• Авторизация
Дневник Лента друзей / Полная версия Добавить в друзья Страницы: раньше»


«Доктор Веб»: обзор вирусной активности для мобильных устройств в I квартале 2025 года rss_drweb_about_virs 27-03-2025 03:00


27 марта 2025 года

Согласно данным статистики детектирований Dr.Web Security Space для мобильных устройств, в I квартале 2025 года рекламные трояны Android.HiddenAds остались наиболее распространенными вредоносными программами для ОС Android. При этом по сравнению с IV кварталом прошлого года они обнаруживались на защищаемых устройствах более чем в 2 раза чаще. Второе место вновь досталось вредоносным приложениям Android.FakeApp, которые злоумышленники используют в различных мошеннических схемах; их активность возросла почти на 8%. Третьими стали рекламные трояны семейства Android.MobiDash — число их детектирований возросло почти в 5 раз.

Похожая динамика наблюдалась и среди многих банковских троянов. Так, был зафиксирован рост числа атак представителей семейств Android.BankBot и Android.Banker — на 20,68% и 151,71% соответственно. В то же время трояны Android.SpyMax, активность которых росла практически в течение всего 2024 года, детектировались на 41,94% реже, чем кварталом ранее.

В течение последних 3 месяцев специалисты «Доктор Веб» выявили десятки новых угроз в каталоге Google Play. Наряду с традиционно большим количеством троянов Android.FakeApp наша вирусная лаборатория зафиксировала там вредоносные программы для кражи криптовалют, а также очередные трояны, демонстрирующие навязчивую рекламу.

ГЛАВНЫЕ ТЕНДЕНЦИИ I КВАРТАЛА

  • Рост активности рекламных троянов
  • Увеличение числа атак банкеров Android.BankBot и Android.Banker
  • Снижение активности троянов-шпионов Android.SpyMax
  • В Google Play появилось множество новых вредоносных приложений

По данным Dr.Web Security Space для мобильных устройств

Android.HiddenAds.657.origin
Android.HiddenAds.655.origin
Android.HiddenAds.4214
Троянские программы для показа навязчивой рекламы. Представители семейства Android.HiddenAds часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.
Android.FakeApp.1600
Троянская программа, которая загружает указанный в ее настройках веб-сайт. Известные модификации этого вредоносного приложения загружают сайт онлайн-казино.
Android.MobiDash.7859
Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.
Читать далее...
комментарии: 0 понравилось! вверх^ к полной версии
«Доктор Веб»: обзор вирусной активности в I квартале 2025 года rss_drweb_about_virs 27-03-2025 03:00


27 марта 2025 года

Согласно статистике детектирований антивируса Dr.Web, в I квартале 2025 года общее число обнаруженных угроз увеличилось на 7,23% по сравнению с IV кварталом 2024. В то же время число уникальных угроз сократилось почти на треть — на 27,59%. Это говорит о том, что злоумышленники, несколько увеличив интенсивность атак, чаще задействовали в них одни и те же вредоносные и нежелательные программы. Наибольшее распространение получили вредоносные скрипты различной функциональности, а также рекламные трояны и рекламное ПО.

В почтовом трафике чаще всего обнаруживались трояны-дропперы и загрузчики, рекламное ПО, вредоносные скрипты, а также трояны, предназначенные для запуска различных угроз на атакуемых компьютерах.

Пользователи, чьи файлы были затронуты троянами-шифровальщиками, чаще всего сталкивались с энкодерами Trojan.Encoder.35534, Trojan.Encoder.35209 и Trojan.Encoder.35067.

В январе вирусная лаборатория «Доктор Веб» выявила активную кампанию по добыче криптовалюты Monero, организованную с использованием множества различных вредоносных программ. Для маскировки некоторых из них злоумышленники применили стеганографию — прием, позволяющий скрывать одни данные среди других (например, в изображениях).

Вместе с тем в течение I квартала наши интернет-аналитики фиксировали увеличение числа мошеннических сайтов, направленных на кражу учетных записей пользователей мессенджера Telegram.

В сегменте мобильных угроз наблюдался рост активности рекламных троянов и некоторых семейств банковских троянов для ОС Android. При этом специалисты компании «Доктор Веб» выявили десятки новых вредоносных приложений в каталоге Google Play.

Главные тенденции I квартала

  • Рост числа угроз, выявленных на защищаемых устройствах
  • Снижение числа уникальных угроз, задействованных в атаках
  • Увеличение числа фишинговых сайтов, созданных для кражи учетных записей Telegram
  • Рост активности ряда распространенных семейств рекламных и банковских троянов для ОС Android
  • Появление новых вредоносных программ в Google Play

По данным сервиса статистики «Доктор Веб»

Наиболее распространенные угрозы I квартала 2025 года:

VBS.KeySender.6
Вредоносный скрипт, который в бесконечном цикле ищет окна с текстом mode extensions, разработчика и розробника и шлет им событие нажатия кнопки Escape, принудительно закрывая их.
Adware.Downware.20091
Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.
Trojan.BPlug.4242
Детектирование вредоносного компонента браузерного расширения WinSafe. Этот компонент представляет собой сценарий JavaScript, который демонстрирует навязчивую рекламу в браузерах.
JS.Siggen5.44590
Вредоносный код, добавленный в публичную JavaScript-библиотеку es5-ext-main. Демонстрирует определенное сообщение, если пакет установлен на сервер с часовым поясом российских городов.
Trojan.Siggen30.53926
Хост-процесс модифицированного злоумышленниками фреймворка Electron, мимикрирующий под компонент приложения Steam (Steam Client WebHelper) и загружающий JavaScript-бэкдор.

Статистика вредоносных программ в почтовом трафике

JS.Siggen5.44590
Вредоносный код, добавленный в публичную JavaScript-библиотеку es5-ext-main. Демонстрирует определенное сообщение, если пакет установлен на сервер с часовым поясом российских городов.
JS.Inject
Семейство вредоносных сценариев, написанных на языке JavaScript. Они встраивают вредоносный скрипт в HTML-код
Читать далее...
комментарии: 0 понравилось! вверх^ к полной версии

«Доктор Веб»: обзор вирусной активности за 2024 год rss_drweb_about_virs 30-01-2025 03:00


30 января 2025 года

В 2024 году среди самых распространенных угроз вновь оказались вредоносные программы, созданные с использованием скриптового языка AutoIt и распространяемые в составе другого вредоносного ПО для затруднения его обнаружения. Наблюдалась высокая активность рекламных троянов и различных вредоносных скриптов. В почтовом трафике чаще всего также детектировались вредоносные скрипты. Кроме того, посредством нежелательных писем распространялись всевозможные троянские программы, фишинговые документы и эксплойты, позволяющие выполнять произвольный код.

Среди мобильных угроз наибольшее распространение получили рекламные троянские программы, трояны-шпионы и нежелательное рекламное ПО. В течение года наблюдался рост активности мобильных банковских троянов. При этом наша вирусная лаборатория обнаружила сотни новых вредоносных и нежелательных программ в каталоге Google Play.

Интернет-аналитики отмечали высокую активность сетевых мошенников, арсенал которых пополнился новыми схемами обмана.

По сравнению с 2023 годом сократилось число обращений пользователей за расшифровкой файлов, пострадавших от действий троянов-энкодеров. Вместе с тем наши специалисты наблюдали множество событий, связанных с информационной безопасностью. В течение года компания «Доктор Веб» расследовала несколько таргетированных атак, выявила очередное заражение ТВ-приставок, работающих на базе ОС Android, а также отразила атаку на собственную инфраструктуру.

Главные тенденции года

  • Сохранение высокой активности троянов, созданных с использованием скриптового языка AutoIt
  • Одними из самых распространенных угроз были вредоносные скрипты
  • Среди почтовых угроз преобладали вредоносные скрипты и различные троянские программы
  • Зафиксированы новые таргетированные атаки
  • Злоумышленники стали чаще эксплуатировать технологию eBPF для сокрытия вредоносной активности
  • Снижение числа запросов на расшифровку файлов, пострадавших от троянов-вымогателей
  • Высокая активность интернет-мошенников
  • Мобильные банковские трояны стали применяться чаще
  • Обнаружение множества новых угроз в каталоге Google Play

Наиболее интересные события 2024 года

В январе специалисты «Доктор Веб» сообщили о трояне-майнере Trojan.BtcMine.3767, скрытом в пиратских программах, которые распространялись через специально созданный Telegram-канал и ряд интернет-сайтов. Вредоносная программа заразила десятки тысяч Windows-компьютеров. Для закрепления в атакуемой системе она создавала в планировщике задачу на собственный автозапуск и добавляла себя в исключения антивируса Windows Defender. Затем она внедряла в процесс explorer.exe (Проводник Windows) компонент, непосредственно отвечавший за добычу криптовалюты. Trojan.BtcMine.3767 также позволял выполнять ряд других вредоносных действий — например, устанавливать бесфайловый руткит, блокировать доступ к сайтам и запрещать обновления операционной системы.

