредством взломанных сайтов, которые на первый взгляд совершенно безобидны. Действия компании Oracle в данной ситуации не были оперативными, из-за чего вредоносное ПО проникло на компьютеры незащищенных пользователей. Тем не менее, с выходом очередного обновления Java в сентябре 2012 специалисты в области компьютерной безопасности обнаружили еще несколько критических уязвимостей этой платформы. Кроме того, в начале ноября появились сообщения об обнаружении zero-day уязвимости в программе Adobe Reader (версиях 10 и 11). С помощью этой уязвимости злоумышленникам удавалось запускать на компьютере жертвы вредоносное приложение. Сам содержащий уязвимость файл киберпреступники распространяли в Интернете, а также рассылали по электронной почте.

Весьма резонансным событием в сфере информационной безопасности стало обнаружение специалистами одной из антивирусных компаний вредоносной программы Win32.HLLW.Flame — сложного многокомпонентного вредоносного приложения, прозванного специалистами «Доктор Веб» за рекордный размер (более 6 МБ) «троянским слоном». Эта программа обладает весьма обширными функциональными возможностями, однако «в дикой природе» практически не встречается. По мнению аналитиков «Доктор Веб», опасность этого троянца, растиражированная многочисленными публикациями в интернете и в СМИ, несколько преувеличена.

Еще одним немаловажным событием в мире информационных технологий стала ликвидация в июле 2012 ботнета BackDoor.BlackEnergy. Это была крупнейшая бот-сеть, ориентированная на массовую рассылку спама, а также проведение DDoS-атак, и прекращение ее деятельности достаточно быстро привело к снижению объемов спам-трафика начиная с июля 2012 года. Вместе с тем, несмотря на уничтожение главных управляющих центров BackDoor.BlackEnergy, специалисты «Доктор Веб» зафиксировали несколько более мелких командных серверов этой сети, которые продолжали свою деятельность и после опубликованных в прессе заявлений об уничтожении данной бот-сети. Тем не менее, уже спустя несколько месяцев прекратили свое существование и эти серверы, поэтому в настоящий момент мы действительно можем говорить о полной и безоговорочной ликвидации ботнета BackDoor.BlackEnergy.

Мошенничество в Интернете

Не дремлют и сетевые мошенники, всеми силами стремящиеся нажиться на доверчивости простых пользователей. Так, в начале мая злоумышленники устроили атаку на пользователей Facebook. Заглянув на свою страницу в этой социальной сети, пользователь обнаруживал в новостной ленте ссылку на программу Profile Visitor, якобы способную фиксировать и демонстрировать на специальной странице посетителей его профиля. Ссылка, как правило, публиковалась от имени одного из друзей пользователя и вела на страницу встроенного приложения Facebook, для активации которого требовалось разрешить программе публиковать контент от имени пользовательской учетной записи. Как только ничего не подозревающая жертва нажимала на кнопку «Разрешить», на стене ее профиля и в новостной ленте всех ее друзей появлялась ссылка на данное приложение, размещенная от ее имени. Однако даже если пользователь не разрешал программе Profile Visitor какие-либо публикации, все, кто зарегистрирован в списке его друзей, получали «отметку» на «фотографии», представляющей собой рекламный баннер-ссылку приложения Profile Visitor. С помощью этого баннера пользователь перенаправлялся на различные мошеннические сайты.

В конце того же месяца многие российские пользователи стали жертвами массовой рассылки электронных писем, отправленных от имени Сбербанка. Послания с темой «Сообщение об увеличении задолженности» получило множество пользователей. В самом сообщении говорится о том, что получатель «превысил максимальную отсрочку платежа», и предлагается ссылка, якобы позволяющая просмотреть статистику. По ссылке на компьютер жертвы загружался файл .SCR — в RAR- или ZIP-архиве либо в незапакованном виде. При попытке открыть этот файл хранящиеся на жестком диске компьютера документы и изображения оказывались зашифрованными, а за их расшифровку злоумышленники требовали заплатить определенную сумму.

screen

В июне письма с вредоносным содержимым чаще всего отправлялись якобы от имени почтовых служб UPS и EMS. В сообщениях говорилось о том, что служба не смогла доставить пользователю почтовое сообщение, а за подробностями злоумышленники советовали обратиться к вложенному в сообщение файлу, в котором, как правило, скрывалась троянская программа.

В то же самое время сетевые мошенники освоили новый способ обмана пользователей, озадаченных поиском работы. Преследуя свои корыстные цели, злоумышленники создавали на специализированных ресурсах учетную запись несуществующей компании с громким и запоминающимся названием. Затем по электронной почте мошенники отправляли соискателям сообщение, в котором предлагалось занять некую вымышленную вакансию, например, «инженера по подбору оборудования». Для этого потенциальной жертве следовало пройти «онлайн-собеседование» на определенном сайте, созданном специально для этой цели. «Онлайн-собеседование», как правило, состояло из нескольких десятков примитивных вопросов, а после прохождения «теста» жертве предлагалось отправить СМС-сообщение «с личным кодом результата» на короткий номер и ввести в соответствующее поле код подтверждения, полученный в ответном сообщении. На самом деле, таким образом пользователь соглашался с условиями «псевдоподписки» — услуги по предоставлению доступа к информации, за оказание которой со счета его мобильного телефона регулярно списывалась определенная сумма.

Наиболее интересные угрозы года

Одной из наиболее ярких тенденций четвертого квартала стало резкое снижение числа заражений пользовательских компьютеров троянской программой Trojan.Mayachok.1, уверенно возглавлявшей список наиболее опасных угроз с начала 2012 года. Связано это, прежде всего, с тем, что вирусописатели начали активно модифицировать эту троянскую программу: если на начало года было известно лишь несколько ее версий, то к концу декабря в базах Dr.Web насчитывалось уже более 1 000 соответствующих записей. Изменениям подвергся и код вредоносной программы, и — отчасти — ее функционал, при этом если в начале года новые версии Trojan.Mayachok появлялись не чаще раза в месяц, то в октябре-ноябре модификации данного троянца детектировались практически каждый день, однако их различия в целом были незначительными. Напомним, что вредоносные программы Trojan.Mayachok обладают возможностью встраивать в просматриваемые пользователем веб-страницы постороннее содержимое. Например, блокировать таким образом доступ к Интернету и требовать плату за его разблокировку. Можно предположить, что новые версии троянцев этого семейства будут появляться и в дальнейшем.

В конце июня специалистами компании «Доктор Веб» был проведен анализ вредоносной программы Trojan.Hottrend, которую можно назвать самым маленьким из известных на сегодняшний день банковских троянцев. Размер её составляет всего 20 КБ. Основное функциональное предназначение этой вредоносной программы — отслеживание сетевого трафика с целью перехвата конфиденциальной (в том числе банковской) информации, которая впоследствии передается злоумышленникам.

Одним из самых интересных троянцев, исследованных вирусными аналитиками компании «Доктор Веб» в 2012 году, является вредоносная программа под названием BackDoor.DaVinci.1. Главной отличительной особенностью этого троянского приложения является то, что оно способно работать как в операционной системе Microsoft Windows, так и в Mac OS X. Помимо этого, известно о реализации данной угрозы, представляющей опасность для мобильных платформ. Эта вредоносная программа представляет собой многокомпонентный бэкдор, включающий большое количество функциональных модулей, в том числе драйверы, использующие руткит-технологии для сокрытия работы приложения в операционной системе.

BackDoor.DaVinci.1 позволяет устанавливать полный контроль над инфицированным компьютером. Помимо этого, троянец сохраняет и передает злоумышленникам информацию о зараженной машине, фиксирует нажатие клавиш, способен делать снимки экрана, перехватывать сообщения электронной почты, ICQ, Skype, передавать данные с микрофона или подключенной к компьютеру видеокамеры. Кроме того, бэкдор обладает обширным функционалом по обходу антивирусных программ и персональных брандмауэров, благодаря чему может в течение длительного времени работать на инфицированной машине незаметно для пользователя. Интересной особенностью реализации BackDoor.DaVinci.1 для Mac OS X является то, что впервые в данной платформе используются руткит-технологии для сокрытия файлов и процессов.

