#статьи
-
0
Что такое троян и как он может вам навредить
Современные «троянские кони» в захвате городов не участвуют, но доставляют много головной боли ИБ-специалистам и рядовым пользователям.
Иллюстрация: Оля Ежак для Skillbox Media
Филолог и технарь, пишет об IT так, что поймут даже новички. Коммерческий редактор, автор технических статей для vc.ru и «Хабра».
Троян — это тип вредоносных программ, которые маскируются под привычное и чаще всего популярное ПО, скрывая своё настоящее назначение. Трояны используют, чтобы получить контроль над компьютером, нанести вред системе или локальной сети, украсть личные данные или отследить действия пользователя.
Своё название этот тип вредоносных программ получил в честь троянского коня, описанного в древнегреческом эпосе «Илиада». Суть в том, что жители Трои позволили провезти в город огромную деревянную лошадь, подаренную им данайцами якобы в честь примирения. Внутри того коня сидели отряды противника, которые под покровом ночи захватили и разрушили город.
Чтобы компьютер или смартфон не пал, как Троя, сегодня разберёмся:
- Чем опасны трояны
- Как они работают
- Какие виды троянов бывают
- Как защититься от троянских программ
Трояны могут долго жить в системе под видом безвредного софта, повреждая файлы или собирая информацию о пользователе для злоумышленников. Такие вредоносные программы попадают на ПК, например, в виде частей установочных файлов популярных программ, скачанных с неофициальных сайтов.
? Минутка душноты. Хотя с троянами и вирусами вполне успешно справляются антивирусы — это совершенно разные виды программ. Вирусы самостоятельно запускаются и самовоспроизводятся на заражённом компьютере, тогда как трояны переносятся и запускаются другими программами. Так что не следует их путать.
После запуска трояны добавляют себя в автозагрузку, меняют настройки системы, начинают собирать необходимые данные и отправлять их злоумышленнику. А некоторые зловреды даже способны принимать от него команды. Рассмотрим несколько известных примеров троянов.
Был выявлен в 2011 году, а всплески его активности фиксировали ещё на протяжении нескольких лет. Этот зловредный софт блокировал доступ в интернет и выводил в браузере всплывающее окно с предложением обновить его до последней версии. Для «апдейта» пользователь должен был ввести свой номер мобильного телефона и ввести код, полученный в СМС. В результате пользователь подписывался на сервис, который регулярно списывал деньги с его мобильного счёта.
Хотя в целом Linux можно назвать безопасной операционной системой, она не лишена уязвимостей. Linux.Sshdkit проникая в систему под видом библиотеки, заражал процесс sshd, перехватывая учётные данные пользователя и отправлял злоумышленникам ключи для удалённого доступа, превращая станцию с Linux в участника зомби-сети, связывающей заражённые компьютеры. Такие сети используются для DDoS-атак.
Этот троян вредил системам с macOS X. Trojan.Yontoo.1 проникал на компьютер под видом полезного программного обеспечения или плагина и передавал данные о просматриваемой пользователем веб-странице. Получая ответ от сервера, он встраивал на сайт рекламу, ведущую на фишинговые сайты, которая воспринималась пользователями как часть веб-страницы.
Android.SmsSend заражал смартфоны с Android. Троян периодически показывал полноэкранное уведомление, предлагающее обновить системные компоненты. Если нажать на объект, то появлялась анимация обновления, но на самом деле оформлялась подписка на платную рассылку или отправлялось платное СМС.
Троян не способен к самостоятельному запуску, в отличие от любых компьютерных вирусов. Пользователи сами по незнанию или невнимательности запускают зловредный код на устройстве.
Чаще всего троян распространяется как полезная программа с внедрённым вредоносным софтом в виде:
- добавленного кода в модифицированном установщике абсолютно безвредной программы;
- изображения или документа во вложении электронного письма;
- части самораспаковывающегося архива (SFX).
Также трояны могут попасть на компьютер через поддельные Wi-Fi-сети или программные уязвимости, когда злоумышленник может получить удалённый доступ к компьютеру и скачать на него вредоносные программы.
Сразу после запуска троян старается получить контроль над операционной системой, меняя конфигурации, отключая системы защиты и открывая необходимые порты. Как мы говорили, он собирает информацию о паролях, информацию, вводимую с клавиатуры, IP-адрес и другие данные, отправляя их злоумышленникам. Дальнейшее развитие событий зависит от вида трояна.
Классическая версия трояна. Выполняя роль шлюза, троян подгружает с удалённого сервера тела других зловредов, чтобы получить ещё больше контроля над компьютером. Чаще всего этот тип зловредов используется для организации зомби-сетей. Это группы из десятков заражённых машин по всему миру, используемых для проведения DDoS-атак.
Примером является семейство троянов Backdoor.MSIL, которое позволяло злоумышленникам удалённо управлять компьютерами. Впоследствии такие устройства объединяли в ботнеты для DDoS-атак.
Блокирует действия пользователя или доступ системы к файлам, иногда требуя выкуп. Часто выступает в паре с шифровальщиком.
Пример блокировщика — Trojan.Winlock.3794 — распространённый в эпоху Windows XP. Зловред выводил на экран пользователя окно, похожее на окно для активации операционной системы, но в нём были требования ввести данные банковской карты. Если от этого отказаться, появлялся «синий экран смерти» и компьютер перезагружался.
Как можно понять из названия, этот тип шифрует данные, делая их недоступными для пользователя. Для восстановления доступа и получения ключа дешифровки требует выкуп.
Пример — Trojan.Encoder.25129, заражающий компьютеры с Windows за пределами России и стран СНГ. Троян шифрует содержимое системных папок, после чего выводит для пользователя сообщение с требованием выкупа.
Используется для получения логина и пароля авторизации в личном кабинете банка, данных платёжных карт и перенаправления онлайн-оплаты на фишинговую страницу с целью кражи денег.
Примером такого трояна является Clampi, который иногда встречается под именами Ligats и Ilomo. При заражении устройства он ждёт момента, когда пользователь зайдёт в приложение онлайн-банка или введёт данные банковской карты в интернет-магазине.
Собирает email-адреса для передачи злоумышленникам. В дальнейшем они могут использоваться для рассылки фишинговых писем. Пример такого трояна — SpamTool.Win32. MagPlayer.a.
Иногда их называют дропперам (от англ. dropper — бомбосбрасыватель). Такие программы либо содержат в себе, либо скачивают из Сети дополнительные вредоносные компоненты, например банковский троян. Примером является Trojan-Dropper: W32/Agent.PR, создающий несколько пустых файлов и загружающий бэкдор-троян на компьютер.
Загрузчики могут удалённо обновляться до новых версий, чтобы скрываться от антивирусов и расширять свои возможности по загрузке новых файлов.
Крадёт данные игровых аккаунтов или профилей в социальных сетях и мессенджерах. Злоумышленники получают доступ к личной переписке и могут шантажировать человека её обнародованием или запускать от имени взломанного аккаунта спам-рассылку с просьбами одолжить денег.
Пример — зловред KPOT, способный воровать данные учётных записей игровых сервисов, Telegram, Skype и других приложений.
Рассылает сообщения по международным номерам за счёт средств пользователя, подхватившего этот зловред на свой смартфон. Пример — Trojan-SMS.AndroidOS.FakePlayer.a, который был первым подобным трояном для смартфонов с Android.
Записывает и отправляет данные, вводимые с клавиатуры, делает скриншоты рабочего стола и приложений, даёт доступ к просмотру истории действий и веб-камере. Так работал Trojan-Spy.Win32.Noon, который собирал и передавал злоумышленникам информацию о паролях, сохранённых в браузере и вводимых на клавиатуре.
Использует уязвимости в установленном на компьютере ПО, с целью получения доступа к системе и внедрения вредоносного кода. Пример — эксплойт EternalBlue, который многократно использовался для распространения других троянов и вирусов.
Два главных совета — быть внимательным и понять, как трояны попадают на компьютер или смартфон. Разберём основные способы защиты, снижающие риск заражения.
Своевременно загружайте обновления системы. Они закрывают дыры в безопасности, добавляют новые функции и обновляют базы данных встроенного антивируса.
Не ведитесь на фишинг. Не скачивайте и не открывайте вложения в электронных письмах, полученных от неизвестного человека, и помните, что злоумышленники любят маскировать опасные письма под рассылку от любимого магазина.
Скачивайте проверенное программное обеспечение и только с официальных сайтов. Если скачивать программы с торрентов или неофициальных сайтов, то есть риск получить зловреда на свой компьютер.
Если вы пользователь Windows, не устанавливайте системы собранные сторонними командами разработчиков. Чаще всего это усечённые образы Windows, где вырезана часть стандартных приложений, таких как «Защитник Windows», «Брандмауэр», и отключены автоматические обновления, а также контроль учётных записей. Такие системы — идеальная цель для троянов.