В марте наша компания опубликовала исследование целевой атаки на российское предприятие машиностроительного сектора. Расследование инцидента выявило многоступенчатый вектор заражения и использование злоумышленниками сразу нескольких вредоносных приложений. Наибольший интерес представлял бэкдор JS.BackDoor.60, через который проходило основное взаимодействие между атакующими и зараженным компьютером. Этот троян использует собственный фреймворк на языке JavaScript и состоит из основного тела и вспомогательных модулей. Он позволяет красть файлы с зараженных устройств, отслеживать вводимую на клавиатуре информацию, создавать скриншоты, загружать собственные обновления и расширять функциональность через загрузку новых модулей.

В мае вирусные аналитики «Доктор Веб» выявили трояна-кликера

Читать далее...
комментарии: 0 понравилось! вверх^ к полной версии
«Доктор Веб»: обзор вирусной активности для мобильных устройств за 2024 год rss_drweb_about_virs 30-01-2025 03:00


30 января 2025 года

В 2024 году самыми распространенными Android-угрозами вновь стали рекламные трояны. При этом по сравнению с годом ранее возросла активность мошеннического ПО, троянов-вымогателей, кликеров и банковских троянов. Среди последних большее распространение по сравнению с 2023 годом получили более простые банковские трояны, которые похищают только учетные данные для входа в онлайн-банк и коды подтверждений из СМС.

Среди нежелательных программ наибольшую активность проявили приложения, предлагающие пользователям выполнять различные задания за виртуальные вознаграждения, которые затем якобы можно перевести в реальные деньги. Самыми детектируемыми потенциально опасными программами стали утилиты, позволяющие запускать Android-приложения без их установки. А наиболее активным рекламным ПО оказались специальным образом модифицированные версии мессенджера WhatsApp, в функции которых внедрен код для загрузки рекламных ссылок.

В течение года вирусные аналитики компании «Доктор Веб» обнаружили сотни новых угроз в каталоге Google Play, которые суммарно были загружены свыше 26 700 000 раз. Среди них были вредоносные программы, в том числе троян-шпион, а также нежелательные и рекламные приложения.

Наши специалисты также выявили новую атаку на ТВ-приставки на базе Android — около 1 300 000 устройств пострадали от бэкдора, который заражал системную область и по команде злоумышленников мог скачивать и устанавливать стороннее ПО.

Кроме того, вирусные аналитики «Доктор Веб» отмечали рост популярности ряда техник, направленных на усложнение анализа вредоносных Android-программ и обхода их детектирования антивирусами. Они включали различные манипуляции с форматом ZIP-архивов (формат ZIP является основой для APK-файлов Android-приложений), манипуляции с файлом конфигурации программ AndroidManifest.xml и другие. Чаще всего эти приемы встречались в банковских троянах.

ТЕНДЕНЦИИ ПРОШЕДШЕГО ГОДА

  • Демонстрирующие рекламу вредоносные программы остались наиболее распространенными угрозами
  • Рост активности банковских троянов
  • Киберпреступники стали чаще использовать простые банковские трояны Android.Banker, которые похищают только данные для входа в учетные записи онлайн-банка, а также проверочные коды из СМС
  • Злоумышленники стали чаще прибегать к манипуляции форматом APK-приложений и их структурных компонентов для обхода детектирования и усложнения анализа вредоносных программ
  • Рост числа детектирований троянов-вымогателей Android.Locker и троянов-кликеров Android.Click
  • Появление множества новых угроз в каталоге Google Play

Наиболее интересные события 2024 года

В мае прошлого года эксперты компании «Доктор Веб» рассказали о трояне-кликере Android.Click.414.origin, найденном в приложении для управления секс-игрушками и в ПО для отслеживания физической активности. Обе программы распространялись через каталог Google Play и суммарно были установлены более 1 500 000 раз. Android.Click.414.origin имел модульную архитектуру и с помощью своих компонентов выполнял определенные задачи. Так, троян незаметно открывал рекламные сайты и совершал на них различные действия. Например, он мог прокручивать содержимое страниц, вводить текст в формы, отключать звук на веб-страницах и создавать их скриншоты для анализа содержимого и последующего выполнения кликов на нужных областях. Кроме того, Android.Click.414.origin передавал на управляющий сервер подробную информацию о зараженном устройстве. При этом кликер целенаправленно не атаковал определенных пользователей — он не запускался на устройствах, где был установлен китайский язык интерфейса.

Читать далее...
комментарии: 0 понравилось! вверх^ к полной версии
Доктор, откуда у вас такие картинки? Использование стеганографии при добыче криптовалюты rss_drweb_about_virs 24-01-2025 16:00


24 января 2025 года

В ходе анализа данных телеметрии специалисты вирусной лаборатории «Доктор Веб» выявили образцы вредоносного ПО, которые при ближайшем рассмотрении оказались компонентами активной кампании по майнингу криптовалюты Monero. Эта кампания примечательна тем, что реализована в виде ряда вредоносных цепочек, две из которых построены на запуске скриптов, извлекающих вредоносную нагрузку из файлов изображений в формате BMP.

Начало кампании было положено, вероятно, в 2022 году, когда был обнаружен исполняемый файл Services.exe, являющийся .NET-приложением, запускающим сценарий VBscript. Этот сценарий реализует функции бэкдора, связываясь с сервером злоумышленников и выполняя скрипты и файлы, присланные в ответ. Так, на компьютер жертвы скачивался вредоносный файл ubr.txt, являвшийся скриптом для интерпретатора PowerShell, у которого было изменено расширение с ps1 на txt.

Скрипт ubr.txt проверяет наличие майнеров, которые могли быть уже установлены на скомпрометированной машине, и заменяет их на необходимые злоумышленникам версии. Устанавливаемые скриптом файлы представляют собой майнер SilentCryptoMiner и его настройки, с помощью которого хакеры добывали криптовалюту Monero.

Мы уже неоднократно писали об использовании этого майнера злоумышленниками, для которых привлекательна его простота конфигурации, расширенные возможности по добыче различных типов криптовалют и маскировке от диагностических утилит, а также поддержка удаленного управления всеми майнерами в ботнете посредством веб-панели.

В рамках этой кампании файлы майнера маскируются под различное ПО, в частности для проведения видеозвонков в Zoom (ZoomE.exe и ZoomX.exe) или службы Windows (Service32.exe и Service64.exe) и т. д. Несмотря на то, что существует несколько наборов вредоносных файлов, имеющих разные имена, все они выполняют одинаковые задачи — удаление других майнеров, установка нового майнера и доставка обновлений для него.

#drweb

PowerShell-скрипт ubr.txt

Дополнительно майнер обращается к домену getcert[.]net, на котором расположен файл m.txt с настройками добычи криптовалюты. Этот ресурс также задействован и в других цепочках.

#drweb

Файл m.txt, содержащий настройки майнера

В дальнейшем мошенники видоизменили методологию атаки, сделав её значительно более интересной и подключив средства стеганографии.

Стеганография — метод сокрытия одной информации внутри другой. В отличие от криптографии, когда зашифрованные данные могут привлечь внимание, стеганография позволяет незаметно скрыть информацию, например, в изображении. Многие эксперты по кибербезопасности полагают, что популярность использования стеганографии для обхода средств защиты будет набирать обороты.

#drweb

#drweb

Изображение слева (автор исходного фото: Marek Piwnicki) содержит в себе скрытое изображение с логотипом компании «Доктор Веб»

Вторая, более новая, цепочка реализована посредством трояна Amadey, который запускает PowerShell-скрипт Async.ps1, скачивающий изображения в формате BMP с легитимного хостинга изображений imghippo.com. С помощью стеганографических алгоритмов из изображений извлекаются два исполняемых файла: стилер Trojan.PackedNET.2429 и полезная нагрузка, которая:

  • отключает запрос UAC на повышение прав для администраторов,
  • вносит множество исключений во
Читать далее...
комментарии: 0 понравилось! вверх^ к полной версии
«Доктор Веб»: обзор вирусной активности в IV квартале 2024 года rss_drweb_about_virs 26-12-2024 22:00


26 декабря 2024 года

Согласно статистике детектирований антивируса Dr.Web, в IV квартале 2024 года общее число обнаруженных угроз снизилось на 1,53% по сравнению с III кварталом. При этом число уникальных угроз увеличилось на 94,43%. Чаще всего детектировались рекламные приложения и рекламные трояны, вредоносные скрипты, а также трояны, распространяющиеся в составе других вредоносных приложений и применяющиеся для затруднения их обнаружения. В почтовом трафике наиболее часто выявлялись вредоносные скрипты, рекламные трояны и трояны-майнеры. Кроме того, отмечалась повышенная активность вредоносных программ со шпионской функциональностью.