Ну а наиболее оригинальным подходом к заражению компьютеров отличился троянец Trojan.KillFiles.9055, распространявшийся по электронной почте в сообщениях с призывами присоединиться к протестным акциям 5 марта 2012 года. Примечателен тот факт, что тело троянца располагалось непосредственно в макросе, встроенном в приложенный к письму документ Word. Вредоносная программа сохранялась на диск и выполнялась в момент открытия документа. Запустившись на компьютере жертвы, Trojan.KillFiles.9055 вызывал зависание ОС Windows. Одновременно троянец менял содержимое всех обнаруженных на диске С файлов (с расширением .msc .exe .doc .xls .rar .zip .7z) на «цифровой мусор» и помечал их на удаление после перезагрузки системы, вследствие чего Windows приходила в нерабочее состояние. Затем троянец отправлял на удаленный сервер злоумышленников сообщение о том, что операционная система успешно уничтожена.

Android под атакой: «легкие» деньги, доступ к конфиденциальной информации и усложнение угроз

Как и ожидалось, число угроз, ориентированных на ОС Android, в 2012 году продолжило неуклонно расти, что неудивительно: мобильные устройства под управлением этой операционной системы продолжают занимать все более прочное положение на рынке. Так, согласно последнему исследованию компании IDC, в третьем квартале 2012 года три четверти поставляемых смартфонов работали именно на этой платформе. На представленной ниже диаграмме отображено процентное распределение вредоносных программ для Android.

screen

Наиболее распространенной и массированной угрозой по-прежнему остаются троянцы семейства Android.SmsSend, появившиеся еще в 2010 году. Основная функция этих вредоносных программ — отправка дорогостоящих СМС-сообщений и подписка пользователей на различные контент-услуги. Подавляющее большинство троянцев Android.SmsSend с технологической точки зрения является примитивными разработками, однако простота создания и высокая окупаемость побуждают киберпреступников выпускать бесчисленные модификации этих вредоносных программ.

Одной из наиболее заметных тенденций 2012 года стало существенное увеличение числа троянских программ-шпионов для ОС Android. Так, весьма показательным стало появление целого ряда троянцев, которые начиная с середины 2012 года атаковали японских пользователей. Все эти вредоносные программы, среди которых были Android.EmailSpy.origin, Android.MailSteal.1.origin и Android.Maxbet.1.origin, распространялись при помощи спам-писем, содержавших ссылку, которая вела на загрузку якобы полезного приложения. Программы-шпионы предназначались для кражи персональной информации, такой как адреса электронной почты. Были обнаружены и новые представители банковских троянцев, в частности, Android.SpyEye.2.origin, Android.Panda.2.origin и Android.FakeSber.1.origin. Последний особенно интересен тем, что предназначался для атаки на клиентов одного из крупнейших российских банков, в то время как другие вредоносные программы данного типа раньше представляли угрозу лишь для зарубежных пользователей. Это свидетельствует о том, что география применения таких вредоносных программ постепенно расширяется. Несмотря на то, что банковские троянцы для ОС Android все еще встречаются нечасто, они представляют серьезную опасность из-за точечного и хорошо спланированного характера атак. Появление первой подобной вредоносной программы в России может стать отправной точкой к увеличению инцидентов с их участием.

В прошедшем году продолжил расширяться рынок коммерческого шпионского ПО: на протяжении всего года в вирусные базы Dr.Web вносились не только новые модификации известных приложений для кибершпионажа и мониторинга, но также целый ряд новых семейств.

В 2013 году стоит ожидать увеличения количества подобных потенциально опасных программ, а также различных троянцев-шпионов. Весьма вероятной представляется угроза со стороны APT-кампаний (атак с перебором различных видов угроз и уязвимостей до получения результата), в которых будут использоваться Android-троянцы. В целом же можно говорить о том, что все большее число Android-угроз, так или иначе участвующих в краже конфиденциальной информации, применяется в узконаправленных атаках. Эта тенденция в ближайшем будущем сохранится.

Одной из наиболее опасных вредоносных программ для мобильных Android-устройств в 2012 году стал троянец Android.SmsSend.186.origin. От большинства других представителей этого семейства он отличался весьма продвинутыми методами сокрытия вредоносного функционала. Во-первых, при его распространении был использован дроппер, не требующий для работы никаких специальных разрешений. Во-вторых, после установки Android.SmsSend.186.origin заставлял пользователя предоставить ему права администратора мобильного устройства, а после их получения на некоторых версиях ОС Android его было очень сложно удалить. Вполне вероятно, что в 2013 году появятся новые вредоносные программы, в той или иной степени противостоящие попыткам своего удаления, а также использующие различные техники для сокрытия своего присутствия в системе от пользователей.

Вредоносные программы, использующие уязвимости ОС Android для повышения системных привилегий, в прошедшем году не проявляли сколь-нибудь заметной активности. Причиной этого мог стать постепенный переход пользователей на более новые версии Android, в которых соответствующие уязвимости были исправлены, а также усиление безопасности платформы в целом. Однако нельзя исключать, что в 2013 году могут появиться новые вредоносные приложения, которые будут использовать неизвестные ранее уязвимости.

Последняя версия ОС Android 4.2, вышедшая относительно недавно, содержит ряд улучшений, направленных на борьбу с вредоносным ПО. В частности, добавлена функция проверки приложений, основанная на рейтинге их безопасности, а также введена ограничивающая мера для приложений, имеющих возможность отправлять СМС-сообщения на премиум-номера — теперь пользователи имеют возможность выбора: разрешить или запретить отправку таких СМС. Однако эффективность этих нововведений можно будет полноценно оценить лишь тогда, когда обновленная версия операционной системы станет использоваться на существенном количестве мобильных устройств. Учитывая огромный рынок совместимого с ОС Android оборудования, можно предположить, что злоумышленники найдут способы обхода новых защитных функций.

Прогнозы и перспективы

Исходя из анализа угроз, поступивших в вирусную лабораторию компании «Доктор Веб» в течение 2012 года, можно спрогнозировать основные тенденции, которые с определенной долей вероятности получат развитие в следующие двенадцать месяцев.

  • Будет расти число угроз для операционной системы Mac OS X. Возможно как распространение троянских программ, использующих для проникновения в систему различные уязвимости (в том числе уязвимости Java), так и бот-сетей, ориентированных исключительно на Apple-совместимые компьютеры.
  • Значительно увеличится и «ассортимент» вредоносных приложений для мобильной платформы Android. Предполагаемые темпы роста могут составить порядка 50–100% от нынешнего числа известных угроз.
  • Продолжится рост ботнетов, ориентированных на операционную систему Microsoft Windows. Так, уже в первом квартале 2013 года численность зарегистрированных в бот-сети компьютеров, инфицированных файловым вирусом Win32.Rmnet.12, превысит 10 миллионов (если не будут предприняты масштабные меры, направленные на ликвидацию ботнета).
  • Возможно появление вирусов или троянских программ, эксплуатирующих уязвимости или характерные технологии, применяемые в ОС Microsoft Windows 8. Например, возможно возникновение вредоносных приложений, перехватывающих координаты GPS-модуля планшетных компьютеров, использующих эту платформу.
  • Будет расти число и усложняться функционал банковских троянцев, ориентированных на перехват конфиденциальных данных и хищение информации, необходимой для работы в системах дистанционного банковского обслуживания. Возможно увеличение количества заранее спланированных таргетированных атак на различные коммерческие структуры.
  • В целях слежения за пользователями вредоносные программы будут все чаще использовать данные, полученные с помощью веб-камер, микрофонов, GPS-приемников. Вырастет ассортимент троянцев-шпионов.
  • Возможно появление угроз, использующих для осуществления атак облачные сервисы и другие распределенные системы. Увеличится количество вредоносных программ, применяющих в своих целях P2P-сети, а также сеть TOR.

АНАЛИТИКА

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — информирует о появлении нового троянца для Mac OS X — Trojan.SMSSend.3666. Схема распространения этой вредоносной программы печально известна многим пользователям Windows, однако на компьютерах и ноутбуках под управлением Mac OS X ранее не применялась: Trojan.SMSSend представляет собой платный архив, который можно скачать с различных интернет-ресурсов под видом полезного ПО.