? Ещё минута душноты. Кстати, по поводу контроля учётных записей. Помните «бесячую» табличку на Windows «Хотите ли вы запустить Имя_программы.exe» и вариантами ответа «Да» и «Нет»? Так вот: она появляется не только для того, чтобы вас раздражать.
Эта табличка говорит о том, что запускаемой программе для работы требуется доступ к системе с правами администратора. Понятно, чем чревато наделение такими привилегиями зловредной программы. Поэтому не отключайте контроль учётных записей.
Периодически проверяйте систему антивирусами. Для этого отлично подходят бесплатные, одноразовые антивирусы типа Dr.Web CureIt! или решения от Malwarebytes. Если вы не уверены в скачанной программе, перед запуском просканируйте её онлайн-антивирусом Virustotal. Он проверит файл на наличие зловредов. Но это не получится сделать с архивами под паролем. Поэтому никогда не открывайте их, если скачали из непроверенного источника.
Трояны могут втянуть компьютер или смартфон в зомби-сеть компьютеров для DDoS-атак или украсть персональные данные. Их особенность в сравнении с другими зловредами — невозможность самостоятельного запуска на устройстве. Поэтому успех заражения полностью зависит от действия пользователя и его внимательности.
Кибербезопасность с нуля
Освойте реальные техники взлома и защиты серверов и компьютеров. Получите бесплатную карьерную консультацию, чтобы выбрать специализацию в кибербезопасности.
Учиться бесплатно →
Курс: «Профессия Специалист по кибербезопасности»
Узнать больше
С помощью троянов семейства Winlock, известных как «блокировщики Windows», у рядовых пользователей вымогают деньги уже более пяти лет. К настоящему времени представители этого класса вредоносных программ серьёзно эволюционировали и стали одной из самых частых проблем. Ниже предлагаются способы самостоятельной борьбы с ними и даются рекомендации по предотвращению заражения.
Появление трояна в системе обычно происходит быстро и незаметно для пользователя. Человек выполняет привычный набор действий, просматривает веб-страницы и не делает чего-то особенного. В какой-то момент просто появляется полноэкранный баннер, который не удаётся убрать обычным способом.
Картинка может быть откровенно порнографической, или наоборот – оформлена максимально строго и грозно. Итог один: в сообщении, расположенном поверх других окон, требуется перечислить указанную сумму на такой-то номер или отправить платное SMS-сообщение. Часто оно дополняется угрозами уголовного преследования или уничтожения всех данных, если пользователь не поторопится с оплатой.
Разумеется, платить вымогателям не стоит. Вместо этого можно выяснить, какому оператору сотовой связи принадлежит указанный номер, и сообщить его службе безопасности. В отдельных случаях вам даже могут сказать код разблокировки по телефону, но очень рассчитывать на это не приходится.
Методики лечения основаны на понимании тех изменений, которые троян вносит в систему. Остаётся выявить их и отменить любым удобным способом.
Голыми руками
Для некоторых троянов действительно существует код разблокировки. В редких случаях они даже честно удаляют себя полностью после ввода верного кода. Узнать его можно на соответствующих разделах сайтов антивирусных компаний – смотрите примеры ниже.
Зайти в специализированные разделы сайтов «Доктор Веб», «Лаборатории Касперского» и других разработчиков антивирусного ПО можно с другого компьютера или телефона.
После разблокировки не радуйтесь преждевременно и не выключайте компьютер. Скачайте любой бесплатный антивирус и выполните полную проверку системы. Для этого воспользуйтесь, например, утилитой Dr.Web CureIt! или Kaspersky Virus Removal Tool.
Простым коням — простые меры
Прежде чем использовать сложные методы и спецсофт, попробуйте обойтись имеющимися средствами. Вызовите диспетчер задач комбинацией клавиш {CTRL}+{ALT}+{DEL} или {CTRL}+{SHIFT}+{ESC}. Если получилось, то мы имеем дело с примитивным трояном, борьба с которым не доставит проблем. Найдите его в списке процессов и принудительно завершите.
Посторонний процесс выдаёт невнятное имя и отсутствие описания. Если сомневаетесь, просто поочерёдно выгружайте все подозрительные до исчезновения баннера.
Если диспетчер задач не вызывается, попробуйте использовать сторонний менеджер процессов через команду «Выполнить», запускаемую нажатием клавиш {Win}+{R}. Вот как выглядит подозрительный процесс в System Explorer.
Скачать программу можно с другого компьютера или даже с телефона. Она занимает всего пару мегабайт. По ссылке «проверить» происходит поиск информации о процессе в онлайновой базе данных, но обычно и так всё понятно. После закрытия баннера часто требуется перезапустить «Проводник» (процесс explorer.exe). В диспетчере задач нажмите: Файл -> Новая задача (выполнить) -> c:Windowsexplorer.exe.
Когда троян деактивирован на время сеанса, осталось найти его файлы и удалить их. Это можно сделать вручную или воспользоваться бесплатным антивирусом.
Типичное место локализации трояна – каталоги временных файлов пользователя, системы и браузера. Целесообразно всё же выполнять полную проверку, так как копии могут находиться где угодно, а беда не приходит одна. Посмотреть полный список объектов автозапуска поможет бесплатная утилита Autoruns.
Военная хитрость
Справиться с трояном на первом этапе поможет особенность в поведении некоторых стандартных программ. При виде баннера попробуйте запустить «вслепую» Блокнот или WordPad. Нажмите {WIN}+{R}, напишите notepad и нажмите {ENTER}. Под баннером откроется новый текстовый документ. Наберите любую абракадабру и затем коротко нажмите кнопку выключения питания на системном блоке. Все процессы, включая троянский, начнут завершаться, но выключения компьютера не произойдёт.
Останется диалоговое окно «Сохранить изменения в файле?». С этого момента на время сеанса мы избавились от баннера и можем добить трояна до перезагрузки.
Старая школа
Более продвинутые версии троянов имеют средства противодействия попыткам избавиться от них. Они блокируют запуск диспетчера задач, подменяют другие системные компоненты.
В этом случае перезагрузите компьютер и удерживайте клавишу {F8} в момент загрузки Windows. Появится окно выбора способа загрузки. Нам требуется «Безопасный режим с поддержкой командной строки» (Safe Mode with Command Prompt). После появления консоли пишем explorer и нажимаем {ENTER} – запустится проводник. Далее пишем regedit, нажимаем {ENTER} и видим редактор реестра. Здесь можно найти созданные трояном записи и обнаружить место, откуда происходит его автозапуск.
Чаще всего вы увидите полные пути к файлам трояна в ключах Shell и Userinit в ветке
HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon
В «Shell» троян записывается вместо explorer.exe, а в «Userinit» указывается после запятой. Копируем полное имя троянского файла в буфер обмена из первой обнаруженной записи. В командной строке пишем del, делаем пробел и вызываем правой клавишей мыши контекстное меню.
В нём выбираем команду «вставить» и нажимаем {ENTER}. Один файл трояна удалён, делаем тоже самое для второго и последующих.
Затем выполняем в реестре поиск по имени файла трояна, внимательно просматриваем все найденные записи и удаляем подозрительные. Очищаем все временные папки и корзину. Даже если всё прошло идеально, не поленитесь затем выполнить полную проверку любым антивирусом.
Если из-за трояна перестали работать сетевые подключения, попробуйте восстановить настройки Windows Sockets API утилитой AVZ.
Операция под наркозом
Со случаями серьёзного заражения бесполезно бороться из-под инфицированной системы. Логичнее загрузиться с заведомо чистой и спокойно вылечить основную. Существуют десятки способов сделать это, но один из самых простых – воспользоваться бесплатной утилитой Kaspersky WindowsUnlocker, входящей в состав Kaspersky Rescue Disk. Как и DrWeb LiveCD, он основан на Gentoo Linux. Файл-образ можно записать на болванку или сделать из него загрузочную флэшку утилитой Kaspersky USB Rescue Disk Maker.
Предусмотрительные пользователи делают это заблаговременно, а остальные обращаются к друзьям или идут в ближайшее интернет-кафе уже во время заражения.
При включении заражённого компьютера удерживайте клавишу для входа в BIOS. Обычно это {DEL} или {F2}, а соответствующее приглашение отображается внизу экрана. Вставьте Kaspersky Rescue Disk или загрузочную флэшку. В настройках загрузки (Boot options) выберите первым загрузочным устройством привод оптических дисков или флэшку (иногда она может отображаться в раскрываемом списке HDD). Сохраните изменения {F10} и выйдите из BIOS.
Современные версии BIOS позволяют выбирать загрузочное устройство на лету, без входа в основные настройки. Для этого требуется нажать {F12}, {F11} либо сочетание клавиш – подробнее смотрите в сообщении на экране, в инструкции к материнской плате или ноутбуку. После перезагрузки начнётся запуск Kaspersky Rescue Disk.