Пользователи, чьи файлы были затронуты троянами-шифровальщиками, чаще всего сталкивались с энкодерами Trojan.Encoder.35534, Trojan.Encoder.35067 и Trojan.Encoder.26996.

На Anroid-устройствах самыми распространенными угрозами вновь стали рекламные трояны Android.HiddenAds. В то же время наши вирусные аналитики выявили в каталоге Google Play множество новых вредоносных программ.

Главные тенденции IV квартала

  • Рекламные приложения и рекламные трояны остались лидерами по числу детектирований
  • Уникальных угроз по сравнению с предыдущим кварталом стало больше
  • Повышенная активность троянских программ-шпионов в почтовом трафике
  • Распространение множества троянских программ через Google Play

По данным сервиса статистики «Доктор Веб»

Наиболее распространенные угрозы IV квартала:

Adware.Downware.20091
Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.
VBS.KeySender.6
Вредоносный скрипт, который в бесконечном цикле ищет окна с текстом mode extensions, разработчика и розробника и шлет им событие нажатия кнопки Escape, принудительно закрывая их.
JS.Siggen5.44590
Вредоносный код, добавленный в публичную JavaScript-библиотеку es5-ext-main. Демонстрирует определенное сообщение, если пакет установлен на сервер с часовым поясом российских городов.
Trojan.BPlug.4210
Детектирование вредоносного компонента браузерного расширения WinSafe. Этот компонент представляет собой сценарий JavaScript, который демонстрирует навязчивую рекламу в браузерах.
Trojan.Starter.8242
Вредоносная программа, обеспечивающая запуск трояна-майнера.

Статистика вредоносных программ в почтовом трафике

JS.Siggen5.44590
Вредоносный код, добавленный в публичную JavaScript-библиотеку es5-ext-main. Демонстрирует определенное сообщение, если пакет установлен на сервер с часовым поясом российских городов.
JS.Inject
Семейство вредоносных сценариев, написанных на языке JavaScript. Они встраивают вредоносный скрипт в HTML-код веб-страниц.
LNK.Starter.56
Детектирование специальным образом сформированного ярлыка, который распространяется через съемные накопители и для введения пользователей в заблуждение имеет значок диска. При его открытии происходит запуск вредоносных VBS-скриптов из скрытого каталога, расположенного на том же носителе, что и сам ярлык.
Win32.HLLW.Rendoc.3
Сетевой червь, распространяющийся в том числе через съемные носители информации.
Trojan.Fbng.123
Троянская программа-шпион, также известная как Formbook. Предназначена для кражи различных данных с зараженных устройств. Она похищает сохраненные пароли в браузерах, email-клиентах,
Читать далее...
комментарии: 0 понравилось! вверх^ к полной версии
«Доктор Веб»: обзор вирусной активности для мобильных устройств в IV квартале 2024 года rss_drweb_about_virs 26-12-2024 04:00


26 декабря 2024 года

Согласно данным статистики детектирований Dr.Web Security Space для мобильных устройств, в IV квартале 2024 года наиболее распространенными вредоносными программами стали рекламные трояны Android.HiddenAds. За ними расположились используемые в мошеннических целях вредоносные приложения Android.FakeApp. Тройку лидеров замыкали трояны Android.Siggen с различной вредоносной функциональностью.

В течение квартала вирусные аналитики компании «Доктор Веб» выявили множество угроз в каталоге Google Play. Среди них были многочисленные трояны Android.FakeApp, а также вредоносные программы семейств Android.Subscription и Android.Joker, которые подписывали пользователей на платные услуги. Были зафиксированы очередные рекламные трояны Android.HiddenAds. Кроме того, злоумышленники распространяли вредоносные приложения, защищенные сложным упаковщиком.

ГЛАВНЫЕ ТЕНДЕНЦИИ IV КВАРТАЛА

  • Высокая активность рекламных троянов Android.HiddenAds и мошеннических программ Android.FakeApp
  • Распространение множества вредоносных приложений через каталог Google Play

По данным Dr.Web Security Space для мобильных устройств

Android.FakeApp.1600
Троянская программа, которая загружает указанный в ее настройках веб-сайт. Известные модификации этого вредоносного приложения загружают сайт онлайн-казино.
Android.HiddenAds.655.origin
Android.HiddenAds.657.origin
Троянские программы для показа навязчивой рекламы. Представители семейства Android.HiddenAds часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.
Android.Packed.57083
Детектирование вредоносных приложений, защищенных программным упаковщиком ApkProtector. Среди них встречаются банковские трояны, шпионское и другое вредоносное ПО.
Android.Click.1751
Троян, встраиваемый в модификации мессенджера WhatsApp и маскирующийся под классы библиотек от Google. Во время использования приложения-носителя Android.Click.1751 делает запросы к одному из управляющих серверов. В ответ троян получает две ссылки, одна из которых предназначена для русскоязычных пользователей, а другая - для всех остальных. Затем он демонстрирует диалоговое окно с полученным от сервера содержимым и после нажатия пользователем на кнопку подтверждения загружает соответствующую ссылку в браузере.
Читать далее...
комментарии: 0 понравилось! вверх^ к полной версии
Популяризация технологии eBPF и другие тренды в трояностроении rss_drweb_about_virs 10-12-2024 13:26


10 декабря 2024 года

Исследование очередного киберинцидента позволило вирусным аналитикам «Доктор Веб» выявить идущую хакерскую кампанию, в ходе которой проявились многие современные тенденции, применяемые злоумышленниками.

В компанию «Доктор Веб» обратился клиент, который заподозрил факт взлома своей компьютерной инфраструктуры. Выполняя анализ полученных данных, наши вирусные аналитики выявили ряд аналогичных случаев заражения, что позволило сделать вывод о проведении активной кампании. Усилия хакеров в основном сосредоточены на регионе Юго-Восточной Азии. В ходе атак они применяют целый комплекс вредоносного ПО, которое задействуется на разных этапах. К сожалению, нам не удалось однозначно определить то, как был получен изначальный доступ к скомпрометированным машинам. Однако мы смогли восстановить всю дальнейшую картину атаки. Наиболее примечательна эксплуатация злоумышленниками технологии eBPF (extended Berkeley Packet Filter).

Технология eBPF была разработана с целью расширения возможностей контроля над сетевой подсистемой ОС Linux и работой процессов. Она продемонстрировала довольно большой потенциал, что привлекло внимание крупных IT-компаний: практически с самого момента ее появления в фонд eBPF Foundation вошли такие гиганты как Google, Huawei, Intel и Netflix, принявшие участие в ее дальнейшей разработке. Однако еBPF заинтересовались и хакеры.

Предоставляя обширные низкоуровневые возможности, EBPF может использоваться злоумышленниками для сокрытия сетевой активности и процессов, сбора конфиденциальной информации, а также обхода сетевых экранов и систем обнаружения вторжений. Высокая сложность детектирования такого вредоносного ПО позволяет использовать его в рамках целевых АРТ-атак и в течение долгого времени маскировать активность хакеров.

Именно такими возможностями и решили воспользоваться злоумышленники, загрузив на скомпрометированную машину сразу два руткита. Первым устанавливался eBPF-руткит, который скрывал факт работы другого руткита, выполненного в виде модуля ядра, а тот, в свою очередь, подготавливал систему к установке трояна удаленного доступа. Особенностью трояна является поддержка ряда технологий туннелирования трафика, что позволяет ему связываться со злоумышленниками из приватных сегментов сети и маскировать передачу команд.

Использование вредоносного eBPF ПО набирает обороты с 2023 года. Об этом свидетельствует появление на свет нескольких семейств вредоносного ПО, основанных на данной технологии, среди которых можно отметить Boopkit, BPFDoor и Symbiote. А регулярное выявление уязвимостей лишь усугубляет ситуацию. Так, на сегодняшний день известны 217 уязвимостей BPF, причем около 100 из них датированы 2024 годом.