Вредоносные программы семейства Trojan.SMSSend широко распространены в современном Интернете. Они представляют собой платный архив, который можно загрузить с различных веб-сайтов под видом какой-либо полезной программы. В процессе открытия такого архива на экране компьютера демонстрируется инфтерфейс, имитирующий оформление программы установки того или иного приложения. При этом для продолжения «инсталляции» мошенники просят жертву ввести в соответствующую форму номер мобильного телефона, а затем указать код, пришедший в ответном СМС. Если пользователь выполняет указанные действия, он соглашается с условиями платной подписки, согласно которым со счета его мобильного телефона будет регулярно списываться абонентский платеж. Как правило, внутри архива находится либо совершенно бесполезный «мусор», либо заявленная мошенниками программа, которую можно скачать с официального сайта разработчиков совершенно бесплатно.

screen

Раньше троянцы данного семейства досаждали пользователям операционной системы Microsoft Windows, однако Trojan.SMSSend.3666 ориентирован на владельцев Apple-совместимых компьютеров. При запуске этого платного архива на экране «мака» демонстрируется окно установки программы VKMusic 4 for Mac OS X, предназначенной для прослушивания музыки в социальной сети «ВКонтакте». Однако для доступа к содержимому архива злоумышленники традиционно требуют указать в соответствующих полях номер мобильного телефона и подтверждающий код.

screen

Как и раньше, за распространением данного вредоносного приложения стоит известная «партнерская программа» ZipMonster, помогающая мошенникам создавать подобные платные архивы, а также оказывающая посреднические услуги по организации выплат распространителям вредоносного ПО. Следует отметить, что Trojan.SMSSend.3666 — это первый троянец данного класса, ориентированный на пользователей операционной системы Mac OS X.

Компания «Доктор Веб» еще раз напоминает: не устанавливайте на свои компьютеры никаких программ, требующих указать номер телефона или отправить СМС, – скорее всего, лишившись денег, вы получите какой-либо ненужный или бесполезный файл. К тому же, воспользовавшись поисковыми системами, вы с большой долей вероятности сможете найти и загрузить эту программу совершенно бесплатно с официального сайта ее разработчиков.

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — информирует о распространении нескольких троянских программ с использованием взломанных злоумышленниками веб-сайтов. В частности, вредоносные программы загружаются с официального интернет-ресурса далай-ламы. Опасность грозит не только пользователям операционной системы Windows, но и Mac OS X.

Несколько дней назад пользователи проинформировали специалистов компании «Доктор Веб» о факте взлома неизвестными злоумышленниками официального сайта тибетского духовного лидера далай-ламы. Исследуя ситуацию, специалисты «Доктор Веб» выяснили, что при попытке открытия этого веб-сайта в окне браузера на компьютер пользователя загружался файл формата jar, содержащий эксплойт (CVE-2012-0507). С помощью этой уязвимости происходит автоматический запуск троянца для Mac OS X, добавленного в вирусные базы под именем BackDoor.Dockster.

Эта вредоносная программа помещается в домашнюю папку пользователя Mac OS X и запускается. При этом для ее функционирования не требуются администраторские привилегии — троянец может работать и под учетной записью обычного пользователя. BackDoor.Dockster способен фиксировать и передавать злоумышленникам нажатия клавиш на инфицированном компьютере (то есть пароли, которые вводятся на зараженном компьютере), а также выполнять различные команды, поступающие от злоумышленников.

screenshot

Примечательно, что троянец BackDoor.Dockster.1 пытается загрузиться на компьютеры всех посетителей сайта далай-ламы, вне зависимости от используемой ими системной платформы. Вероятно, взломавшие данный сайт злоумышленники не смогли настроить на атакованном сервере соответствующую проверку клиентской ОС: в пользу этого предположения говорит то обстоятельство, что на инфицированном ресурсе специалистами «Доктор Веб» был обнаружен другой JAR-файл с именем install.jar, содержащий эксплойт CVE-2012-4681. С помощью этого файла на компьютер жертвы должна устанавливаться вредоносная программа семейства BackDoor.Gyplit, ориентированная на работу в ОС Windows и предназначенная для сбора и передачи злоумышленникам конфиденциальной информации, а также выполнения на инфицированной машине различных команд. Тем не менее, загрузки упомянутого выше JAR-файла в настоящий момент не происходит.

Известно о существовании как минимум еще двух веб-сайтов, при посещении которых выполняется проверка пользовательской ОС, и в зависимости от ее результатов на клиентский компьютер загружается соответствующий JAR-файл. В первом случае версия данного файла для пользователей Windows содержит Exploit.CVE2011-3544.83, с использованием которого происходит заражение вредоносной программой Trojan.Inject1.14703. Версия JAR-файла для других операционных систем эксплуатирует уязвимость CVE-2012-0507, при этом пользователи Mac OS X рискуют заразиться троянцем BackDoor.Lamadai.1. Эта же вредоносная программа загружается с инфицированного веб-сайта на компьютеры пользователей Linux, однако в данной операционной системе она неработоспособна.

Во втором случае на известном южнокорейском новостном сайте, освещающем события в Северной Корее, также осуществляется проверка операционной системы посетителя при помощи аналогичного сценария, однако вредоносный файл, в роли которого выступает троянец Trojan.MulDrop3.47574, «отдается» только пользователям Windows.

Имеют место и другие инциденты, связанные с именем далай-ламы: случаи распространения вредоносных программ и таргетированных вредоносных рассылок, так или иначе ассоциированных с темой борьбы за независимость Тибета, фиксировались и ранее. В целом можно говорить о тенденции использования злоумышленниками взломанных интернет-ресурсов для распространения вредоносного ПО, при этом атаки носят узконаправленный характер, поскольку взлому подвергаются в основном сайты политической и оппозиционной направленности, посвященные тибетской или северокорейской проблематике.

Администраторы подвергшихся атаке веб-сайтов были своевременно предупреждены о факте взлома, и в течение нескольких суток специалисты компании «Доктор Веб» ожидали, что владельцы данных ресурсов удалят код, выполняющий вредоносные функции.

Адреса инфицированных интернет-ресурсов были временно помещены в базы интернет-фильтра Dr.Web SpIDer Gate с целью предотвращения заражения пользовательских компьютеров вредоносным ПО.

ИСТОЧНИК

Интернет не знает границ, однако, как показывают наши данные, существует географическая специфика киберпреступлений. В разных частях мира отличаются вредоносные программы, приоритетные направления компьютерных атак и способы обогащения, которые используют киберпреступники. Связано это не только с тем, где физически находятся злоумышленники, но и с особенностью стран, в которых проживают их потенциальные жертвы. Определяющими факторами в данном случае являются уровень экономического развития, количество интернет-пользователей и уровень проникновения интернета в стране.

В этой статье мы расскажем о специфике деятельности киберпреступников в западных странах: США, Канаде и странах Западной Европы (Англия, Австрия, Бельгия, Дания, Франция, Германия, Голландия, Люксембург, Ирландия, Италия, Испания, Швейцария и Португалия).

Краткая справка

  • ВВП(по паритету покупательной способности, источник: cia.gov):
    • США — $14,66 трлн (2010 est.), 2-е место в мире;
    • Европейский Союз — $14,82 трлн (2010 est.), 1-е место.
  • Количество интернет-пользователей(источник: cia.gov):
    • США — 245 млн, 2-е место в мире;
    • Германия — 65,125 млн, 5-е место;
    • Великобритания — 51,444 млн, 7-е место;
    • Франция — 45,262 млн, 8-е место;
    • Италия — 29,235 млн, 13-е место.
  • Уровень проникновения интернета(источник: http://www.internetworldstats.com/):
    • Северная Америка — 78,3%, 1-е место в мире;
    • Европа в целом — 58,3%, 3-е место в мире.
  • Особенности использования интернета:
    • интернет есть везде: учебные заведения, государственные учреждения, дом, работа;
    • интернет всегда с пользователем: мобильный интернет дешев, очень распространены мобильные интернет-устройства — планшетники и смартфоны.
    • интернет широко используется для оплаты коммунальных услуг и покупки товаров, управления банковским счетом.
  • Процент пользователей, подвергающихся атакам через Web (H1 2012):
    • CША — 38,8%, 31-е место в мире;
    • Германия — 28,8%, 101-е место;
    • Великобритания — 36,8%, 42-е место;
    • Франция — 36,3%, 44-е место;
    • Италия — 43,5%, 18-е место;
    • Европейский союз — 32,1%.
  • Много пользователей Mac OS X, количество смартфонов под управлением Android OS неуклонно растет
  • Наиболее атакуемые операционные системы:
    • Windows,
    • Android,
    • Mac OS X.