Доступен русский язык, а лечение можно выполнить в автоматическом или ручном режиме – смотрите пошаговую инструкцию на сайте разработчика.
Борьба на раннем этапе
Отдельный подкласс составляют трояны, поражающие главную загрузочную запись (MBR). Они появляются до загрузки Windows, и в секциях автозапуска вы их не найдёте.
Первый этап борьбы с ними заключается в восстановлении исходного кода MBR. В случае XP для этого загружаемся с установочного диска Windows, нажатием клавиши {R} вызываем консоль восстановления и пишем в ней команду fixmbr. Подтверждаем её клавишей {Y} и выполняем перезагрузку. Для Windows 7 аналогичная утилита называется BOOTREC.EXE, а команда fixmbr передаётся в виде параметра:
Bootrec.exe/FixMbr
После этих манипуляций система вновь загружается. Можно приступать к поиску копий трояна и средств его доставки любым антивирусом.
В крестовый поход с крестовой отвёрткой
На маломощных компьютерах и особенно ноутбуках борьба с троянами может затянуться, так как загрузка с внешних устройств затруднена, а проверка выполняется очень долго. В таких случаях просто извлеките заражённый винчестер и подключите его для лечения к другому компьютеру. Для этого удобнее воспользоваться боксами с интерфейсом eSATA или USB 3.0/2.0.
Чтобы не разносить заразу, предварительно отключаем на «лечащем» компьютере автозапуск с HDD (да и с других типов носителей не мешало бы). Сделать это удобнее всего бесплатной утилитой AVZ, но саму проверку лучше выполнять чем-то другим. Зайдите в меню «Файл», выберите «Мастер поиска и устранения проблем». Отметьте «Системные проблемы», «Все» и нажмите «Пуск». После этого отметьте пункт «Разрешён автозапуск с HDD» и нажмите «Исправить отмеченные проблемы».
Также перед подключением заражённого винчестера стоит убедиться, что на компьютере запущен резидентный антивирусный мониторинг с адекватными настройками и есть свежие базы.
Если разделы внешнего жёсткого диска не видны, зайдите в «Управление дисками». Для этого в окне «Пуск» -> «Выполнить» напишите diskmgmt.msc и затем нажмите {ENTER}. Разделам внешнего жёсткого диска должны быть назначены буквы. Их можно добавить вручную командой «изменить букву диска…». После этого проверьте внешний винчестер целиком.
Для предотвращения повторного заражения следует установить любой антивирус с компонентом мониторинга в режиме реального времени. Большой выбор антивирусов можно найти в одном из крупнейших маркетплейсов цифровых товаров ggsel.com.
Также рекомендуем придерживаться общих правил безопасности:
- старайтесь работать из-под учётной записи с ограниченными правами;
- пользуйтесь альтернативными браузерами – большинство заражений происходит через Internet Explorer;
- отключайте Java-скрипты на неизвестных сайтах;
- отключите автозапуск со сменных носителей;
- устанавливайте программы, дополнения и обновления только с официальных сайтов разработчиков;
- всегда обращайте внимание на то, куда на самом деле ведёт предлагаемая ссылка;
- блокируйте нежелательные всплывающие окна с помощью дополнений для браузера или отдельных программ;
- своевременно устанавливайте обновления браузеров, общих и системных компонентов;
- выделите под систему отдельный дисковый раздел, а пользовательские файлы храните на другом.
Следование последней рекомендации даёт возможность делать небольшие образы системного раздела (программами Symantec Ghost, Acronis True Image, Paragon Backup and Recovery или хотя бы стандартным средством Windows «Архивация и восстановление»). Они помогут гарантированно восстановить работу компьютера за считанные минуты независимо от того, чем он заражён и могут ли антивирусы определить трояна.
В статье приведены лишь основные методы и общие сведения. Если вас заинтересовала тема, посетите сайт проекта GreenFlash. На страницах форума вы найдёте множество интересных решений и советы по созданию мультизагрузочной флэшки на все случаи жизни.
Распространение троянов Winlock не ограничено Россией и ближним зарубежьем. Их модификации существуют практически на всех языках, включая арабский. Помимо Windows, заражать подобными троянами пытаются и Mac OS X. Пользователям Linux не дано испытать радость от победы над коварным врагом. Архитектура данного семейства операционных систем не позволяет написать сколь-нибудь эффективный и универсальный X-lock. Впрочем, «поиграть в доктора» можно и на виртуальной машине с гостевой ОС Windows.
В статье рассказывается:
Что это? Вирусы трояны – изначально не совсем корректное название, так как к вирусам по большому счету данный тип вредоносного ПО не относится. Вирусы распространяются самостоятельно, трояны маскируются под что-то полезное и требуют инициации.
Как защититься? Самый простой способ не заразить компьютер, смартфон или любое другое устройств трояном – не ходить по незнакомым ссылкам в Интернете и тем более не скачивать оттуда «полезные» программы. Подробнее о типах троянов и способах защиты от них читайте в нашем материале.
В статье рассказывается:
- Описание вируса троян
- Виды вирусов троянов
- Способы защиты от троянов
-
Пройди тест и узнай, какая сфера тебе подходит:
айти, дизайн или маркетинг.Бесплатно от Geekbrains
Описание вируса троян
Это вредоносное программное обеспечение ассоциируют с мифологическим троянским конём. «Троянский конь» – важный элемент древнегреческого мифа о завоевании Трои. Осада города длилась долгое время, и греки не могли придумать способ, как переломить ситуацию. Тогда они построили из дерева красивого коня и перенесли его к воротам Трои в качестве подарка.
На самом деле внутри этой постройки скрывались греческие воины. Когда поселенцы осаждённого города занесли подарок внутрь, солдаты дождались наступления темноты и выбрались из коня, атаковав гарнизон Трои.
Вирусы трояны тоже используют маскировку, чтобы проникнуть в систему. Вредоносное ПО начинает свою разрушительную деятельность после внедрения в систему. Трояны наносят ущерб пользователям или программному обеспечению устройств. Есть много вредоносных программ такого типа, созданных для разных целей: от захвата контроля над заражённым устройством до получения конфиденциальных данных.
Впервые термин «троян» по отношению к вредоносному программному обеспечению был применён в 1974 году. Это случилось в ходе анализа существующих программ-вредителей в США. Термин широко распространился после 1980 года.
Самым первым компьютерным вирусом трояном, получившим огласку и вызвавшим общественный резонанс, был AIDS Trojan 1989 года. Злоумышленники использовали его следующим образом: по почте были разосланы дискеты, якобы содержащие в себе данные о больных СПИДом. Но это было не так.
На самом деле на дискетах была установлена программа-вредитель, которая проникала в систему компьютера и зашифровывала информацию о файлах, находящихся в ней. Затем программа предлагала жертвам отправить несколько миллионов долларов на почтовый ящик в Панаме, чтобы вернуть доступ к данным.
Ещё один классический пример трояна – программа FinFisher (или FinSpy). Это вредоносное ПО было разработано для шпионажа и сбора конфиденциальных данных. Оно способно получать доступ к веб-камерам и микрофонам для осуществления своих функций. FinFisher может отправлять файлы из поражённой системы в компьютер злоумышленника.
Изначально программу-вредитель продавали правоохранительным органам, но считается, что ей пользовались и диктаторы. FinFisher использует множество способов маскировки, что уменьшает шансы найти вирус. Он может выглядеть как обычное электронное письмо, поддельное обновление установленных приложений, а также инсталлятор различных программ с подтверждённой репутацией, например, браузеров или плееров для просмотра видео.
Трояны могут наносить вред не только различным типам компьютеров, но и мобильным устройствам. Особенно часто атакам со стороны вирусов этого типа подвергаются телефоны на базе Android. Например, программы типа DoubleLocker. Они проникают в устройство, замаскировавшись под обновление Adobe Flash Player. После того, как пользователь скачает вирус, программа атакует системные файлы и заблокирует экран при помощи случайно выбранного пин-кода.
Топ-30 самых востребованных и высокооплачиваемых профессий 2023
Поможет разобраться в актуальной ситуации на рынке труда
Подборка 50+ бесплатных нейросетей для упрощения работы и увеличения заработка
Только проверенные нейросети с доступом из России и свободным использованием
ТОП-100 площадок для поиска работы от GeekBrains
Список проверенных ресурсов реальных вакансий с доходом от 210 000 ₽
Уже скачали 34216
Затем программа-вредитель потребует перевести средства на счёт злоумышленника, чтобы получить возможность избавиться от вируса трояна и разблокировать устройство.
Виды вирусов троянов
Бэкдоры
Это самый простой, но в то же время и наиболее опасный тип вредоносного ПО. Бэкдор может открывать доступ в систему для загрузки других программ злоумышленников и увеличивать уязвимость устройства. При помощи этого вируса создаются зомби-сети, которые используются для атак. Они называются ботнеты. Бэкдоры способны отслеживать трафик устройства и выполнять вредоносные команды.