Следующей необычной особенностью кампании является довольно креативный подход к хранению настроек трояна. Если раньше для подобных нужд чаще всего использовались выделенные серверы, то теперь все чаще можно встретить случаи, когда конфигурация вредоносного ПО хранится в открытом доступе на публичных площадках. Так, исследуемое ПО обращалось к платформам Github и даже к страницам одного китайского блога. Такая особенность позволяет меньше привлекать внимание к трафику скомпрометированной машины — ведь та взаимодействует с безопасным узлом сети, — а также не заботиться о поддержании доступа к управляющему серверу с настройками. В целом идея использования публично-доступных сервисов в качестве управляющей инфраструктуры не нова, и ранее хакеры уже применяли для этой цели Dropbox, Google Drive, OneDrive и даже Discord. Однако региональные блокировки этих сервисов в ряде стран, в первую очередь в Китае, делают их менее привлекательными с точки зрения доступности. При этом доступ к Github сохраняется у большинства провайдеров, что делает его предпочтительным в глазах взломщиков.

Настройки, хранящиеся на Gitlab и в блоге, посвященном безопасности. Курьезно, что во втором случае взломщик просит помощи в расшифровке стороннего кода, который в дальнейшем будет отправляться трояну в качестве аргумента одной из команд

Ещё одной особенностью данной кампании стало применение трояна в составе фреймворка для постэксплуатации, то есть комплекса ПО, применяемого на дальнейших этапах атаки после получения доступа к компьютеру. Сами по себе такие фреймворки не являются чем-то запрещённым — их используют компании, официально предоставляющие услуги по аудиту безопасности.

Читать далее...
комментарии: 0 понравилось! вверх^ к полной версии
В ходе кампании по распространению трояна для добычи и кражи криптовалюты пострадали более 28 тысяч пользователей rss_drweb_about_virs 08-10-2024 16:41


8 октября 2024 года

Вирусные аналитики компании «Доктор Веб» выявили идущую масштабную кампанию по распространению вредоносного ПО для добычи и кражи криптовалюты, в рамках которой трояны доставлялись на машины жертв под видом офисных программ, читов для игр и ботов для онлайн-трейдинга.

В ходе рутинного анализа облачной телеметрии, поступающей от наших пользователей, специалисты вирусной лаборатории Доктор Веб выявили подозрительную активность программы, замаскированной под компонент ОС Windows (StartMenuExperienceHost.exe, легитимный процесс с таким именем отвечает за управление меню Пуск). Эта программа связывалась с удаленным сетевым узлом и ждала подключения извне для того, чтобы сразу же запустить интерпретатор командной строки cmd.exe.

Замаскированной под системный компонент была сетевая утилита Ncat, которая используется в правомерных целях для передачи данных по сети посредством командной строки. Именно эта находка помогла восстановить последовательность событий безопасности, среди которых были попытки заражения компьютеров вредоносным ПО, предотвращенные антивирусом Dr.Web.

#drweb

#drweb

#drweb

Источником заражения являются мошеннические сайты, которые злоумышленники создают на платформе GitHub (оговоримся, что такая деятельность запрещена правилами платформы), и запуск скачанных оттуда программ. Альтернативно, ссылки на вредоносное ПО могут быть закреплены в описаниях под видео на хостинге Youtube. При клике по ссылке скачивается самораспаковывающийся зашифрованный архив, защищенный паролем, что предотвращает его автоматическое сканирование антивирусами. После ввода пароля, который хакеры указывают на странице скачивания, на компьютере жертвы в папку %ALLUSERSPROFILE%\jedist распаковывается следующий набор временных файлов:

  • UnRar.exe — распаковщик архивов RAR;
  • WaR.rar — архив RAR;
  • Iun.bat — сценарий, который создает задачу на выполнение скрипта Uun.bat, инициирует перезагрузку компьютера и удаляет себя;
  • Uun.bat — обфусцированный скрипт, который распаковывает файл WaR.rar, запускает находящиеся в нем файлы ShellExt.dll и UTShellExt.dll, после чего удаляет задачу, созданную Iun.bat и папку jedist вместе с ее содержимым.

Файл ShellExt.dll представляет собой интерпретатор языка AutoIt и сам по себе не является вредоносным. Однако, это не его настоящее имя. Злоумышленники переименовали исходный файл с именем AutoIt3.exe в ShellExt.dll для маскировки под библиотеку программы WinRAR, которая отвечает за интеграцию функций архиватора в контекстное меню Windows. После своего запуска интерпретатор в свою очередь загружает файл UTShellExt.dll, который был позаимствован мошенниками у утилиты Uninstall Tool. К этой библиотеке, подписанной действительной цифровой подписью, они «пришили» вредоносный AutoIt скрипт. После его выполнения происходит распаковка полезной нагрузки, все файлы которой сильно обфусцированы.

Язык AutoIt является языком программирования для создания скриптов автоматизации и утилит для ОС Windows. Простота освоения и широкая функциональность сделали его популярным среди разных категорий пользователей, в том числе и вирусописателей. Некоторые антивирусные программы детектируют любой скомпилированный скрипт AutoIt как вредоносный.

Файл UTShellExt.dll выполняет следующие действия:

  1. Ищет запущенное отладочное ПО в списке процессов. В скрипте содержатся названия примерно 50 различных утилит, используемых для отладки, и при выявлении хотя бы одного процесса из этого списка, скрипт завершает свою работу
  2. Если отладочное ПО не найдено, в скомпрометированную систему распаковываются файлы, необходимые для продолжения атаки. Часть файлов является «чистой», они необходимы для реализации сетевого взаимодействия, а остальные выполняют вредоносные действия
  3. Создает системные события для обеспечения сетевого доступа с помощью Ncat и загрузки BAT и DLL файлов, а также вносит изменения в реестр для реализации перехвата запуска
Читать далее...
комментарии: 0 понравилось! вверх^ к полной версии
Приманка для злоумышленников: сервер с уязвимой версией базы данных Redis позволил выявить новую модификацию руткита для сокрытия процесса добычи криптовалюты rss_drweb_about_virs 03-10-2024 06:00


3 октября 2024 года

Вирусные аналитики компании «Доктор Веб» выявили новую модификацию руткита, устанавливающую на скомпрометированные машины с ОС Linux троян-майнер Skidmap. Этот руткит выполнен в виде вредоносного модуля ядра, который скрывает деятельность майнера, подменяя информацию о загрузке процессора и сетевой активности. Данная атака является массовой и направлена преимущественно на корпоративный сектор — крупные серверы и облачные среды, — так как именно с подобными ресурсами эффективность майнинга будет максимальной.

Система управления базами данных Redis является одной из самых популярных в мире: серверы Redis используются такими крупными компаниями как Х (ранее Twitter), AirBnB, Amazon и др. Преимущества системы очевидны: максимальное быстродействие, минимальные требования к ресурсам, поддержка различных типов данных и языков программирования. Однако у данного продукта есть и минусы: поскольку изначальное применение Redis не предполагало его установку на сетевой периферии, в конфигурации по умолчанию поддерживаются только базовые функции обеспечения безопасности, а в версиях до 6.0 отсутствуют механизмы контроля доступа и шифрования. Кроме того, ежегодно в профильных СМИ появляются сообщения о выявлении в Redis уязвимостей. Например, в 2023 году их было зафиксировано 12, три из которых имели статус «Серьезные». Участившиеся сообщения о компрометации серверов с последующей установкой программ для майнинга заинтересовали специалистов вирусной лаборатории «Доктор Веб», у которых возникло желание непосредственно пронаблюдать за данной атакой. Для этого было принято решение запустить свой сервер Redis с отключенной защитой и ждать непрошеных гостей. В течение года ежемесячно на сервер предпринимались от 10 до 14 тысяч атак, а недавно на сервере было обнаружено присутствие вредоносного ПО Skidmap, на что и рассчитывали наши аналитики. Однако неожиданным стало то, что в этом случае киберпреступники воспользовались новым методом сокрытия активности майнера, а заодно установили сразу четыре бэкдора.

Первые сообщения о трояне Skidmap появились в 2019 году. Данный троян-майнер имеет определенную специализацию и встречается в основном в корпоративных сетях, так как наибольшую отдачу от скрытного майнинга можно получить именно в enterprise-сегменте. Несмотря на то, что с момента появления трояна прошло уже пять лет, принцип его работы остается без изменений: он устанавливается в систему посредством эксплуатации уязвимостей или неправильных настроек ПО. В случае нашего сервера-приманки хакеры добавили в системный планировщик cron задачи, в рамках которых каждые 10 минут запускался скрипт, скачивающий дроппер Linux.MulDrop.142 (или другую его модификацию — Linux.MulDrop.143). Данный исполняемый файл проверяет версию ядра ОС, отключает защитный модуль SELinux, а затем распаковывает в системе файлы руткита Linux.Rootkit.400, майнера Linux.BtcMine.815, а также бэкдоров Linux.BackDoor.Pam.8/9, Linux.BackDoor.SSH.425/426 и трояна Linux.BackDoor.RCTL.2 для удаленного доступа. Отличительной чертой дроппера является то, что он имеет довольно большой размер, так как содержит исполняемые файлы под различные дистрибутивы Linux. В данном случае в тело дроппера были вшито примерно 60 файлов для разных версий дистрибутивов Debian и Red Hat Enterprise Linux, которые наиболее часто устанавливаются на серверы.