Почти половина западных стран входит в ТОР 20 по количеству интернет-пользователей — и эти интернет-пользователи очень активны. Большинство считает интернет не только источником информации, но и простейшим способом коммуникации, и самой доступной площадкой для совершения покупок и оплаты услуг. К тому же жители западных стран хранят большую часть сбережений в банках и для проведения операций с банковским счетом очень активно используют онлайн-банкинг или мобильный банкинг.

В то же время компьютеры в этих странах хорошо защищены и, следовательно, труднодоступны для злоумышленников. Пользователи здесь имеют навыки и знания, во многих случаях достаточные для предотвращения заражения компьютера. В частности, установка антивирусного программного обеспечения для американца или жителя Западной Европы стала частью элементарной гигиены компьютера.

Быстрая миграция пользователей Западной Европы и Северной Америки на новые версии операционных систем усложняет киберпреступникам задачу обхода защиты. Так, в первом полугодии 2012 более половины компьютеров (62,4%) в рассматриваемых странах работали под Windows 7, однако если за 100% взять все страны мира, то это значение будет на 6% меньше.

От версии к версии операционной системы встроенные средства защиты становятся все совершеннее; в современных ОС используется ряд механизмов, противодействующих вредоносным программам: DEP, ASLR, возможность устанавливать драйверы только с цифровой подписью и многое другое. К тому же большинство установленных на компьютеры операционных систем — лицензионные, благодаря чему они автоматически получают обновления, нередко являющиеся исключительно важными для безопасности.

Особенности вредоносных программ

Защищенность компьютеров в западных странах заставляет злоумышленников создавать новые весьма хитрые технологии. И главной особенностью вредоносных программ, распространяемых вирусописателями в этих регионах, является их технологическая сложность. Именно на европейских и североамериканских пользователях обкатываются основные новинки киберпреступного мира: технологии заражения и сокрытия в системе вредоносного кода и механизмы «добывания» денег.

Основная цель киберзлоумышленников в этом регионе — деньги пользователей, а средство их получения — троянские программы.

Условно все троянские программы, распространяемые в западных странах, можно разделить на четыре группы.


Распределение троянских программ по типам. Западная Европа и Северная Америка, H1 2012

Первая и самая многочисленная группа — троянцы, доставляющие на компьютеры другие вредоносные программы. Многочисленность таких троянцев обусловлена тем, что эти программы вирусописатели часто модифицируют, чтобы избежать детектирования антивирусами. Вокруг целевой доставки вредоносных программ развернулся отдельный теневой бизнес.

Наибольший интерес для злоумышленников представляют программы второй группы, которые отслеживают действия пользователей и крадут важную информацию. Среди них наиболее опасны троянцы, нацеленные на информацию для доступа к системам онлайн-банкинга, такие как Trojan-Banker, Trojan-Spy.Win32.Zbot, Trojan-Spy.Win32.Spyeyes и Backdoor.Win32.Sinowal. В случае успешной атаки, проведенной с помощью одной из этих вредоносных программ, злоумышленники получают доступ к чужому банковскому счету и могут распоряжаться деньгами по своему усмотрению.

Еще одна группа — троянцы, под тем или иным предлогом вымогающие у пользователей деньги. К ним относятся фальшивые антивирусы и программы-блокеры.

Многофункциональные троянцы выполняют две и более функций одновременно. Например, они крадут данные и загружают другие вредоносные программы.

Деньги

Основные способы наживы Используемые вредоносные программы (классификация «Лаборатории Касперского»)
Кража финансовой информации
(Получение доступа к учетным записям, связанным с финансами: интернет-банкингу, PayPal, Ebay)
Trojan-Banker, Trojan-Spy, Backdoor
Установка и продажа лжеантивирусов Trojan-FakeAV
Кража аккаунтов к платным сервисам, онлайн-играм и службам (Steam, WoW, Facebook, Skype и т.п.) Trojan-PSW, Trojan-GameThief, Trojan-Spy
Кража персональных данных Backdoor, Trojan-Spy
Подмена результатов поиска, рекламы, накрутка кликов Trojan-Clicker, Trojan.Win32.DnsChanger, Backdoor
Вымогательство Trojan-Ransom

Рассмотрим подробнее, как киберпреступники наживаются за счет пользователей, чьи компьютеры или мобильные устройства они смогли заразить.

Кража финансовой информации

Активное использование интернет-банкинга делает пользователей США, Канады и Западной Европы прекрасной мишенью для злоумышленников. В этом регионе распространены самые известные троянцы, собирающие информацию финансового характера:

  • Sinowal (Mebroot) — бэкдор, занимающийся кражей финансовой информации. Для закрепления в системе заражает первую загрузочную запись жесткого диска.
  • Zbot (ZeuS) — универсальный троянец, нацеленный на аккаунты многих банков. Вирусописатели активно занимаются его разработкой на основе исходных кодов второй версии, которые были выложены в интернете.
  • SpyEye — универсальный троянец, нацеленный на аккаунты многих банков. Конкурент Zbot (ZeuS), но исходников в свободном доступе нет.

В первой половине 2012 года на США, Канаду и страны Западной Европы в совокупности пришлось 70% всех атак Backdoor.Win32.Sinowal (Mebroot), 41% всех атак Trojan-Spy.Win32.SpyEye и почти четверть отраженных атак Trojan-Spy.Win32.Zbot.

Помимо доступа к банковским аккаунтам пользователей, киберпреступники активно интересуются аккаунтами в платежной системе PayPal и интернет-магазине Ebay: на эти системы приходится соответственно 34% и 9% от всех фишинговых атак. В обеих этих системах аккаунты привязаны к карточкам, что дает возможность злоумышленникам опустошать счета. К тому же, помимо учетной записи, фишеры обычно стараются выманить и другие личные данные, например номер социального страхования, дату рождения и код безопасности cvv2 от кредитки.

Европейские и американские банки и платежные системы все больше внимания уделяют этой проблеме и предлагают различные способы усиления защиты: авторизацию с помощью токенов, одноразовые пароли, подтверждение транзакций через коды, посылаемые на телефоны, и т.п. Однако злоумышленники разрабатывают программы, способные обойти и эту защиту. Примером является семейство зловредов Zitmo, атакующих мобильные телефоны пользователей и умеющих обходить двухфакторную систему авторизации европейских банков. Эти мобильные зловреды работают в паре с компьютерным троянцем Zbot (ZeuS): сначала Zbot ворует с зараженного компьютера логин и пароль пользователя для входа в систему онлайн-банкинга, а затем в момент перевода денег в игру вступает его мобильный собрат Zitmo, который пересылает коды авторизации транзакций (TAN) злоумышленникам.

Официальные данные дают представление о том, насколько велики суммы, полученные злоумышленниками в результате кражи финансовой информации. Пойманные в 2010 году мошенники, использовавшие Trojan-Spy.Win32.Zbot, всего за три месяца смогли снять 9 миллионов долларов более чем с 600 счетов. Но это лишь доказанная сумма ущерба. К тому же этим промышляют сразу несколько группировок, а значит, совокупные доходы киберпреступников за соответствующий промежуток времени больше означенной суммы в десятки раз.

Кража персональных данных

Очень важным видом деятельности киберпреступников на территории Северной Америки и Западной Европы является кража персональных данных пользователей. На хакерских форумах можно найти объявления о продаже баз данных клиентов различных магазинов и сервисов. Причем предложений очень много, из-за чего цены достаточно низкие — всего лишь несколько центов (при оптовой покупке) за данные об одном человеке. Отметим, что наиболее частая причина попадания информации о тысячах пользователей различных сервисов в руки хакеров — уязвимости и ошибки в настройке серверов и баз данных.