Эксплойты
Это особый тип программ, которые включают в себя код или данные, открывающие доступ к компьютерной системе через уязвимые места.
Читайте также!
Лучшие антивирусы: параметры и выбора и топ сервисов
Руткиты
Такие трояны нужны для маскировки каких-либо действий или объектов в системе. Они затрудняют обнаружение вирусов, что позволяет увеличить длительность работы вредоносных программ с устройством.
Дропперы / Загрузчики
Самой известной программой этого типа является Emotet. Она не может выполнять какой-либо код на устройстве, но позволяет загрузить в него другие вирусы. При этом программам-загрузчикам необходимо подключение к сети, тогда как дропперы способны работать без доступа к интернету.
Трояны этих двух типов можно удалённо обновлять, что позволяет им оставаться в системе, даже если пользователь решит проверить свои устройства на вирусы. Кроме того, удалённая настройка позволяет добавить в программу новые функции.
Банковские трояны
Такие программы встречаются очень часто. Банковские трояны созданы для получения доступа к чужим счетам и конфиденциальным данным, что позволяет преступникам присваивать денежные средства.
Как правило, при работе такого вредоносного ПО используется фишинг. Жертва перенаправляется на поддельную страницу для ввода данных аутентификации. Обезопасить себя от этого вируса достаточно просто. Нужно использовать для входа в банковскую систему официальное приложение банка, а не сомнительные ссылки.
Трояны, выполняющие DDoS-атаки
Это вирусные атаки типа «отказ в обслуживании». На сервер обрушивается очень большое количество запросов. Обычно этот процесс реализуется при участии ботнетов, состоящих из взаимосвязанных компьютеров-зомби, на которые установлен вирус. При этом пользователю очень сложно догадаться, что на его систему оказывается воздействие, ведь устройство продолжает функционировать в обычном режиме.
В нужный момент ботнет активируется разработчиком и начинает свою деятельность. В июне 2020 года такой атаке подвергся сайт Аmazon. Скорость запросов составляла 2,3 терабайтов в секунду, что является рекордно большим значением. Компании удалось отразить эту интенсивную атаку и привести показатели к прежним значениям. Если бы злоумышленники добились успеха, то сайт перестал бы быть доступным для пользователей.
Скачать
файл
Трояны, имитирующие антивирусы
Что делают вирусы трояны этого типа? Они маскируются под антивирусную программу, не являясь ею. При запуске такого сервиса в устройстве обнаруживается множество вирусов, что вызывает страх у пользователя. Потом программа предлагает приобрести надёжную защиту от обнаруженных угроз, заплатив за неё.
Если пользователь согласится на покупку, то его платёжные данные попадут к злоумышленникам и будут использованы для кражи средств со счетов. Как обезопаситься от такого вируса? Не переходите по сомнительным ссылкам, заявляющим об обнаружении угроз. Пользуйтесь проверенным антивирусным ПО.
Похитители игровых аккаунтов
Чем опасен такой вирус троян? Он представляет угрозу для активных пользователей онлайн-игр. Эта программа ворует учётные записи игроков.
Трояны, атакующие приложения для обмена мгновенными сообщениями
В настоящее время приложения наподобие Skype и ICQ утратили свою былую популярность. Однако нельзя утверждать, что новые программы, пришедшие им на смену, полностью защищены от проникновения вирусов. WhatsApp и Telegram тоже являются уязвимыми для программ-вредителей. В 2020 году уже был зарегистрирован случай распространение троянов через Telegram.
Дарим скидку от 60%
на курсы от GeekBrains до 18 мая
Уже через 9 месяцев сможете устроиться на работу с доходом от 150 000 рублей
Забронировать скидку
Разработчики программ для обмена сообщениями должны постоянно совершенствовать свои приложения, чтобы оставаться защищёнными от фишинговых атак, но никто не может дать 100 % гарантии, что пользователи находятся в полной безопасности.
Злоумышленники постоянно разрабатывают новые, более совершенные виды вирусов. Например, вредоносная программа Skygofree может получать доступ к сообщениям в приложении WhatsApp, читать их и похищать данные.
Трояны-вымогатели
Пожалуй, самые известные из всех вирусов троянов. Они блокируют доступ к определенным данным или ко всему устройству, заставляя пользователя заплатить злоумышленнику установленный выкуп для разблокировки системы. Обычно на экране компьютера или телефона появляется заставка, от которой невозможно избавиться. Требования о перечислении денежных средств могут располагаться прямо на ней или поступить к пользователю по другому каналу.
SMS-трояны
На первый взгляд может показаться, что такие программы-вредители уже устарели. На самом деле многие люди продолжают пользоваться SMS-сообщениями. SMS-трояны работают различными методами. Они могут рассылать с вашего номера сообщения по международным номерам, заставляя вас оплачивать эту услугу. Кроме того, эти вредоносные программы способны подключаться к дорогим SMS -сервисам.
Только до 19.05
Скачай подборку материалов, чтобы гарантированно найти работу в IT за 14 дней
Список документов:
ТОП-100 площадок для поиска работы от GeekBrains
20 профессий 2023 года, с доходом от 150 000 рублей
Чек-лист «Как успешно пройти собеседование»
Чтобы получить файл, укажите e-mail:
Введите e-mail, чтобы получить доступ к документам
Подтвердите, что вы не робот,
указав номер телефона:
Введите телефон, чтобы получить доступ к документам
Уже скачали 52300
Трояны-шпионы
Что делает этот вирус троян? Он отслеживает всё, чем вы занимаетесь на компьютере. Эта вредоносная программа может делать снимки экрана, контролировать посещение сайтов и запуск приложений, передавая всю информацию о действиях пользователя злоумышленникам.
Трояны-сборщики адресов электронной почты
Такие вредоносные программы собирают адреса электронной почты пользователя на устройстве.
Есть и другие типы троянов, которые доставляют неудобства людям и представляют собой угрозу для системы:
- Трояны, вызывающие сбои архиватора.
- Трояны-кликеры.
- Трояны, уведомляющие злоумышленника.
- Трояны-прокси.
- Трояны для кражи аккаунтов.
Способы защиты от троянов
Существует множество вариантов проникновения программ-вредителей в систему. Вирусы могут попасть в ваш компьютер или телефон в результате открытия вложений, полученных по электронной почте, или перехода по незнакомой ссылке. Незнакомые программы или приложения также могут содержать в себе вредоносное ПО. Конечно, лучше заранее обезопасить себя от троянов, минимизировав работу с сомнительными источниками, чем устранять возникшую проблему.
Обычно люди хотят сэкономить и ищут самые дешёвые варианты программного обеспечения. Не забывайте, что установка пиратской программы может привести к заражению устройства.
Как мы уже говорили, трояны отличаются от вирусов, хоть и принято относить их к одному виду вредоносных программ. Вирусы распространяются по системе самостоятельно и не требуют постоянного контроля со стороны разработчика.
Привлекает мир кодирования и создания программ? На курсе программиста с нуля до Junior вы освоите основы, познакомитесь с языками и инструментами разработки, и станете готовы к созданию своих первых проектов в IT-индустрии.
Трояны лишь предоставляют доступ к устройству и данным, которые на нём содержатся. Последствия заражения трояном могут быть не менее разрушительными, чем результаты вирусной атаки.
Удаление трояна является нелёгким делом. Если у вас возникли подозрения, что устройство атаковано вредоносной программой, обратите внимание на следующие моменты, которые смогут подтвердить ваши догадки:
- Во время пользования интернетом система сама переводит вас на страницы, которые вы не открывали.
- Нарушена работа антивируса. Он не включается вовсе или выдаёт ошибки при попытке использования.
- Панель инструментов Windows исчезла.
- Время от времени устройство выдаёт диалоговые окна, которые появляются независимо от ваших действий.
- Изменился фон и общее цветовое решение W
- Кнопка «Пуск» пропала или перестала работать.
- Вы не можете войти в систему, потому что ваш пароль перестал быть актуальным.
- Не работает сочетание клавиш Ctrl + Alt + Del.
- Кнопки мыши перестали выполнять прежние функции.
- Экран устройства самопроизвольно включается и выключается. Кроме того, его включение может сопровождаться появлением нетипичной заставки или «цветомузыки».
- Принтер начал работать независимо от ваших команд.
Вот несколько рекомендаций, которые помогут вам защитить своё устройство от проникновения троянов вирусов:
- Не открывайте электронные письма с незнакомых адресов. Если в письме есть вложение, то подумайте, нужно ли вам его открывать. Такие документы и ссылки часто содержат в себе трояны.
- Регулярно обновляйте программы и приложения, которые установлены на ваших устройствах. Обновления призваны исправить уязвимые места в ПО и минимизировать риск проникновения вируса.