После установки руткит перехватывает ряд системных вызовов, что позволяет ему выдавать фейковые сведения в ответ на диагностические команды, вводимые администратором. Среди перехватываемых функций встречаются те, которые сообщают о среднем значении загрузки ЦП, сетевой активности на ряде портов и выводят перечень файлов в папках. Руткит также проверяет все загружаемые модули ядра и запрещает запуск тех, которые могут детектировать его присутствие. Всё это позволяет полностью скрывать все аспекты деятельности майнера по добыче криптовалюты: вычисления, отправку хешей и получение заданий.

Назначение устанавливаемых дроппером бэкдоров в рамках этой атаки заключается в сохранении и отправке злоумышленникам данных обо всех SSH-авторизациях, а также создании мастер-пароля ко всем учетным записям в системе. Отметим, что все пароли при отправке дополнительно шифруются шифром

Читать далее...
комментарии: 0 понравилось! вверх^ к полной версии
«Доктор Веб»: обзор вирусной активности для мобильных устройств в III квартале 2024 года rss_drweb_about_virs 01-10-2024 07:00


1 октября 2024 года

Согласно данным статистики детектирований Dr.Web Security Space для мобильных устройств, в III квартале 2024 года на защищаемых устройствах наиболее часто обнаруживались вредоносные приложения Android.FakeApp, которые злоумышленники используют в различных мошеннических схемах. На втором месте расположились рекламные трояны Android.HiddenAds. Третьими оказались представители семейства Android.Siggen — это программы, обладающие различной вредоносной функциональностью, которые сложно отнести к какому-либо конкретному семейству.

В августе специалисты «Доктор Веб» обнаружили бэкдор Android.Vo1d, который заразил почти 1 300 000 ТВ-приставок с ОС Android у пользователей из 197 стран. Эта вредоносная программа помещает свои компоненты в системную область устройств и по команде злоумышленников способна незаметно загружать и устанавливать различные приложения.

Страны с наибольшим числом выявленных зараженных устройств

Вместе с тем наши вирусные аналитики вновь выявили угрозы в каталоге Google Play. Среди них было множество новых программ-подделок, а также сразу несколько рекламных троянов.

ГЛАВНЫЕ ТЕНДЕНЦИИ III КВАРТАЛА

  • Бэкдор Android.Vo1d заразил более миллиона ТВ-приставок
  • Высокая активность вредоносных программ Android.FakeApp, применяемых в мошеннических целях
  • Высокая активность рекламных троянов Android.HiddenAds
  • Появление новых вредоносных программ в каталоге Google Play

По данным Dr.Web Security Space для мобильных устройств

Android.FakeApp.1600
Троянская программа, которая загружает указанный в ее настройках веб-сайт. Известные модификации этого вредоносного приложения загружают сайт онлайн-казино.
Android.HiddenAds.3994
Троянская программа для показа навязчивой рекламы. Представители семейства Android.HiddenAds часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.
Android.MobiDash.7815
Android.MobiDash.7813
Троянские программы, показывающие надоедливую рекламу. Они представляют собой программные модули, которые разработчики ПО встраивают в приложения.
Android.Click.1751
Троян, встраиваемый в модификации мессенджера WhatsApp и маскирующийся под классы библиотек от Google. Во время использования приложения-носителя Android.Click.1751 делает запросы к одному из управляющих серверов. В ответ троян получает две ссылки, одна из которых предназначена для русскоязычных пользователей, а другая - для всех остальных. Затем он демонстрирует диалоговое окно с полученным от сервера содержимым и после нажатия
Читать далее...
комментарии: 0 понравилось! вверх^ к полной версии
«Доктор Веб»: обзор вирусной активности в III квартале 2024 года rss_drweb_about_virs 01-10-2024 07:00


1 октября 2024 года

Согласно статистике детектирований антивируса Dr.Web, в III квартале 2024 года общее число обнаруженных угроз возросло на 10,81% по сравнению со II кварталом. Число уникальных угроз снизилось на 4,73%. Большинство детектирований вновь пришлось на рекламные приложения. Распространение также получили вредоносные скрипты, трояны, демонстрирующие рекламу, и трояны, которое распространяются в составе других вредоносных приложений и применяются для затруднения их обнаружения. В почтовом трафике чаще всего выявлялись вредоносные скрипты и приложения, эксплуатирующие уязвимости документов Microsoft Office.

На Android-устройствах наиболее распространенными угрозами стали применяемые в мошеннических целях трояны Android.FakeApp, рекламные трояны Android.HiddenAds и обладающие различной функциональностью вредоносные программы Android.Siggen. При этом в августе наши специалисты обнаружили нового трояна Android.Vo1d, который заразил почти 1 300 000 ТВ-приставок, работающих на ОС Android. Кроме того, специалисты вирусной лаборатории «Доктор Веб» в течение III квартала выявили множество новых угроз в каталоге Google Play.

Главные тенденции III квартала

  • Рекламные приложения оставались наиболее часто детектируемыми угрозами
  • Во вредоносном почтовом трафике по-прежнему преобладали вредоносные скрипты
  • Обнаружено заражение более 1 000 000 ТВ-приставок на базе Android бэкдором Android.Vo1d
  • Были зафиксированы новые угрозы в каталоге Google Play

По данным сервиса статистики «Доктор Веб»

Наиболее распространенные угрозы III квартала:

Adware.Downware.20091
Adware.Downware.20477
Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.
JS.Siggen5.44590
Вредоносный код, добавленный в публичную JavaScript-библиотеку es5-ext-main. Демонстрирует определенное сообщение, если пакет установлен на сервер с часовым поясом российских городов.
Trojan.StartPage1.62722
Вредоносная программа, подменяющая стартовую страницу в настройках браузера.
Adware.Ubar.20
Торрент-клиент, устанавливающий нежелательное ПО на устройство.

Статистика вредоносных программ в почтовом трафике

JS.Siggen5.44590
Вредоносный код, добавленный в публичную JavaScript-библиотеку es5-ext-main. Демонстрирует определенное сообщение, если пакет установлен на сервер с часовым поясом российских городов.
JS.Inject
Семейство вредоносных сценариев, написанных на языке JavaScript. Они встраивают вредоносный скрипт в HTML-код веб-страниц.
LNK.Starter.56
Детектирование специальным образом сформированного ярлыка, который распространяется через съемные накопители и для введения пользователей в заблуждение имеет значок диска. При его открытии происходит запуск вредоносных VBS-скриптов из скрытого каталога, расположенного на том же носителе, что и сам ярлык.
W97M.DownLoader.6154
Семейство троянов-загрузчиков, использующих уязвимости документов Microsoft Office. Они предназначены для загрузки других вредоносных программ на атакуемый компьютер.
Trojan.AutoIt.1410
Детектирование упакованной версии троянской программы Trojan.AutoIt.289, написанной на скриптовом языке
Читать далее...
комментарии: 0 понравилось! вверх^ к полной версии
Пустота захватила более миллиона ТВ-приставок на Android rss_drweb_about_virs 12-09-2024 09:00


12 сентября 2024 года

Специалисты «Доктор Веб» выявили новый случай инфицирования ТВ-приставок на базе Android. Вредоносная программа, получившая имя Android.Vo1d, заразила почти 1 300 000 устройств у пользователей из 197 стран. Это бэкдор, который помещает свои компоненты в системную область и по команде злоумышленников способен скрытно загружать и устанавливать стороннее ПО.

В августе 2024 года в компанию «Доктор Веб» обратилось несколько пользователей, на чьих устройствах антивирус Dr.Web зафиксировал изменения в системной файловой области. Это произошло со следующими моделями:

Модель ТВ-приставки Заявленная версия прошивки
R4 Android 7.1.2; R4 Build/NHG47K
TV BOX Android 12.1; TV BOX Build/NHG47K
KJ-SMART4KVIP Android 10.1; KJ-SMART4KVIP Build/NHG47K

Во всех случаях признаки заражения оказались схожими, поэтому они будут описаны на примере одного из первых обращений. На затронутой трояном ТВ-приставке были изменены следующие объекты:

  • install-recovery.sh
  • daemonsu

Кроме того, в ее файловой системе появилось 4 новых файла:

  • /system/xbin/vo1d
  • /system/xbin/wd
  • /system/bin/debuggerd
  • /system/bin/debuggerd_real

Файлы vo1d и wd — компоненты выявленного нами трояна Android.Vo1d.