Наиболее распространенными уязвимостями, приводящими к утечке информации, являются SQL-injection, ошибки, дающие возможность прямого доступа к объектам на веб-сервере, и ошибки в системах аутентификации. Однако помимо уязвимостей, во многих случаях злоумышленники используют и ошибки в конфигурации веб-приложений, такие как неудаленные аккаунты, созданные по умолчанию, открытый доступ к директориям на сервере, хранение паролей и ценной информации в незашифрованном виде, неправильно заполненный robots.txt и т.д.

Наиболее очевидный способ использования этих данных — персонализированные атаки на пользователей. Такие атаки имеют больше шансов на успех: рассылка вредоносных или фишинговых писем, нацеленная на аккаунты определенного банка, будет эффективна только в том случае, если сообщение попадет в почтовые ящики клиентов именно этого банка.

Кроме того, персональные данные пользователей нужны для доступа к различным финансовым сервисам, поэтому они пользуются особым спросом у злоумышленников, занимающихся аферами с системами интернет-банкинга и кардингом.

Распространение лжеантивирусов

Практически все лжеантивирусы имеют англоязычный интерфейс, их мишенью в первую очередь являются пользователи западных стран. Весь «бизнес» фальшивок построен на том, что пользователи хотят быть защищенными и готовы платить за защиту компьютера достаточно большие деньги.

Распространяются фальшивые антивирусы через киберпреступные партнерские программы.


Динамика детектирования фальшивых антивирусов в США, Канаде и странах Западной Европы. 2011-2012

На территории Европы и Америки фальшивые антивирусы стали активно распространяться в начале 2011 года, в марте появились даже лжеантивирусы для Mac OS X, которые распространялись также через партнерские программы.

В июне 2011 года число атак лжеантивирусов достигло максимума («Лабораторией Касперского» обнаружено более 900 000 фальшивок), а затем пошло на спад и стабилизировалось на уровне начала года. Это совпало с арестом Павла Врублевского. Тогда же правоохранительные органы задержали членов двух преступных группировок, распространявших фальшивые антивирусы. В свою очередь поисковые системы стали более активно удалять вредоносные ссылки из выдачи.

Хотя в декабре 2011 — январе 2012 года был отмечен еще один всплеск атак лжеантивирусов, в дальнейшем их количество вернулось на прежний уровень.

В настоящее время лжеантивирусы перестали приносить мошенникам сверхприбыль, но дают стабильный доход, который вполне устраивает многих «партнеров». Насколько прибыльный этот бизнес, можно судить из того, что пойманная в Латвии в июне 2011 года группа киберпреступников, промышлявшая лжеантивирусами, по оценкам полицейских, за три года своей деятельности смогла обмануть около 960 000 пользователей и нанесла убытки в размере 72 миллионов долларов.

Подмена поисковой выдачи

Схема зарабатывания денег с использованием подмены выдачи или рекламы в поисковых системах в большинстве случаев также рассчитана именно на пользователей западных стран. По запросу пользователя в популярных поисковиках на первых местах в списке выдачи помещаются ссылки из рекламных сетей, а не реальные результаты поиска. Переходы по этим ссылкам оплачиваются рекламодателями, и доход от каждого клика идет киберпреступникам, которые подменили поисковую выдачу рекламными блоками.


Пример объявления на хакерском форуме о подмене выдачи для пользователей США, Канады, Великобритании и Австралии

Технически это реализуется с помощью троянских программ, которые изменяют настройки DNS-серверов/hosts-файлов таким образом, что все запросы пользователя в поисковых системах идут через серверы злоумышленников. На сервере происходит подмена ответа поисковой системы, в результате чего на страничке поисковой выдачи появляются ссылки, в которых заинтересованы злоумышленники.

Например, в конце 2011 года был обнаружен троянец Trojan-Downloader.OSX.Flashfake, который заражал компьютеры, работающие под управлением Mac OS X, и занимался подменой выдачи поисковых систем. Было выявлено более 700 000 зараженных машин, объединенных в ботнет, что составляет практически 1% пользователей Mac OS X. 84% всех зараженных компьютеров находились в Западной Европе и Северной Америке.


Trojan-Downloader.OSX.Flashfake TOP 10 стран, откуда были зафиксированы обращения зловреда к командным центрам

Еще одним примером троянца с таким функционалом может служить Backdoor.Win32.ZAccess (ZeroAccess), больший процент заражений которым приходится на США (27,7%) и Германию (11%).


Распространение троянца Backdoor.Win32.ZAccess, июль 2012

Минюст США предъявил одной из киберпреступных группировок обвинения в создании мошеннической схемы с использованием подмены поисковой выдачи. Из официальной информации правоохранительных органов следует, что за 5 лет незаконной деятельности с использованием вредоносной программы Trojan.Win32.DnsChanger злоумышленники смогли получить порядка 14 миллионов долларов.

Вымогательство под прикрытием

Последнее время в западных странах стали активно использоваться такие мошеннические программы, как троянцы-вымогатели, которые еще недавно были почти неизвестны за пределами СНГ. Принцип их работы довольно прост: после заражения они блокируют доступ к компьютеру, изменяя системные настройки или открывая свое окно поверх всех остальных.

В СНГ чаще всего встречаются блокеры двух видов: порноблокеры, которые требуют заплатить деньги за то, чтобы закрылось блокирующее работу окно с картинками непристойного содержания, и программы, которые блокируют саму загрузку ОС под предлогом использования на компьютере нелицензионного ПО.

В Европе эти уловки вряд ли сработают. В случае вымогательства законопослушный гражданин обратится в полицию, да и программное обеспечение у него, вероятнее всего, лицензионное. Поэтому злоумышленники придумали другой прием: они блокируют компьютер и якобы от имени полиции требуют оплатить штраф за посещение сайтов, содержащих детскую порнографию или сцены насилия над детьми.


Пример окна, которое открывает троянец-вымогатель, атакующий британских пользователей

На сегодняшний день известно несколько версий таких троянцев, которые используют имена и символику полиции Германии, Франции, Англии, Швейцарии, Голландии, Финляндии и Испании. К сожалению, выяснить, кто является получателем денег, очень непросто, поскольку для их перевода используются платежные системы Ukash, Epay, PayPoint, и отследить транзакции не всегда возможно. Заметим, что впервые в такой схеме Ukash была использована для получения денег от жертв троянца-шифровальщика GpCode, созданного на территории бывшего СССР.

Особенности распространения вредоносных программ

Чтобы совершить запуск вредоносной программы, злоумышленникам нужно сначала доставить ее на компьютер пользователя. Основные каналы распространения вредоносного кода повсюду в мире — это интернет и переносные носители информации. Как показало наше исследование, программы, проникающие через съемные носители информации, и классические вирусы, инфицирующие файлы, в описываемых регионах практически не работают. Антивирусные программы, установленные на большинстве компьютеров, просто не дают червям и вирусам заразить достаточное количество компьютеров для формирования самоподдерживающего процесса инфицирования, и вскоре он сам собой затухает.

Ниже на диаграмме показаны пути проникновения вредоносных программ на компьютеры пользователей в западных странах.


Векторы атак в Западной Европе и Северной Америке*, H1 2012

*Процент пользователей ЛК, атакованных через определенный канал, от всех атакованных пользователей ЛК в регионе.

Для атак на европейских и американских пользователей значительно эффективнее интернет. По нашим данным, 80% всех атакованных компьютеров в первом полугодии 2012 подверглись риску заражения в процессе веб-серфинга.

Первые две строчки рейтинга занимают Италия и Испания, которые попадают в группу повышенного риска заражения при интернет-серфинге (страны, где атакованных пользователей больше 40%).


Риск заражения через интернет*
H1 2012 по странам Северная Америки и Западной Европы

* Процент уникальных пользователей, подвергшихся веб-атакам, от всех уникальных пользователей продуктов ЛК в стране.