- Не пользуйтесь макросами в программах Word и Excel.
- Не переходите по незнакомым и сомнительным ссылкам. Они могут привести вас на поддельный сайт, который установит на ваше устройство вредоносное программное обеспечение в фоновом режиме.
- Загружайте любые программы только из проверенных источников. Особенно это касается мобильных приложений. Если нужная программа отсутствует в Google Play Store и Apple Store,то следует задуматься о её безопасности.
- Зайдите в настройки и установите отображение всех расширений файлов. Тогда вы сразу заметите, если какой-либо файл на самом деле является не тем, чем кажется. Например, изображение имеет расширение не jpg, a exe.
Читайте также!
Виды компьютерных вирусов: можно ли от них защититься
- При посещении сайтов и сервисов, связанных с платёжными системами и владеющих конфиденциальными данными пользователя, используйте двухфакторную аутентификацию. Это позволит обезопасить данные от злоумышленников и запретить доступ к вашему аккаунту даже в том случае, если им удастся завладеть паролем.
- Время от времени проверяйте систему на наличие вредоносных программ при помощи антивирусного ПО.
- Производите резервное копирование данных. Это касается как облачных сервисов, так и физических носителей информации.
В нашей статье мы рассмотрели основные виды вирусов троянов. Их отличительной особенностью является то, что они могут попасть на устройство только в результате действий пользователя. Чтобы не получить серьёзную проблему и не думать, как удалить программу-вредитель и восстановить утраченные данные, соблюдайте простые правила.
Будьте осторожны при работе в интернете, не переходите по незнакомым ссылкам в электронных письмах и в сети, для установки программ и приложений пользуйтесь только проверенными источниками. Не забывайте регулярно обновлять операционную систему и проводить проверку компьютера или мобильного устройства при помощи антивирусной программы.
Основная статья: Вредоносная программа (зловред)
Особенности
Отдельные категории троянских программ наносят ущерб удаленным компьютерам и сетям, не нарушая работоспособность зараженного компьютера (например, троянские программы, разработанные для распределенных DoS-атак на удаленные ресурсы сети). Трояны отличаются отсутствием механизма создания собственных копий.
Некоторые трояны способны к автономному преодолению защиты компьютерной системы, с целью проникновения и заражения системы. В общем случае, троян попадает в систему вместе с вирусом либо червем, в результате неосмотрительных действий пользователя или же активных действий злоумышленника.
Большинство троянских программ предназначено для сбора конфиденциальной информации. Их задача, чаще всего, состоит в выполнении действий, позволяющих получить доступ к данным, которые не подлежат широкой огласке. К таким данным относятся пользовательские пароли, регистрационные номера программ, сведения о банковских счетах и т. д. Остальные троянцы создаются для причинения прямого ущерба компьютерной системе, приводя ее в неработоспособное состояние.
Виды троянских программ
Наиболее распространены следующие виды троянов:
- Клавиатурные шпионы (Trojan-SPY) — трояны, постоянно находящиеся в памяти и сохраняющие все данные поступающие от клавиатуры с целью последующей передачи этих данных злоумышленнику. Обычно таким образом злоумышленник пытается узнать пароли или другую конфиденциальную информацию
- Похитители паролей (Trojan-PSW) — трояны, также предназначенные для получения паролей, но не использующие слежение за клавиатурой. Обычно в таких троянах реализованы способы извлечения паролей из файлов, в которых эти пароли хранятся различными приложениями
- Утилиты удаленного управления (Backdoor) — трояны, обеспечивающие полный удаленный контроль над компьютером пользователя. Существуют легальные утилиты такого же свойства, но они отличаются тем, что сообщают о своем назначении при установке или же снабжены документацией, в которой описаны их функции. Троянские утилиты удаленного управления, напротив, никак не выдают своего реального назначения, так что пользователь и не подозревает о том, что его компьютер подконтролен злоумышленнику. Наиболее популярная утилита удаленного управления — Back Orifice
- Анонимные smtp-сервера и прокси (Trojan-Proxy) — трояны, выполняющие функции почтовых серверов или прокси и использующиеся в первом случае для спам-рассылок, а во втором для заметания следов хакерами
- Модификаторы настроек браузера (Trojan-Cliker) — трояны, которые меняют стартовую страницу в браузере, страницу поиска или еще какие-либо настройки, для организации несанкционированных обращений к интернет-ресурсам
- Инсталляторы прочих вредоносных программ (Trojan-Dropper) — трояны, представляющие возможность злоумышленнику производить скрытую установку других программ
- Загрузчики вредоносных программ (Trojan Downloader) — трояны, предназначенные для загрузки на компьютер-жертву новых версий вредоносных программ, или рекламных систем
- Уведомители об успешной атаке (Trojan-Notifier) — трояны данного типа предназначены для сообщения своему «хозяину» о зараженном компьютере
- «Бомбы» в архивах (ARCBomb) — трояны, представляющие собой архивы, специально оформленные таким образом, чтобы вызывать нештатное поведение архиваторов при попытке разархивировать данные — зависание или существенное замедление работы компьютера, заполнение диска большим количеством «пустых» данных
- Логические бомбы — чаще не столько трояны, сколько троянские составляющие червей и вирусов, суть работы которых состоит в том, чтобы при определенных условиях (дата, время суток, действия пользователя, команда извне) произвести определенное действие: например, уничтожение данных
- Утилиты дозвона — сравнительно новый тип троянов, представляющий собой утилиты dial-up доступа в интернет через платные почтовые службы. Такие трояны прописываются в системе как утилиты дозвона по умолчанию и влекут за собой крупные счета за пользование интернетом
Принцип действия троянских программ
Все «Троянские кони» имеют две части: клиент и сервер. Клиент осуществляет управление серверной частью программы по протоколу TCP/IP. Клиент может иметь графический интерфейс и содержать в себе набор команд для удалённого администрирования.
Серверная часть программы — устанавливается на компьютере жертвы и не содержит графического интерфейса. Серверная часть предназначена для обработки (выполнения) команд от клиентской части и передаче запрашиваемых данных злоумышленнику. После попадания в систему и захвата контроля, серверная часть трояна прослушивает определённый порт, периодически проверяя соединение с интернетом и если соединение активно, она ждёт команд от клиентской части. Злоумышленник при помощи клиента пингует определённый порт инфицированного узла (компьютера жертвы). Если серверная часть была установлена, то она ответит подтверждением на пинг о готовности работать, причём при подтверждении серверная часть сообщит взломщику IP-адрес компьютера и его сетевое имя, после чего соединение считается установленным. Как только с Сервером произошло соединение, Клиент может отправлять на него команды, которые Сервер будет исполнять на машине-жертве. Также многие трояны соединяются с компьютером атакующей стороны, который установлен на приём соединений, вместо того, чтобы атакующая сторона сама пыталась соединиться с жертвой.
История
2024
Группировка TaxOff использует сложный бэкдор в атаках на российский госсектор
Специалисты департамента исследования угроз экспертного центра безопасности Positive Technologies (PT Expert Security Center) обнаружили APT-группировку, которая атакует организации российского государственного сектора. В зафиксированной серии инцидентов для проникновения в ИТ-инфраструктуру злоумышленники использовали фишинговые электронные письма на темы финансов и права — в связи с этим эксперты назвали группировку TaxOff. Киберпреступники применяли в атаках высокотехнологичный бэкдор, который способен оставаться незаметным даже при одновременном выполнении множества задач. Об этом Positive Technologies сообщили 28 ноября 2024 года. Подробнее здесь.
Российских подписчиков финансовых Telegram-каналов атакуют вирусы-шпионы
1 ноября 2024 года стало известно о том, что российские пользователи финансовых Telegram-каналов подвергаются атакам вирусов-шпионов. Специалисты «Лаборатории Касперского» сообщили о новой кибератаке с использованием трояна DarkMe, который активно применяется для получения удаленного доступа к устройствам и кражи данных подписчиков в более чем 20 странах мира, включая Россию. Подробнее здесь.
Внезапно погас экран смартфона? Это троян Medusa роется по вашим банковским счетам
В конце июня 2024 года исследователи кибербезопасности обнаружили обновленную версию банковского трояна для Android под названием Medusa, который использовался для атак на пользователей в Канаде, Франции, Италии, Испании, Турции, Великобритании и США. Подробнее здесь
В арсенале активной в России группировки ExCobalt выявлен неизвестный ранее бэкдор
Positive Technologies выявила новый бэкдор, написанный на языке Go, в арсенале активной в России группировки ExCobalt. Об этом компания сообщила 7 июня 2024 года.