Авторы трояна, вероятно, пытались замаскировать один из его компонентов под системную программу /system/bin/vold, назвав его схожим именем «vo1d» (подменив строчную букву «l» цифрой «1»). По имени этого файла вредоносная программа и получила свое наименование. При этом такое написание созвучно со словом «void» (в переводе с английского — пустота).

Файл install-recovery.sh — это скрипт, который присутствует на большинстве Android-устройств. Он запускается при старте операционной системы и содержит данные для автозапуска указанных в нем элементов. Если у какой-либо вредоносной программы есть root-доступ и возможность записи в системный каталог /system, она может закрепиться на инфицированном устройстве, добавив себя в этот скрипт (либо создав его в случае отсутствия в системе). Android.Vo1d прописал в нем автозапуск компонента wd.

Модифицированный файл install-recovery.sh

Файл daemonsu присутствует на многих Android-устройствах с root-доступом. Он запускается системой при загрузке и отвечает за предоставление root-привилегий пользователю. Android.Vo1d прописал себя и в этом файле, также настроив автозапуск модуля wd.

Файл debuggerd является демоном, который обычно применяется для создания отчетов об ошибках. Но при заражении ТВ-приставки этот файл был подменен скриптом, запускающим компонент wd.

Файл debuggerd_real в рассматриваемом случае является копией скрипта, которым был подменен настоящий файл debuggerd. Специалисты «Доктор Веб» полагают, что по задумке авторов трояна исходный debuggerd должен был быть перемещен в debuggerd_real для сохранения его работоспособности. Однако из-за того, что заражение, вероятно, произошло дважды, троян переместил уже подмененный файл (то есть скрипт). В результате на устройстве оказалось два скрипта от трояна и ни одного настоящего файла программы debuggerd.

В то же время у других обратившихся к нам пользователей на зараженных устройствах был несколько иной список файлов:

  • daemonsu (аналог файла vo1dAndroid.Vo1d.1);
  • wd (Android.Vo1d.3);
  • debuggerd (аналогичен описанному выше скрипту);
  • debuggerd_real (оригинальный
Читать далее...
комментарии: 0 понравилось! вверх^ к полной версии
Использование Яндекс Браузера для закрепления в скомпрометированной системе. Несостоявшаяся целевая атака на российского оператора грузовых железнодорожных перевозок. rss_drweb_about_virs 04-09-2024 10:00


Скачать в PDF

4 сентября 2024 года

Социальная инженерия — крайне эффективный метод мошенничества, которому сложно противостоять. Опытный злоумышленник умеет найти правильный подход к жертве, запугать или убедить ее выполнить какое-то действие. Но что если для реализации атаки не требуется каких-либо значимых коммуникативных усилий, а компьютер из цифрового помощника превращается в невольного соучастника преступления?

Целевой фишинг — популярный метод доставки вредоносного ПО на компьютеры сотрудников крупных компаний. От обычного фишинга он отличается тем, что злоумышленники заранее собирают информацию и персонализируют свое сообщение, побуждая жертву выполнить какое-то действие, которое приведёт к компрометации. Основными целями преступники выбирают или высокопоставленных сотрудников, обладающих доступом к ценной информации, или сотрудников тех отделов, которые по долгу службы контактируют с множеством адресатов. В частности это касается работников отдела кадров: они получают массу писем от ранее незнакомых лиц с вложениями в самых разных форматах. Такой вектор атаки и был избран мошенниками в том случае, о котором мы сейчас вам расскажем.

В марте 2024 года в компанию «Доктор Веб» обратились представители крупного российского предприятия, работающего в отрасли грузовых железнодорожных перевозок. Внимание сотрудников отдела информационной безопасности привлекло подозрительное письмо с прикрепленным к нему вложением. После попытки самостоятельно определить, какую опасность несет приложенный файл, они обратились к нашим специалистам. Ознакомившись с полученным запросом, наши аналитики пришли к выводу, что компания чуть не стала жертвой целевой атаки. Задачами, которые ставили перед собой злоумышленники, был сбор информации о системе и запуск модульного вредоносного ПО на скомпрометированном ПК.

Для реализации атаки киберпреступники отправили на электронный адрес компании фишинговое письмо, замаскированное под резюме соискателя вакансии. К письму был приложен архив, якобы содержащий PDF-файл с анкетой. Этот файл имел «двойное» расширение .pdf.lnk. Сокрытие вредоносных объектов при использовании двойных расширений — довольно частая тактика злоумышленников, которой они пользуются для того, чтобы вводить своих жертв в заблуждение. По умолчанию ОС Windows скрывает расширения файлов для удобства пользователя. А если файл имеет «двойное» расширение, то система скрывает только последнее из них. Таким образом, в данном случае жертва могла видеть первое расширение — .pdf, а расширение .lnk было скрыто. Отметим, что даже при включенном отображении полных имен файлов расширение .lnk всегда скрывается ОС.

Идея компрометации систем посредством lnk-файлов не нова. Наиболее знаковая атака произошла в 2010 году, когда оборудование для обогащения урана в иранском городе Нетенз подверглось беспрецедентному кибервоздействию со стороны злоумышленников. Червь под название Stuxnet атаковал ПЛК, управляющие газовыми центрифугами, выводя последние на запредельную скорость вращения, а затем резко останавливая, из-за чего происходило разрушение их корпусов. Помимо порчи оборудования этот червь инфицировал более 200 000 компьютеров во многих странах мира. Основным вектором атаки был lnk-файл, который попал на управляющий компьютер предприятия на USB-носителе. А для запуска вредоносного достаточно было лишь перейти в папку, содержащую специально сформированный lnk-файл. В рамках атаки было задействовано 4 уязвимости нулевого дня, в частности эксплойт CPLINK, что позволило запустить червя Stuxnet без участия пользователя.

Метаданные, хранящиеся в lnk-файле

Истинное расширение .lnk является расширением ярлыков в ОС Windows. В поле «Объект» (Target) можно указать путь до любого объекта ОС — например, исполняемого файла — и запустить его с требуемыми параметрами. В рамках этой атаки скрытно происходил запуск интерпретатора команд PowerShell, скачивавший с сайта злоумышленников два вредоносных скрипта, каждый из которых запускал свою полезную нагрузку.

Схема атаки

Первая из них представляла собой отвлекающий PDF, а

Читать далее...
комментарии: 0 понравилось! вверх^ к полной версии
«Доктор Веб»: обзор вирусной активности для мобильных устройств во II квартале 2024 года rss_drweb_about_virs 01-07-2024 10:00


1 июля 2024 года

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, во II квартале 2024 года на защищаемых устройствах наиболее часто выявлялись рекламные троянские программы Android.HiddenAds. Вторыми по распространенности стали вредоносные приложения Android.FakeApp, которые злоумышленники применяют при реализации различных мошеннических схем. Основная доля детектирований этого семейства пришлась на трояна Android.FakeApp.1600, которого наши специалисты обнаружили в конце мая. Он распространяется через вредоносные сайты, с которых скачивается под видом игрового приложения. Однако на самом деле эта подделка при запуске загружает прописанный в ее настройках веб-сайт — в известных модификациях им является сайт онлайн-казино. Его посетителям предлагается сыграть в игру вида «колесо удачи», но при попытке сделать это они перенаправляются на страницу с формой регистрации. Высокие показатели по числу детектирований этой вредоносной программы можно объяснить тем, что для ее продвижения злоумышленники используют в том числе рекламу в других приложениях. При нажатии на такое объявление пользователи попадают на соответствующий вредоносный сайт, с которого происходит загрузка трояна. Третьими по распространенности стали обладающие шпионской функциональностью трояны Android.Spy.

В течение II квартала вирусная лаборатория компании «Доктор Веб» выявила очередные угрозы в каталоге Google Play. Среди них — разнообразные вредоносные программы-подделки Android.FakeApp, а также нежелательная программа Program.FakeMoney.11, якобы позволяющая конвертировать виртуальные награды в настоящие деньги и выводить их из приложения. Кроме того, злоумышленники в очередной раз распространяли через Google Play трояна, который подписывает жертв на платные услуги.