Все остальные страны, за исключением Дании, относятся к группе риска с показателем 21-40%, при этом в Швейцарии, Германии, Австрии и Люксембурге процент атакованных пользователей не превышает 30%. Дания, замыкающая список, относится к самым безопасным при веб-серфинге странам с показателем менее 20%.

Для того чтобы добиться заражения компьютеров пользователей в процессе интернет-серфинга, злоумышленники используют ряд действенных приемов:

  • Заражение легальных сайтов
  • Обман поисковых систем
  • Вредоносный спам в социальных сетях и твиттере

Заражение легитимных веб-ресурсов

Заражение легальных сайтов — это одновременно и самый опасный для пользователей и самый эффективный для злоумышленников прием. Злоумышленники тем или иным путем получают доступ к популярному сайту и вносят в его код небольшие изменения. Когда браузер посетителя сайта перебирает все ссылки в коде страницы и загружает их содержимое, строка с внедренным вредоносным кодом перенаправляет браузер на специально подготовленный сайт с эксплойтом — вредоносной программой, использующей уязвимости в легитимном программном обеспечении для проникновения на компьютер. При этом для пользователя атака проходит незаметно — легитимный сайт выглядит и работает, как обычно.

В таких атаках обычно используются эксплойт-паки, которые сначала ведут автоматический поиск уязвимых программ, установленных на компьютере, а затем отправляют на компьютер соответствующий эксплойт. Таким образом для достижения успеха киберпреступникам достаточно найти на машине хотя бы одно популярное и необновленное приложение.

Популярные эксплойты постоянно сменяют друг друга: в конце 2011 любимой лазейкой хакеров вместо Adobe Acrobat Reader и FlashPlayer стала Java, на которую были нацелены 4 из 5 наиболее часто используемых эксплойтов, а уже в первой половине 2012 вновь стали популярны эксплойты к продуктам Adobe.

TOP 5 эксплойтов, нацеленных на североамериканских и европейских пользователей

H2 2011

Название эксплойта Процент атакованных пользователей Уязвимое приложение
1 Exploit.Java.CVE-2010-4452.a 20,60% Oracle Java (JRE)
2 Exploit.JS.CVE-2010-4452.l 3,40% Oracle Java (JRE)
3 Exploit.JS.Pdfka.exr 3,00% Adobe PDF Reader
4 Exploit.JS.CVE-2010-4452.t 2,90% Oracle Java (JRE)
5 Exploit.Java.CVE-2010-0840.d 2,60% Oracle Java (JRE)

H1 2012

Название эксплойта Процент атакованных пользователей Уязвимое приложение
1 Exploit.JS.Pdfka.fhh 20,10% Adobe PDF Reader
2 Exploit.SWF.CVE-2011-0611.bt 10,80% Adobe Flash Player
3 Exploit.Java.CVE-2011-3544.ct 6,90% Oracle Java (JRE)
4 Exploit.JS.Agent.blb 5,60% Oracle Java (JRE)
5 Exploit.JS.Pdfka.fhp 4,70% Adobe PDF Reader

Обман поисковых систем

Второй распространенный прием — обман поисковых систем (Black Hat SEO). В результате применения этой технологии специально созданные сайты, содержащие вредоносный код, выводятся на первые строчки в поисковой выдаче.

Работники компаний, разрабатывающих поисковые машины, следят за тем, чтобы поиск был релевантным. Поэтому выводить вредоносные сайты в топ поисковой выдачи по запросам, задаваемым ежедневно, слишком хлопотно и, вероятно, неприбыльно. Злоумышленники нашли более эффективный способ: они оптимизируют свои сайты под запросы по горячим темам, т.е. под запросы, которые актуальны в краткий промежуток времени (например, кончина какого-либо известного лица или название нашумевшего фильма), и чистоту выдачи по которым не успевают проверить работники поисковых систем.

Спам

Спам в социальных сетях и твиттере — очень популярный у злоумышленников способ распространения вредоносных ссылок. В таком спаме тоже нередко используются горячие темы.

Недавно киберпреступники, атакующие пользователей западных стран, заново открыли для себя спам в электронной почте как способ доставки «опасных» грузов. В настоящее время почта в западных странах используется в основном для подтверждения регистрации в различных сервисах и коммуникации с банками, пенсионными фондами, магазинами, государственными организациями и так далее. Поэтому письма со зловредами злоумышленники маскируют под официальные уведомления от таких организаций. В первом полугодии 2012 среднемесячный процент сообщений с вредоносными вложениями от всех электронных сообщений колебался на уровне 2,8-4,3%, что значительно больше средних показателей последних трех лет.

Согласно нашей статистике, в первой половине 2012 года среди всех источников заражений доля электронной почты составила 2,5%. При этом учитывались только письма с вредоносными вложениями и скриптами (письма с опасными ссылками классифицируются как веб-атаки), и не учитывались письма, получаемые пользователями в почтовых веб-клиентах.

Инфраструктура злоумышленников

Киберпреступления невозможны без современной инфраструктуры: серверов управления, площадок распространения вредоносных программ, прокси-серверов, ботнетов. Все эти составляющие также имеют географическую специфику.

Вредоносные хостинги

В странах Западной Европы, США и в Канаде сильная законодательная база для борьбы с вредоносным контентом. Но как это ни парадоксально, в этих странах во втором полугодии 2012 года было расположено 69% всех вредоносных хостингов: то есть существенно больше половины вредоносных программ в интернете распространяется с серверов из этих регионов.


Распределение вредоносных хостингов по странам в 2010 – H1 2012 годах

Этому есть свое объяснение. Во-первых, в западных странах сосредоточено подавляющее большинство дата-центров в мире, которые предоставляют отказоустойчивый хостинг. Многие проекты выбирают именно такие хостинг-площадки. Киберпреступники взламывают такие серверы и получают качественный хостинг. Еще одно важное преимущество использования этих серверов заключается в том, что в ходе атаки заражение компьютера пользователя происходит с легального сайта, и это существенно затрудняет защиту.

Во-вторых, отличить киберпреступный сервер от обычного провайдеру очень и очень непросто. Поэтому хакеры без особых проблем пользуются услугами легальных провайдеров. Хотя хостинг в западных странах недешевый, доходы киберпреступников позволяют им выбирать качественные хостинг-площадки.

Доменные зоны

Для распространения зловредов злоумышленникам нужны не только физические серверы, но и доменные имена сайтов. Наибольшей популярностью у них пользуются имена сайтов в доменных зонах net, com, info и org. На эти зоны приходится 44,5% отраженных атак с вредоносных сайтов на пользователей из Северной Америки и Западной Европы.

Однако существует и множество национальных доменных зон, которые активно используют киберпреступники.


Top 15 национальных доменных зон, где расположены вредоносные сайты,
с которых производились атаки на североамериканских и западноевропейских пользователей

Пользователи из США, Канады и Западной Европы активно перенаправляются для заражения на сайты в доменных зонах Индии (.in), России (.ru) и Кокосовых островов (co.сс). Причем доменная зона co.cc, где можно зарегистрировать домен бесплатно, настолько замусорена, что в 2011 Google принял решение не индексировать сайты в ней, однако бесплатные домены все равно привлекают злоумышленников.

На четвертом и пятом местах расположились сайты в доменных зонах Испании (.com.es) и Италии (.it). Доменная зона Черногории — .me — выглядит так же, как английское «я», поэтому содержит множество англоязычных сайтов, таких как love.me. Похожая ситуация и с доменной зоной Италии (.it): многие компании используют английское «it» как часть названия сайта (do.it, get.it и т.п.). Поэтому сайты, взломанные или созданные злоумышленниками в этих доменных зонах, нацелены как на местных, так и на англоязычных пользователей.

Доменные зоны Европейского Союза (.eu), Германии (.de) и США (.us) замыкают десятку наиболее часто используемых злоумышленниками национальных доменных зон для атак на жителей Западной Европы и Северной Америки.

Ботнеты

Еще одной важной частью киберпреступной инфраструктуры в этом регионе являются ботсети, работающие в связке с партнерскими программами.

Партнерки — это схема, используемая киберпреступниками, при которой существует четкое разделение труда: есть разработчики вредоносных программ и их заказчики, готовые платить деньги за распространение зловредов; есть исполнители, которые распространяют вредоносные программы за деньги; есть организаторы партнерки, которые создают площадку для взаимодействия всех перечисленных групп.