В марте 2024 года в ходе расследования инцидента мы обнаружили файл с названием scrond, сжатый с помощью упаковщика UPX (Ultimate Packer for eXecutables), на одном из Linux-узлов клиента, — сказал Денис Кувшинов, руководитель отдела исследования киберугроз экспертного центра безопасности Positive Technologies. — В данных распакованного семпла, написанного на языке Go, были найдены пути пакетов, содержащие подстроку red.team/go-red/. Это позволило нам предположить, что семпл является проприетарным инструментом GoRed. В процессе анализа GoRed мы обнаружили, что несколько версий программы уже встречали ранее во время реагирования на инциденты у ряда клиентов. |
Дальнейший анализ инструмента позволил специалистам компании установить его связь с группировкой ExCobalt, об атаках которой в PT ESC рассказывали в ноябре 2023 года.
Как работает институт «цифровых атташе», и в каких странах ждут российских ИТ-экспортёров. Интервью с Владимиром Дождёвым, Минпромторг 7.4 т
ExCobalt известна атаками на российские компании в сферах металлургии, телекоммуникаций, горной промышленности, ИТ и госсектора. Она также занимается кибершпионажем и кражей данных.
Бэкдор, названный в PT ESC по имени изначально обнаруженного семпла GoRed, имеет множество функций, включая удаленное выполнение команд, сбор данных из скомпрометированных систем и использование различных методов коммуникации с C2-серверами.
Исследование Positive Technologies показывает, что группировка ExCobalt продолжает активно атаковать российские компании, постоянно улучшая свои методы и инструменты, включая бэкдор GoRed. Злоумышленники расширяют функциональность GoRed для более сложных и скрытных атак и кибершпионажа. Участники ExCobalt демонстрируют гибкость, используя модифицированные инструменты для обхода защитных мер, что указывает на их глубокое понимание уязвимостей в инфраструктуре компаний. В целом развитие ExCobalt подчеркивает необходимость постоянного совершенствования методов защиты и обнаружения атак для противодействия таким киберугрозам.
Полную версию отчета можно прочитать в блоге команды PT ESC[1].
2023
Число атак на пользователей мобильных устройств в России выросло в 1,5 раза
По данным «Лаборатории Касперского», в 2023 году по сравнению с 2022-м количество кибератак на пользователей Android-устройств в России выросло в 1,5 раза. Об этом компания сообщила 23 января 2024 года. Одним из наиболее распространённых видов мобильных зловредов стали различные троянцы, то есть программы, которые зачастую маскируются под легитимные. В целом функционал троянцев отличается в зависимости от вида вредоносного ПО, к которому они принадлежат. Например, они могут красть данные жертв на устройствах, оформлять нежелательные подписки, выманивать деньги.
Векторы заражения троянцами очень разнообразны. Часто пользователи могут столкнуться с ними, когда устанавливают программы из неофициальных источников. При этом злоумышленники используют различные приманки, чтобы убедить жертву скачать вредоносную программу, — маскируют её под полезное или известное приложение. Другой вектор — заражение устройств на одном из этапов цепочки поставок. В этом случае человек может приобрести устройство с уже предустановленной вредоносной программой. Стоит отметить, что такая угроза актуальна и для российских пользователей.
Злоумышленники используют разные приманки для распространения троянцев на неофициальных ресурсах. Среди наиболее актуальных в 2023 году для русскоязычного сегмента можно отметить фальшивые установщики обновлений различных системных приложений, например предустановленных сторов. За такими приложениями чаще всего скрывались банковские троянцы, реже — СМС-троянцы и нежелательные рекламные приложения. Среди приманок также использовались ненастоящие приложения банков. В этом случае вредоносное приложение открывало фишинговую страницу авторизации в личном кабинете финансовой организации. Вредоносное ПО также активно распространялось в составе модов для мессенджеров. Таким образом в том числе распространялся троянец-шпион CanesSpy. Он мог красть данные с заражённого смартфона список контактов и информацию об аккаунтах на устройстве, документы, а также начинал по команде вести запись с микрофона устройства, — сказал Дмитрий Калинин, эксперт по кибербезопасности в «Лаборатории Касперского». |
Среди других приманок, под видом которых распространялись троянцы, эксперты также выделяют моды для игр и фальшивые инвестиционные проекты, под вторыми на самом деле скрываются скам-приложения.
В «Лаборатории Касперского» также представили прогнозы по ландшафту мобильных угроз на ближайшее будущее и обратили внимание на потенциальные векторы развития, за которыми экспертам предстоит наблюдать особенно пристально.
Полагаем, что в ближайшем будущем вырастет количество продвинутых атак на мобильные платформы, так как злоумышленники постоянно ищут новые способы доставки зловредов, а сами вредоносные программы становятся сложнее. Как следствие, злоумышленники могут искать новые способы монетизации своих усилий. К тому же, важно наблюдать и анализировать, как изменится ландшафт киберугроз, если на iOS появится возможность устанавливать приложения из альтернативных магазинов в обход App Store без джейлбрейка. Риск для пользователей представляет ситуация с удалением российских приложений из зарубежных сторов. Злоумышленники могут пользоваться этой ситуацией и распространять на неофициальных площадках под видом удалённых приложений вредоносные, — отметил Дмитрий Галов, руководитель российского исследовательского центра «Лаборатории Касперского». |
Для защиты от различных киберугроз для мобильных платформ эксперты «Лаборатории Касперского» рекомендуют соблюдать основные правила безопасности:
- скачивать приложения только на официальных площадках: магазинах приложений или на сайтах компаний-разработчиков, и регулярно обновлять их;
- перед тем, как скачивать приложение, прочитать отзывы о нём и посмотреть оценки;
- критически относится к крайне щедрым или чересчур пугающим сообщениям;
- не переходить по ссылкам из сомнительной рекламы в интернете, особенно критично стоит относиться к обещаниям лёгкого заработка;
- использовать надёжные решения, в том числе и на мобильных устройствах.
Заражение Windows-компьютеров модульной троянской программой-загрузчика Trojan.Fruity.1
Компания «Доктор Веб» выявила атаку на пользователей Windows с применением модульной троянской программы-загрузчика Trojan.Fruity.1. С ее помощью злоумышленники способны заражать компьютеры различными типами вредоносных приложений в зависимости от своих целей. Для сокрытия атаки и повышения шансов на ее действенность используется ряд приемов. Среди них — многоступенчатый процесс заражения целевых систем, применение безобидных программ для запуска компонентов трояна, а также попытка обойти антивирусную защиту. Об этом 27 июля 2023 года сообщили в «Доктор Веб». Подробнее здесь.
С помощью трояна в пиратских сборках Windows злоумышленники похитили криптовалюту на $19 тыс.
Специалисты «Доктор Веб» выявили троянскую программу-стилер в ряде неофициальных сборок ОС Windows 10, которые злоумышленники распространяли через один из торрент-трекеров. Как 14 июня 2023 года TAdviser сообщили представители «Доктор Веб», вредоносное приложение, получившее имя Trojan.Clipper.231, подменяет адреса криптокошельков в буфере обмена на адреса, заданные мошенниками. С помощью данного трояна злоумышленникам уже удалось похитить криптовалюту на сумму, эквивалентную порядка $19 тыс.
По подсчетам наших вирусных аналитиков, на момент публикации этой новости с помощью стилера Trojan.Clipper.231 злоумышленники украли 0.73406362 BTC и 0.07964773 ETH, что примерно эквивалентно сумме $18 976,29, или 1 568 233 рубля, — говорится в сообщении компании. |
В пиратских сборках Windows обнаружен стилер для кражи криптовалюты
Фото: akket.com
В конце мая 2023 года в «Доктор Веб» обратился клиент с подозрением на заражение компьютера под управлением ОС Windows 10. Проведенный специалистами компании анализ подтвердил факт присутствия троянских программ в системе — стилера Trojan.Clipper.231, а также вредоносных приложений Trojan.MulDrop22.7578 и Trojan.Inject4.57873, осуществлявших его запуск. Вирусная лаборатория «Доктор Веб» локализовала все эти угрозы и
справилась с их обезвреживанием.
В то же время выяснилось, что целевая ОС являлась неофициальной сборкой, и вредоносные программы были встроены в нее
изначально. Дальнейшее исследование позволило выявить несколько таких зараженных сборок Windows:
- Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso
- Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik RU.iso
- Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.iso
- Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 by BoJlIIIebnik [RU, EN].iso
- Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU, EN].iso
По информации «Доктор Веб», все сборки были доступны для скачивания на одном из торрент-трекеров. В компании при этом не исключают, что злоумышленники используют и другие сайты для распространения инфицированных образов системы.
Вредоносные программы в этих сборках расположены в системном каталоге:
- \Windows\Installer\iscsicli.exe (Trojan.MulDrop22.7578)
- \Windows\Installer\recovery.exe (Trojan.Inject4.57873)
- \Windows\Installer\kd_08_5e78.dll (Trojan.Clipper.231)
Инициализация стилера происходит в несколько стадий. На первом этапе через системный планировщик задач запускается вредоносная программа Trojan.MulDrop22.7578: %SystemDrive%\Windows\Installer\iscsicli.exe. Ее задача — смонтировать системный EFI-раздел на диск M:\, скопировать на него два других компонента, после чего удалить оригиналы троянских файлов с диска C:\, запустить Trojan.Inject4.57873 и размонтировать EFI-раздел.