ГЛАВНЫЕ ТЕНДЕНЦИИ II КВАРТАЛА

  • Рекламные троянские программы Android.HiddenAds остаются наиболее активными Android-угрозами
  • Появление очередных угроз в каталоге Google Play

По данным антивирусных продуктов Dr.Web для Android

Android.FakeApp.1600
Троянская программа, которая загружает указанный в ее настройках веб-сайт. Известные модификации этого вредоносного приложения загружают сайт онлайн-казино.
Android.HiddenAds.3956
Android.HiddenAds.3980
Android.HiddenAds.3989
Троянские программы для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.
Android.Spy.5106
Детектирование троянской программы, представляющей собой видоизмененные версии неофициальных модификаций приложения WhatsApp. Она может похищать содержимое уведомлений, предлагать установку программ из неизвестных источников, а во время использования мессенджера — демонстрировать диалоговые окна с дистанционно настраиваемым содержимым.
Читать далее...
комментарии: 0 понравилось! вверх^ к полной версии
«Доктор Веб»: обзор вирусной активности во II квартале 2024 года rss_drweb_about_virs 01-07-2024 09:00


1 июля 2024 года

Согласно статистике детектирований антивируса Dr.Web, во II квартале 2024 года наиболее распространенными угрозами стали нежелательные рекламные программы, рекламные троянские приложения, а также вредоносное ПО, которое распространяется в составе других троянов и применяется для затруднения их обнаружения. В почтовом трафике наиболее часто выявлялись вредоносные скрипты и различные фишинговые документы.

Пользователи, файлы которых были затронуты троянами-шифровальщиками, чаще всего сталкивались с энкодерами Trojan.Encoder.3953, Trojan.Encoder.35534 и Trojan.Encoder.26996.

На Android-устройствах наиболее часто детектировались рекламные трояны семейства Android.HiddenAds, вредоносные программы Android.FakeApp и трояны-шпионы Android.Spy. При этом в каталоге Google Play наши вирусные аналитики обнаружили очередные угрозы.

Главные тенденции II квартала

  • Высокая активность рекламных троянских программ и рекламного ПО
  • Преобладание вредоносных скриптов и всевозможных фишинговых документов во вредоносном почтовом трафике
  • Рекламные троянские приложения Android.HiddenAds вновь оказались наиболее часто детектируемыми угрозами для Android-устройств

По данным сервиса статистики «Доктор Веб»

Наиболее распространенные угрозы II квартала:

Adware.Downware.20091
Adware.Downware.20477
Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.
Trojan.StartPage1.62722
Вредоносная программа, подменяющая стартовую страницу в настройках браузера.
Trojan.AutoIt.1224
Детектирование упакованной версии троянской программы Trojan.AutoIt.289, написанной на скриптовом языке AutoIt. Она распространяется в составе группы из нескольких вредоносных приложений - майнера, бэкдора и модуля для самостоятельного распространения. Trojan.AutoIt.289 выполняет различные вредоносные действия, затрудняющие обнаружение основной полезной нагрузки.
JS.Siggen5.44590
Вредоносный код, добавленный в публичную JavaScript-библиотеку es5-ext-main. Демонстрирует определенное сообщение, если пакет установлен на сервер с часовым поясом российских городов.

Статистика вредоносных программ в почтовом трафике

JS.Siggen5.44590
Вредоносный код, добавленный в публичную JavaScript-библиотеку es5-ext-main. Демонстрирует определенное сообщение, если пакет установлен на сервер с часовым поясом российских городов.
JS.Inject
Семейство вредоносных сценариев, написанных на языке JavaScript. Они встраивают вредоносный скрипт в HTML-код веб-страниц.
PDF.Phisher.693
PDF.Phisher.707
PDF-документы, используемые в фишинговых email-рассылках.

Шифровальщики

Динамика поступления запросов на расшифровку файлов, затронутых троянскими программами-шифровальщиками:

Читать далее...
комментарии: 0 понравилось! вверх^ к полной версии
«Доктор Веб»: обзор вирусной активности за 2023 год rss_drweb_about_virs 13-05-2024 16:00


13 мая 2024 года

В 2023 году одними из самых активных угроз вновь стали троянские приложения Trojan.AutoIt, созданные с использованием скриптового языка AutoIt. Они распространяются в составе других вредоносных приложений и затрудняют их обнаружение. Также наблюдалась высокая активность рекламных троянских программ Trojan.BPlug и различных вредоносных скриптов. В почтовом трафике чаще всего встречались вредоносные скрипты, а также фишинговые документы. Кроме того, злоумышленники активно распространяли вредоносные программы, эксплуатирующие уязвимости документов Microsoft Office. Часть распространяемых по электронной почте угроз пришлась на различные троянские приложения.

По сравнению с предыдущим годом, в 2023 снизилось число обращений пользователей за расшифровкой файлов. При этом также наблюдалось снижение количества детектирований банковских троянских программ.

Минувший год запомнился рядом событий в сфере информационной безопасности. Весной наши специалисты зафиксировали атаку Android-троянов, которые заражают смарт-телевизоры и приставки с Android TV. Летом вирусные аналитики «Доктор Веб» выявили трояна, предназначенного для кражи криптовалют. Он скрывался в некоторых пиратских сборках Windows 10 и при заражении компьютеров инфицировал системный EFI-раздел. Уже осенью мы сообщили об атаке шпионских троянских приложений на иранских пользователей Android. Эти вредоносные программы похищали персональные данные и деньги жертв. Кроме того, наша компания предупредила о распространении вредоносных плагинов для сервера обмена сообщениями Openfire. Они эксплуатировали одну из уязвимостей в ПО Openfire и выполняли различные команды злоумышленников.

Среди мобильных угроз наибольшее распространение получили рекламные троянские приложения, вредоносные программы-шпионы, а также нежелательное рекламное ПО. При этом в каталоге Google Play было выявлено множество новых вредоносных приложений с почти полумиллиардным суммарным числом установок. Также наши специалисты обнаружили очередных троянов — похитителей криптовалют, нацеленных не только на пользователей ОС Android, но и на владельцев устройств под управлением iOS.

Интернет-аналитики компании «Доктор Веб» продолжили выявлять фишинговые интернет-ресурсы. Популярностью среди мошенников вновь пользовались поддельные сайты банков, интернет-магазинов, нефтегазовых компаний.

Главные тенденции года

  • Широкое распространение троянов, созданных с использованием скриптового языка AutoIt
  • Широкое распространение вредоносных программ, демонстрирующих рекламу
  • Снижение числа инцидентов с троянскими программами-вымогателями
  • Появление новых семейств банковских троянов
  • Появление множества новых угроз в каталоге Google Play
  • Высокая активность интернет-мошенников
  • Преобладание вредоносных скриптов и фишинговых документов во вредоносном почтовом трафике

Наиболее интересные события 2023 года

В мае 2023 года компания «Доктор Веб» рассказала о троянском модуле Android.Spy.SpinOk, который предлагался разработчикам Android-игр и программ в качестве маркетингового инструмента, но при этом обладал шпионской функциональностью. Он собирал информацию о хранящихся на устройствах файлах и мог передавать их злоумышленникам, а также был способен подменять и загружать содержимое буфера обмена на удаленный сервер. Кроме того, он мог демонстрировать рекламу. Наши вирусные аналитики выявили этот модуль в более чем ста приложениях, загруженных из Google Play свыше 421 000 000 раз. После выхода соответствующей публикации разработчик SpinOk обратился в компанию «Доктор Веб» с целью проверки и устранения причин классификации модуля как вредоносного. Впоследствии он был обновлен до версии 2.4.2, в которой троянская функциональность отсутствовала.

В июне наши специалисты обнаружили вредоносное приложение Trojan.Clipper.231 для кражи криптовалюты. Оно было встроено в ряд пиратских сборок Windows 10 и при заражении компьютеров проникало в системный EFI-раздел. Стилер подменял адреса криптокошельков в буфере обмена на адреса, заданные мошенниками. На момент обнаружения злоумышленникам с его помощью удалось похитить криптовалюту на сумму, эквивалентную порядка $19 000.

Уже в июле компания «Доктор Веб» выявила

Читать далее...
комментарии: 0 понравилось! вверх^ к полной версии
«Доктор Веб»: обзор вирусной активности для мобильных устройств за 2023 год rss_drweb_about_virs 17-04-2024 04:00


17 апреля 2024 года

В 2023 году самыми распространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по сравнению с предыдущим годом снизили свою активность и стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. Несмотря на то, что банковские трояны также выявлялись реже, они по-прежнему представляют серьезную опасность для пользователей по всему миру, поскольку данный тип угроз продолжает развиваться. В минувшем году было выявлено большое число новых семейств Android-банкеров, многие из них целенаправленно атаковали, например, российских и иранских пользователей.