Многие ботнеты являются огромной инсталляционной базой для других вредоносных программ. Боты разрабатываются специально для загрузки на зараженные ими компьютеры других зловредов по заказу «клиентов». Они могут скрывать присутствие загруженных программ в системе и иметь различные дополнительные «фишки». Примером такого бота может служить нашумевший TDSS, доставляющий на зараженный компьютер банкеры, dns-чейнджеры, лжеантивирусы. В 2011 году 41,5% зараженных TDSS компьютеров было расположено на территории Северной Америки и Западной Европы.

Заказчик может выбрать конкретные страны, в которых он хочет распространять свою вредоносную программу. Кстати, на первом месте по стоимости (и очевидно по ценности для киберпреступников) — установка в Европе и США, где заражение 1000 машин стоит около $100-150. Для сравнения: заражение компьютеров пользователей в Азии стоит в 10 (!) раз дешевле.

Заключение

Большинство стран Северной Америки и Западной Европы занимает первые строчки в рейтингах проникновения интернета, в них практически все хранят свои деньги на банковских счетах и для оплаты товаров и услуг онлайн активно пользуются карточками, привязанными к этим счетам.

Киберпреступники наживаются на пользователях рассматриваемых регионов в первую очередь с помощью кражи финансовой информации, за счет обмана пользователей и вымогательства денег. В этом регионе расположено большое количество компьютеров, зараженных ботами, которые собирают финансовые данные, распространяют лжеантивирусы и подменяют трафик пользователей. Цифры лишь подтверждают это: более 70% атак ботов Sinowal, более 40% атак ботов SpyEyes, собирающих финансовую информацию, и 67% случаев обнаружения лжеантивирусов в первом полугодии 2012 года пришлось на пользователей именно этого региона.

Зато если смотреть на инфраструктуру злоумышленников, то мы четко видим, что ботнетов, делающих черновую работу, такую как рассылка спама, DDoS-атаки, сокрытие сайтов злоумышленников здесь не так и много. (Где расположена основная часть компьютеров, выполняющих все эти действия, мы расскажем в следующей статье.)

Внедрение новых версий операционных систем в этих странах происходит быстрее, чем в других регионах мира, на многих компьютерах установлены антивирусные программы, правоохранительные органы ведут активную борьбу с киберпреступниками. Однако повышенная, по сравнению с другими странами мира, сложность проникновения вредоносных программ на компьютеры не останавливает киберпреступников, и они создают и обкатывают более изощренные технологии. Наиболее сложные троянцы на сегодняшний день (если, конечно, не брать в расчет программы, созданные спецслужбами) функционируют на территории именно этого региона. Пользователи Mac OS X, увы, тоже оказались под ударом: во время эпидемии mac-троянца FlashFake более 80% заражений пришлось на компьютеры в США, Канаде и странах западной Европы.

В этих регионах злоумышленники используют взломанные сайты и надежные хостинги для организации командных серверов и распространения вредоносных программ. Почти 70% попыток загрузки зловредов происходит с серверов, физически расположенных на территории западных стран.

Наше исследование показало, что в западных странах интернет используется злоумышленниками как основной вектор атаки. 80% всех отмеченных в регионе атак были организованы через Web. В результате по итогам первого полугодия более 40% компьютеров пользователей в Италии и Испании подверглись риску заражения в ходе интернет-серфинга, в Англии — 37% , во Франции — 36%, в Германии — 29%. За океаном дела обстоят примерно также: в США — 39% пользователей KSN хоть раз подвергались атаке через интернет, в Канаде — 37%.

Если прогнозируемый экономический кризис все же случится, то он повлияет и на ситуацию с кибербезопасностью в рассмотренных странах. В результате количество атакуемых компьютеров может увеличиться, а вот их защищенность наоборот снизится, так как люди будут экономить на обновлении компьютеров и покупке новых версий программ.

В обозримом будущем рост популярности банковских услуг у владельцев смартфонов и планшетов в сочетании с тем, что большое количество мобильных устройств не имеет антивирусной защиты, сделает сферу мобильного банкинга новым вектором атак для злоумышленников. При этом очевидно, что наиболее вероятной целью атак станут устройства под управлением Android OS.

Dr.Web

22 августа 2012 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — сообщает о появлении первого кросс-платформенного бэкдора, способного работать в операционных системах Linux и Mac OS X. Эта вредоносная программа предназначена для кражи паролей от ряда популярных интернет-приложений. BackDoor.Wirenet.1 — первый в своем роде троянец с подобным функционалом, способный одновременно работать в этих операционных системах.

Механизм распространения этого троянца, добавленного в вирусные базы Dr.Web под именем BackDoor.Wirenet.1, еще выясняется. Данная вредоносная программа является бэкдором, способным работать как в операционной системе Linux, так и в Mac OS X.

В момент запуска BackDoor.Wirenet.1 создает свою копию в домашней папке пользователя. Для взаимодействия с командным сервером, расположенным по адресу 212.7.208.65, вредоносная программа использует специальный алгоритм шифрования Advanced Encryption Standard (AES).

BackDoor.Wirenet.1 обладает функционалом кейлоггера (т. е. способен фиксировать нажатия пользователем клавиш и отправлять полученные данные злоумышленникам), кроме того, он крадет пароли, вводимые пользователем в браузерах Opera, Firefox, Chrome, Chromium, а также пароли от таких приложений, как Thunderbird, SeaMonkey, Pidgin. Антивирусное ПО производства компании «Доктор Веб» успешно распознает и удаляет этот бэкдор, в связи с чем данная угроза не представляет серьезной опасности для пользователей Антивируса Dr.Web для Mac OS X и Антивируса Dr.Web для Linux.

ИСТОЧНИК

Новый таргетированный бэкдор для Мака

«Лаборатория Касперского» сообщает об обнаружении
(http://www.securelist.com/ru/blog/207764062/Novyy_variant_bekdora_dlya_MacOS_X_primenyaemyy_v_APT_atakakh)
новой вредоносной программы, предназначенной для заражения компьютеров,
работающих под управлением операционной системы Mac OS X. Бэкдор
OSX.MaControl.b был использован, для проведения целенаправленной атаки
на группу уйгурских активистов, которые используют компьютеры Apple.
Троянец распространялся через электронную почту в виде заархивированного
вложения.

https://i2.wp.com/www.kaspersky.ru/images/news/mac123.png

(http://www.kaspersky.ru/images/news/mac123.png)

Вложенный ZIP-файл, содержащий фото
в формате JPG и вредоносное приложение для Mac OS X

Архив содержал фото в формате JPG и вредоносное приложение для Mac OS X.
Для того чтобы пользователь запустил исполняемый файл, хранящийся в
архиве с фотографией, злоумышленники использовали методы социальной
инженерии. После запуска бэкдор устанавливался в Mac-систему и
связывался с командным сервером для получения дальнейших инструкций. По
запросу вредоносная программа пересылала злоумышленникам списки
находящихся на компьютере жертвы файлов, при необходимости, сами файлы,
а также позволяла выполнять команды.

Проанализировав вредоносную программу, эксперты «Лаборатории
Касперского» пришли к выводу, что она представляет собой новую
версию бэкдора MaControl, а сервер, с которого осуществляется управление
троянцем, находится в Китае. В антивирусной базе «Лаборатории
Касперского» зловред имеет название Backdoor.OSX.MaControl.b.

«Многие пользователи отдают предпочтение компьютерам компании
Apple, потому что считают их более безопасными, — комментирует
результаты исследования нового Mac-троянца, руководитель центра
глобальных исследований и анализа угроз «Лаборатории
Касперского» Костин Райю (Raiu Costin). — Однако мы видим,
что рост популярности операционной системы Mac OS X приводит к
увеличению количества направленных на нее как массовых, так и
таргетированных атак. Злоумышленники будут продолжать совершенствовать
свои методы заражения пользователей, используя сочетание уязвимостей и
социальной инженерии, как сейчас это происходит с ПК».