В свою очередь, Trojan.Inject4.57873 с использованием техники Process Hollowing внедряет Trojan.Clipper.231 в
системный процесс %WINDIR%\\System32\\Lsaiso.exe, после чего стилер начинает работать в его контексте, пояснили эксперты «Доктор Веб».
Получив управление, Trojan.Clipper.231 приступает к отслеживанию буфера обмена и подменяет скопированные адреса криптокошельков на адреса, заданные злоумышленниками. При этом у него имеется рад ограничений. Во-первых, выполнять
подмену он начинает только при наличии системного файла %WINDIR%\\INF\\scunown.inf. Во-вторых, троян проверяет активные процессы. Если он обнаруживает процессы ряда опасных для него приложений, то подмену адресов криптокошельков не производит.
Внедрение вредоносных программ в EFI-раздел компьютеров как вектор атаки по-прежнему встречается весьма редко. Поэтому выявленный случай представляет большой интерес для специалистов по информационной безопасности, — отметили в «Доктор Веб». |
В компании рекомендуют пользователям скачивать только оригинальные ISO-образы операционных систем и только из проверенных источников, таких как сайты производителей.
Уязвимость SymStealer поставила под удар каждого пользователя Google Chrome
13 марта 2023 года стало известно о том, что команда Imperva Red в конце 2022 года обнаружила в браузере Google Chrome уязвимость, которая отслеживается под идентификатором CVE-2022-3656. На момент, когда уязвимость была активна, она затрагивала свыше 2,5 миллиардов пользователей Chrome и позволяла злоумышленникам украсть конфиденциальные файлы, такие как криптокошельки и учётные данные облачного провайдера.
Уязвимость была обнаружена в ходе проверки способов взаимодействия браузера с файловой системой, в частности поиска общих уязвимостей, связанных с тем, как браузеры обрабатывают символические ссылки. Символические ссылки (symlink) представляют собой тип файла, который указывает на другой файл или каталог, что позволяет операционной системе обрабатывать связанный файл или каталог, как если бы он находился в расположении символической ссылки. Это может быть полезно для создания ярлыков, перенаправления путей к файлам или более гибкой организации файлов.
Иллюстрация:securitylab.ru
Однако символические ссылки также могут создавать уязвимости, если они не обрабатываются должным образом. В случае уязвимости CVE-2022-3656 браузер неправильно проверял, указывает ли символическая ссылка на место, доступ к которому не предполагается, что позволяло украсть конфиденциальные файлы.
Злоумышленник может создать поддельный веб-сайт, предлагающий, например, услугу криптокошелька. А в процессе создания кошелька попросить скачать на компьютер так называемые «ключи восстановления». Эти ключи на самом деле будут zip-файлом, содержащим символическую ссылку на конфиденциальный файл или папку на компьютере пользователя, например учётные данные облачного провайдера. Когда пользователь разархивирует и загрузит ключи восстановления обратно на веб-сайт, символическая ссылка будет обработана, и злоумышленник получит доступ к нужному конфиденциальному файлу. Пользователь может даже не осознавать, что что-то не так, поскольку веб-сайт может выглядеть вполне законным, а процесс загрузки и выгрузки ключей восстановления — нормальная практика для криптовалютных кошельков.
Google полностью устранила уязвимость символических ссылок в Chrome версии 108. Чтобы защитить свои криптоактивы, важно поддерживать программное обеспечение в актуальном состоянии, избегать загрузки сомнительных файлов или перехода по ссылкам из ненадежных источников[2].
Обновлённый пакистанский троян ReverseRAT нацелен на госучреждения Индии
ИБ-компания ThreatMon обнаружила целевую фишинговую кампанию, нацеленную на правительственные учреждения Индии, которая приводит к развертыванию обновленной версии RAT-трояна ReverseRAT. Специалисты ThreatMon приписали эту активность группировке SideCopy. Об этом стало известно 21 февраля 2023 года.
SideCopy — хакерская группа пакистанского происхождения, которая пересекается с другим субъектом угроз под названием Transparent Tribe. Она названа так потому, что имитирует цепочки заражения SideWinder для доставки собственного вредоносного ПО. SideCopy впервые была замечена в 2021 году во время развертывания ReverseRAT в атаках на правительства и энергетические компании в Индии и Афганистане.
Обнаруженная кампания SideCopy использует программу для двухфакторной аутентификации Kavach, которое используется индийскими госслужащими. Цепочка заражения начинается с фишингового письма, содержащего документ Word с поддержкой макросов («Cyber Advisory 2023.docm»).
Файл имитирует рекомендацию Министерства связи Индии об угрозах на устройства Android и реагирование на них («Android Threats and Prevention»). Кроме того, большая часть контента была скопирована из реального предупреждения Министерства.
После открытия файла и включения макросов выполняется вредоносный код, который приводит к развертыванию ReverseRAT в скомпрометированной системе. Как только ReverseRAT получает постоянство, он перечисляет устройства жертвы, собирает данные, шифрует их с помощью RC4 и отправляет их на сервер управления и контроля (C2, C&C). Бэкдор ожидает выполнения команд на целевой машине, и некоторые из его функций включают создание снимков экрана, загрузку и выполнение файлов, а также эксфильтрацию файлов на сервер C2.
Бэкдор ReverseRAT впервые был обнаружен в 2021 году компанией Black Lotus Labs. Тогда эксперты пояснили, что операторы трояна нацелены на правительственные и энергетические организации в регионах Южной и Центральной Азии.
С 2020 года SideWinder, с которой связана группа SideCopy, совершила серию из 1000 атак , применяя все более изощренные методы кибератак. В 2022 году «Лаборатория Касперского» рассказала о целях SideWinder – военных и правоохранительных органах Пакистана, Бангладеш и других стран Южной Азии. Считается, что группировка связана с правительством Индии, но ЛК утверждает, что группировка не относится к какой-либо стране[3].
2022
Linux-бэкдор взламывает сайты под управлением WordPress
Компания «Доктор Веб» выявила троянскую программу для ОС Linux, которая взламывает сайты на базе CMS WordPress через эксплуатацию 30 уязвимостей в ряде плагинов и тем оформления для этой платформы. Подробнее здесь.
Распространение трояна Godfather по всему миру
21 декабря 2022 года в компании Group-IB сообщили о распространении нового банковского трояна по всему миру — Godfather. Он атакует пользователей финансовых сервисов. Подробнее здесь.
Троян Qakbot распространяется внутри SVG-изображений
Исследователи кибербезопасности из Cisco Talos обнаружили, что операторы Qakbot распространяют вредоносное ПО с помощью SVG-изображений, встроенных в HTML-вложения электронной почты. Об этом стало известно 15 декабря 2022 года.
Такой метод распространения называется HTML Smuggling (Контрабанда HTML) — он использует функции HTML и JavaScript для запуска закодированного вредоносного кода, содержащегося во вложении-приманке, и доставки полезной нагрузки на компьютер жертвы.
Цепочка атаки
В цепочке атак JavaScript-сценарий вставляется внутрь SVG-изображения и выполняется, когда получатель письма запускает HTML-вложение. После запуска скрипт создаёт вредоносный ZIP-архив и предоставляет пользователю диалоговое окно для сохранения файла.
ZIP-архив также защищен паролем, который отображается в HTML-вложении, после чего извлекается ISO-образ для запуска трояна Qakbot.
Процесс заражения Qakbot
Как сообщили специалисты из компании Sophos, Qakbot собирает большой спектр информации профиля с зараженных систем, включая сведения о всех настроенных учетных записях пользователей, разрешениях, установленном программном обеспечении, запущенных службах и пр[4].
Harly — троян-подписчик в Google Play
Исследователи «Лаборатории Касперского» сообщили о трояне Harly, активном с 2020 года. Согласно отчету, вредоносом заражено по меньшей мере 190 приложений, у которых суммарно 4.8 миллиона скачиваний. Однако жертв может быть гораздо больше. Об этом стало известно 27 сентября 2022 года.
Чтобы обмануть пользователей, операторы Harly используют стратегию трояна Jocker – загружают из Google Play легитимные приложения, встраивают в них вредоносный код и выгружают их обратно под другим именем. При этом, чтобы не вызывать подозрений, разработчики оставляют приложениям их функционал.
Примеры приложений, содержащих зловред, в Google Play
Однако, у Harly и Jocker есть отличие: первый троян содержит всю полезную нагрузку внутри приложения и различными способами расшифровывают ее для запуска, а второй – многоуровневый загрузчик, получающий полезную нагрузку с серверов злоумышленников.