Вместе с тем сохранялась высокая активность мошенников — те использовали всевозможные вредоносные приложения, с помощью которых реализовывали разнообразные мошеннические схемы.

В очередной раз киберпреступники не оставили без внимания и каталог Google Play. В течение года вирусная лаборатория «Доктор Веб» обнаружила в нем более 400 троянских программ, которые суммарно были загружены по меньшей мере 428 000 000 раз.

Кроме того, наши специалисты выявили очередные троянские программы, предназначенные для кражи криптовалют, при этом злоумышленников вновь интересовали владельцы устройств не только под управлением Android, но и операционной системы iOS.

ТЕНДЕНЦИИ ПРОШЕДШЕГО ГОДА

  • Рост активности рекламных троянских программ
  • Снижение активности банковских троянских приложений
  • Появление новых семейств Android-банкеров, целью которых были пользователи из России и Ирана
  • Появление множества новых угроз в каталоге Google Play
  • Сохранение высокой активности мошенников
  • Появление новых троянских программ для кражи криптовалют у пользователей устройств под управлением операционных систем Android и iOS

Наиболее интересные события 2023 года

В мае прошлого года компания «Доктор Веб» выявила в Google Play более 100 приложений с программным модулем SpinOk, который позиционировался как специализированная маркетинговая платформа для встраивания в Android-игры и программы. Этот инструмент предназначался для удержания пользователей в приложениях с помощью мини-игр, системы заданий и якобы розыгрышей призов. Однако модуль обладал шпионской функциональностью и потому был добавлен в вирусную базу Dr.Web как Android.Spy.SpinOk. Он собирал информацию о хранящихся на Android-устройствах файлах и мог передавать их злоумышленникам, а также подменять и загружать содержимое буфера обмена на удаленный сервер. Кроме того, модуль демонстрировал рекламу в виде баннеров, примеры которых показаны ниже.

В общей сложности найденные приложения с Android.Spy.SpinOk были загружены более 421 000 000 раз. После обращения в нашу компанию разработчик SpinOk внес исправления в модуль, вследствие чего актуальная на тот момент версия платформы 2.4.2 уже не содержала троянской функциональности.

В начале прошлого сентября компания «Доктор Веб» опубликовала исследование бэкдора Android.Pandora.2, который нацелен преимущественно на испаноязычных пользователей. Массовые случаи атак с его участием фиксировались в марте 2023 года. Первые модификации этой троянской программы были добавлены в вирусную базу антивируса Dr.Web еще в июле 2017 года.

Читать далее...
комментарии: 0 понравилось! вверх^ к полной версии
«Доктор Веб»: обзор вирусной активности в феврале 2024 года rss_drweb_about_virs 01-04-2024 13:00


1 апреля 2024 года

Анализ статистики детектирований антивируса Dr.Web в феврале 2024 года показал рост общего числа обнаруженных угроз на 1,26% по сравнению с январем. При этом число уникальных угроз снизилось на 0,78%. Лидирующие позиции по количеству детектирований вновь заняли различные рекламные трояны и нежелательные рекламные программы. Кроме того, высокую активность сохранили вредоносные приложения, которые распространяются в составе других угроз и затрудняют их обнаружение. В почтовом трафике чаще всего выявлялись вредоносные скрипты, фишинговые документы, а также программы, которые эксплуатируют уязвимости документов Microsoft Office.

Число обращений пользователей за расшифровкой файлов снизилось на 7,02% по сравнению с предыдущим месяцем. Наиболее часто виновниками атак становились трояны-шифровальщики Trojan.Encoder.3953 (18,27% инцидентов), Trojan.Encoder.37369 (9,14% инцидентов) и Trojan.Encoder.26996 (8,12% инцидентов).

На Android-устройствах наиболее часто вновь детектировались рекламные трояны семейства Android.HiddenAds, активность которых значительно возросла.

Главные тенденции февраля

  • Рост общего числа обнаруженных угроз
  • Преобладание вредоносных скриптов и фишинговых документов во вредоносном почтовом трафике
  • Снижение числа обращений пользователей за расшифровкой файлов, затронутых шифровальщиками
  • Рост числа детектирований рекламных троянских приложений Android.HiddenAds на защищаемых устройствах

По данным сервиса статистики «Доктор Веб»

Наиболее распространенные угрозы февраля:

Adware.Downware.20091
Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.
Trojan.BPlug.3814
Детектирование вредоносного компонента браузерного расширения WinSafe. Этот компонент представляет собой сценарий JavaScript, который демонстрирует навязчивую рекламу в браузерах.
Trojan.StartPage1.62722
Вредоносная программа, подменяющая стартовую страницу в настройках браузера.
Adware.Siggen.33194
Детектирование созданного с использованием платформы Electron бесплатного браузера со встроенным рекламным компонентом. Этот браузер распространяется через различные сайты и загружается на компьютеры при попытке скачивания торрент-файлов.
Trojan.AutoIt.1224
Детектирование упакованной версии троянской программы Trojan.AutoIt.289, написанной на скриптовом языке AutoIt. Она распространяется в составе группы из нескольких вредоносных приложений - майнера, бэкдора и модуля для самостоятельного распространения. Trojan.AutoIt.289 выполняет различные вредоносные действия, затрудняющие обнаружение основной полезной нагрузки.

Статистика вредоносных программ в почтовом трафике

JS.Inject
Семейство вредоносных сценариев, написанных на языке JavaScript. Они встраивают вредоносный скрипт в HTML-код веб-страниц.
HTML.FishForm.365
Веб-страница, распространяющаяся посредством фишинговых рассылок. Представляет собой фиктивную форму ввода учетных данных, которая имитирует авторизацию на известных сайтах. Введенные пользователем данные отправляются злоумышленникам.
Trojan.PackedNET.2511
Вредоносное ПО, написанное на VB.NET и защищенное программным упаковщиком.
Exploit.CVE-2018-0798.4
Эксплойты для использования уязвимостей в ПО Microsoft Office,
Читать далее...
комментарии: 0 понравилось! вверх^ к полной версии
«Доктор Веб»: обзор вирусной активности для мобильных устройств в феврале 2024 года rss_drweb_about_virs 01-04-2024 09:00


1 апреля 2024 года

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в феврале 2024 года значительно возросла активность рекламных троянских программ из семейства Android.HiddenAds - на 73,26% по сравнению с январем. В то же время пользователи на 58,85% реже сталкивались с другим семейством рекламных троянов, Android.MobiDash.

Активность банковских троянов различных семейств снизилась на 18,77%, а шпионских троянских приложений Android.Spy - на 27,33%. При этом число детектирований вредоносных программ-вымогателей Android.Locker увеличилось на 29,85%.

ГЛАВНЫЕ ТЕНДЕНЦИИ ФЕВРАЛЯ

  • Значительный рост активности рекламных троянских программ семейства Android.HiddenAds
  • Снижение числа атак банковских троянов и шпионских вредоносных приложений
  • Увеличение числа детектирований вредоносных программ-вымогателей на защищаемых устройствах

По данным антивирусных продуктов Dr.Web для Android

Android.HiddenAds.3956
Android.HiddenAds.3851
Троянские программы для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.
Android.Spy.5106
Детектирование троянской программы, представляющей собой видоизмененные версии неофициальных модификаций приложения WhatsApp. Она может похищать содержимое уведомлений, предлагать установку программ из неизвестных источников, а во время использования мессенджера — демонстрировать диалоговые окна с дистанционно настраиваемым содержимым.
Android.HiddenAds.Aegis.1
Android.HiddenAds.Aegis.4.origin
Троянские программы, которые скрывают свое присутствие на Android-устройствах и показывают надоедливую рекламу. Они отличаются от других представителей семейства Android.HiddenAds рядом признаков. Например, эти трояны способны самостоятельно запускаться после установки. Кроме того, в них реализован механизм, позволяющий их сервисам оставаться постоянно запущенными. В ряде случаев в них также могут быть задействованы скрытые функции ОС Android.
Program.CloudInject.1
Детектирование Android-приложений, модифицированных при помощи облачного сервиса CloudInject и одноименной Android-утилиты (добавлена в вирусную базу Dr.Web как Tool.CloudInject). Такие программы модифицируются на удаленном сервере, при этом заинтересованный в их изменении пользователь (моддер) не контролирует, что именно будет в них встроено. Кроме того, приложения получают набор опасных разрешений. После модификации программ у моддера появляется возможность дистанционного управлять ими — блокировать, показывать настраиваемые
Читать далее...
комментарии: 0 понравилось! вверх^ к полной версии



Дневник Лента друзей / Полная версия Добавить в друзья Страницы: раньше»