Это далеко не первый случай выявления «Лабораторией
Касперского» целенаправленных атак на пользователей
Mac-компьютеров. В апреле этого года эксперты обнаружили
(http://www.kaspersky.ru/news?id=207733745) вредоносную программу SabPub
(http://www.securelist.com/ru/blog/207763949/SabPub_Mac_OS_X_Backdoor_Java_eksployty_tselevye_ataki_i_vozmozhnaya_APT_ataka),
предназначенную для заражения платформы Mac OS X через уязвимость одного
из приложений MS Office. После установки троянец передавал
злоумышленникам скриншоты с компьютера жертвы и позволял удаленно
выполнять команды.

История с троянцем Flashfake
(http://www.securelist.com/ru/blog/207763929/Flashfake_Mac_OS_X_botnet),
с помощью которого злоумышленники создали бот-сеть, насчитывающую более
700 тысяч Мас-компьютеров, является наиболее известным примером
заражения устройств компании Apple. Однако не стоит забывать, что
преступники проводят множество менее масштабных, целенаправленных атак.
Возможно, именно это послужило причиной того, что на прошлой неделе
Apple убрала
(http://www.wired.co.uk/news/archive/2012-06/26/macs-get-viruses) со
своего веб-сайта фразу о том, что Mac, в отличие от Windows, не
подвержен вирусным эпидемиям.

Более подробную информацию об атаках на платформу Mac OS X вы можете
получить на сайте www.securelist.com/ru
(http://www.securelist.com/ru/blog).

Эксперты «Лаборатории Касперского» провели исследование
киберугроз в апреле 2012 года. Аналитики пришли к выводу, что
необыкновенно высокая активность вредоносного ПО для Mac OS X,
отмеченная в марте, была лишь вершиной айсберга. В апреле произошли два
события, которые навсегда изменят взгляд на безопасность Mac OS X:
массовое применение эксплойтов и использование Mac OS X как части
APT-атаки — устойчивой угрозы повышенной сложности.

Если с сентября 2011 до февраля 2012 года для распространения
Mac-троянца Flashfake использовалась только социальная инженерия
(посетителям различных сайтов предлагалось загрузить поддельное
обновление Adobe Flash Player), то позже создатели этого троянца стали
использовать эксплойты для заражения компьютеров жертв. В результате
Flashback заразил свыше 700 000 ПК. «Лабораторией
Касперского» была создана бесплатная утилита для удаления
зловреда.

В апреле была обнаружена активная угроза класса APT — SabPub. Для
заражения пользовательских компьютеров применялись троянцы-бэкдоры двух
видов. Первый использовал для проникновения на компьютер эксплойт к
уязвимости в Microsoft Word. Второй был нацелен на платформу Mac OS X. В
данном случае использовался эксплойт к уязвимости в Java. После
заражения компьютера жертвы специально созданный бэкдор получал
возможность делать снимки экрана текущей пользовательской сессии и
выполнять на зараженном компьютере команды. В настоящее время группа
киберпреступников, стоящая за SabPub, продолжает атаковать
пользовательские компьютеры.

Кроме активно развивающихся угроз для Mac-компьютеров в апреле эксперты
«Лаборатории Касперского» обнаружили новую рассылку спама в
Twitter, в которой были задействованы свыше 500 000 взломанных учетных
записей. Посредством спама рассылались ссылки, перенаправлявшие
пользователей на вредоносные сайты с пакетом эксплойтов BlackHole. Сайты
устанавливали на компьютеры жертв лжеантивирусы, которые выглядят как
уведомления антивируса и призывают пользователя проверить систему на
вирусы.

В настоящее время большая часть вредоносного ПО для ОС Android имеет
довольно узкую локализацию, поскольку злоумышленники каждой конкретной
страны создают свой тип вредоносного ПО, нацеленного на жителей именно
этой страны. В начале апреля был обнаружен зловред нового типа для ОС
Android, который написан японскими вирусописателями для устройств на
базе Android, используемых в Японии. Этот зловред способен подключаться
к удаленному серверу. Если соединение установлено успешно, он загружает
видеофайл формата MP4. Он также может украсть важную информацию с
зараженного устройства, в том числе имена, адреса электронной почты и
номера телефонов из списка контактов жертвы. Зловред загружает
украденные данные на удаленный сервер.

Эксперты отмечают, что вредоносное ПО для мобильных устройств,
контролируемое посредством SMS-сообщений, становится все более и более
популярным. В апреле был обнаружен бэкдор, получивший название TigerBot.
После заражения приложение скрывает себя и не оставляет следов
присутствия на дисплее устройства. Если жертва проверит список
запущенных процессов, то может и не определить, что название
«System» принадлежит зловреду TigerBot. Вредоносное ПО
осуществляет перехват всех входящих SMS-сообщений и их проверку на
предмет присутствия особых команд.

С подробным обзором вирусной активности в апреле 2012 года можно
ознакомиться на www.securelist.ru

Эксперты «Лаборатории Касперского» провели детальный анализ
ботнета Flashfake/Flashback, по итогам которого было выявлено порядка
670 000 зараженных компьютеров, работающих под управлением Mac OS X. На
сегодняшний день это крупнейший в истории случай заражения компьютеров
компании Apple, которые до настоящего момента среди пользователей
считались мало подверженными атакам вредоносных программ. Один из
известных модулей Flashfake отвечает за подмену поискового трафика,
однако не исключено, что бот может загружать на зараженные компьютеры и
другие вредоносные модули, например, предназначенные для кражи
персональных данных или рассылки спама.

Для ликвидации последствий масштабного заражения Flashfake эксперты
«Лаборатории Касперского» создали специальный сайт
flashbackcheck.com, который позволяет владельцам компьютеров Mac
установить необходимые патчи и определить наличие бота, а также
бесплатную утилиту Kaspersky Flashfake Removal Tool, предназначенную для
его удаления. Kaspersky Flashfake Removal Tool

По данным «Лаборатории Касперского», первые варианты
Flashfake были обнаружены еще в сентябре 2011 года. В марте 2012 бот
заразил более 600 000 компьютеров по всему миру. На сегодняшний день
известно, что один из модулей занимается подменой поискового трафика,
показывая пользователю ложные результаты при использовании поисковых
систем. Таким образом, злоумышленники зарабатывают деньги на
«кликах». Однако в зависимости от целей преступников помимо
перехвата поискового трафика они могут загружать на зараженные
компьютеры и другие вредоносные модули, предназначенные для рассылки
спама, кражи персональной информации, включая логины и пароли от систем
онлайн-банкинга.

Основным способом заражения в марте 2012 стала эксплуатация уязвимостей
в Java. Авторы Flashfake используют различные сайты в Сети, при
обращении к которым происходит автоматическая загрузка и запуск
вредоносного файла на компьютере пользователя. Стоит отметить, что
наибольшее количество заражений было зафиксировано в США (300 917),
Канаде (94 625) и Великобритании (47 109), где традиционно широко
распространена продукция компании Apple. При этом Россия и страны СНГ
оказались практически не затронуты в ходе глобальной эпидемии Flashfake
и были отмечены в отчете аналитиков всего несколькими десятками ботов.

«Данный инцидент является самым масштабным за всю историю компании
Apple и свидетельствует о том, что количество Mac-пользователей уже
достигло необходимой «критической массы», чтобы привлечь
внимание вирусописателей, интерес которых к этой платформе со временем
будет только расти, — уверен Александр Гостев, главный
антивирусный эксперт «Лаборатории Касперского». — На
сегодняшний день в наших антивирусных базах содержится информация о
примерно четырехстах вредоносных программ для Mac OS. При этом более 70
из них было обнаружено за последние три месяца».

Для того чтобы провести проверку на заражение и произвести лечение,
необходимо:
* На сайте www.flashbackcheck.com указать уникальный
аппаратный идентификационный номер Вашего компьютера (UUID)
* Если Ваш
компьютер заражен:
* Скачайте и запустите бесплатную утилиту Kaspersky
Flashfake Removal Tool.
* Или установите пробную версию Антивируса
Касперского 2011 для Mac, действительную в течение 30 дней.

Более подробная информация о результатах исследования ботнета Flashfake
доступна на сайте www.securelist.com/ru/blog.