После запуска приложения, зараженного Harly, происходит загрузка подозрительной библиотеки в которой происходит расшифровка файла из ресурсов приложения. После расшифровки троян собирает информацию об устройстве пользователя, в особенности о мобильной сети. Телефон пользователя переключается на мобильную сеть, после чего троян запрашивает у командного сервера конфигурацию и список подписок, которые необходимо оформить.
Затем Harly в невидимом окне открывает адрес подписки, с помощью инъекции JS-скриптов вводит номер телефона пользователя, нажимает нужные кнопки и подставляет проверочный код, извлеченный из пришедшего на телефон SMS. В результате без ведома пользователя на него оформляется подписка.
Еще одна интересная особенность Harly — он умеет оформлять подписки, защищенные не только SMS-кодом, но и телефонным звонком: троян совершает звонок по определенному номеру, подтверждая оформление подписки.
Чтобы не стать жертвой таких приложений, эксперты рекомендуют пользователям смотреть на отзывы о приложениях перед загрузкой[5].
Разработчик RAT-трояна выложил его исходный код на GitHub
Исследователи SafeBreach Labs проанализировали обновленную кампанию, нацеленную на разработчиков, говорящих на фарси. Злоумышленники использовали документ Microsoft Word, который включал эксплойт Microsoft Dynamic Data Exchange (DDE) вместе с ранее неизвестным трояном удаленного доступа RAT, отслеживаемым SafeBreach Labs как CodeRAT. Примечательно, что эксперты смогли идентифицировать разработчика CodeRAT, который решил опубликовать исходный код CodeRAT в своей общедоступной учетной записи GitHub. Об этом стало известно 5 сентября 2022 года
Иллюстрация:www.securitylab.ru
CodeRAT позволяет оператору отслеживать активность жертвы в соцсетях и на локальных компьютерах, поддерживая 50 команд, включая:
- создание снимков экрана;
- копирование буфера обмена;
- завершение процессов;
- анализ использования графического процессора;
- загрузку, выгрузку и удаление файлов;
- мониторинг запущенных процессов;
- выполнение программ.
Также вредоносное ПО может отслеживать:
- электронную почту;
- документы Microsoft Office;
- базы данных;
- социальные сети;
- игры;
- интегрированные среды разработки (IDE) для Windows и Android;
- порносайты.
CodeRAT также отслеживает большое количество заголовков окон браузера, 2 из которых особены для иранских жертв – известный иранский сайт электронной коммерции и веб-мессенджер на фарси.
Эксперты считают, что CodeRAT представляет собой шпионское ПО, используемое иранским правительством. По словам исследователей, отслеживание посещений порносайтов, использование инструментов анонимного просмотра и активности в соцсетях делает CodeRAT разведывательным инструментом, используемый злоумышленником, связанным с правительством.
CodeRAT может работать в скрытом режиме, избегая отправки данных. Вредоносное ПО не использует выделенный C&C-сервер, вместо этого оно загружает данные на анонимный общедоступный сайт. CodeRAT ограничивает свое использование до 30 дней, чтобы избежать обнаружения. Он также использует веб-сайт HTTP Debugger в качестве прокси для связи со своим C&C-каналом в Telegram.
Исследователи также обнаружили доказательства того, что имена нападавших могут быть Мохсен и Сиавахш, которые являются распространенными персидскими именами.
По словам ученых, их цель — повысить осведомленность об этом обновленном типе вредоносного ПО, использующего относительно обновленный метод использования сайта для анонимной отправки файлов в качестве C&C-сервера. Эксперты также планируют предупредить сообщество разработчиков о том, что они особенно уязвимы для этой атаки[6].
Дроппер BugDrop заражает Android-устройства опасным трояном Xenomorph
Исследователи из ThreatFabric обнаружили ранее неизвестный троян-дроппер для Android , который в агусте 2022 года находится в стадии разработки. Вредонос пытается проникнуть на Android-устройства с помощью техники, которая ранее не встречалась специалистам, а затем заразить жертву опасным трояном Xenomorph. Об этом стало известно в августе 2022 года. Подробнее здесь.
Российские компании атакует троян-«шпион», источник неизвестен
Антивирусный вендор MalwareBytes 3 августа 2022 года сообщил о серии кибератак, направленных на российские организации. В частности, злоумышленники атаковали «Объединённую Авиастроительную Корпорацию» (ОАК) с помощью RAT-троянца WoodyRat.
RAT — это сокращение от Remote Administration Tool или Remote Access Tool (инструмент удалённого доступа или администрирования). Так обычно называют троянцы, используемые для обеспечения стабильного удалённого доступа в сети целевых организаций.
MalwareBytes утверждает, что в атаках использовался WoodyRat — многофункциональный троянец, который распространяется либо в виде архивов, либо в виде вредоносных документов Microsoft Office, пытающихся эксплуатировать уязвимость Follina.
Методы распространения WoodyRat
Follina была выявлена в Microsoft Support Diagnostic Tool (MSDT) весной 2022 года, её эксплуатация производится с помощью документов Microsoft Office.[7] Эта уязвимость позволяет удаленно выполнять код в системах Windows, причем, как пишет издание SecureList «Лаборатории Касперского», в отдельных случаях атака могла быть успешной даже если жертва не открывала документ, а лишь использовала функцию предварительного просмотра в Проводнике, или же открывала его в защищенном режиме.[8]
Как утверждается в публикации MalwareBytes, вредонос Woody Rat активен уже не менее года, однако использовать уязвимость Follina злоумышленники начали только после того, как информация о ней была опубликована.
Атаки с использованием архивов и с использованием документов с уязвимостью Follina различались между собой.
Активный вредоносный компонент — исполняемый файл — может рассылаться с помощью спиэр-фишинговых писем с вложениями в виде файлов ZIP и названиями anketa_brozhik.doc.zip или zayavka.zip. Архивы содержат исполняемые файлы .EXE с теми же названиями, что и у архива.
Вредоносный документ, который выглядит как памятка по ИБ
В случае использования уязвимости Follina, злоумышленники применяют файлы DOCX с названиями вроде «Памятка.docx» — это может быть вполне невинно выглядящая памятка по информационной безопасности с типичными рекомендациями для сотрудников. Но при этом документ содержит вредоносный компонент, позволяющий незаметно загрузить и запустить исполняемый файл.
Проникнув на машину, вредонос начинает обмениваться данными с контрольным сервером, причём всё пересылаемой шифруется с помощью комбинации алгоритмов RSA-4096 и AES-CBC. Как установили исследователи, на контрольный сервер направляются данные об архитектуре и операционной системе заражённой машины, о наличии антивирусов, информация о .NET, PowerShell и Python, а также о подключённых накопителях данных, список активных процессов, список аккаунтов и их привилегий и так далее.
Вредонос способен обнаруживать шесть антивирусов, в том числе, разработки «Лаборатории Касперского» и «Доктор Веб», а также Avast, AVG, ESET и Sophos.
Судя по командам, которые поддерживает вредонос, он способен загружать, запускать, выгружать и удалять произвольные файлы в заражённой системе, делать скриншоты, создавать новые процессы и производить инъекцию в уже существующие.
Для обмена данными с контрольным сервером вредонос формирует два различных потока, после чего устраняет с жёсткого диска свои файлы.[9]
В MalwareBytes утверждают, что не могут проассоциировать атаку ни с кем из известных хакерских группировок. Исторически российские учреждения подвергались атакам со стороны китайских и северокорейских APT, однако кто действует в данном случае, остаётся загадкой.[10]
Любопытно, что злоумышленники разместили контрольный сервер вредоноса в домене fns77.ru. Это явная попытка выдать его за официальный ресурс. На самом деле, Федеральная налоговая служба использует уже только домены в зоне gov.ru. 77 — это код Москвы в налоговых документах и первые две цифры в кодах московских налоговых инспекций. Злоумышленники, очевидно, знают об этом.
В приведённом в публикации MalwareBytes скриншоте «Памятки об информационной безопасности» не видно серьёзных языковых ошибок, которые могли бы выдавать иностранное происхождение текста. Это, впрочем, ничего не значит: злоумышленники вполне могли использовать настоящий документ подобного рода, не меняя в нём ничего.
Примеров спиэр-фишинговых писем, которые получали жертвы, антивирусный вендор не приводит.
«Подобные RAT-троянцы используются для максимально адресных, узконаправленных атак, когда злоумышленники точно знают, чего они хотят добиться, — говорит Алексей Водясов, технический директор компании SEQ. — Функциональность вредоносной программы явно шпионская. Но ниоткуда не следует, что её операторами не являются обычные кибернаёмники, работающие на тех, кто больше заплатит». |
Уничтожен троян FluBot
Европол объявил о уничтожении одного из самых быстро распространяющихся вредоносов – Android-трояна FluBot. Об этом стало известно 1 июня 2022 года.
В операции по уничтожению вредоносного ПО приняли участие 11 стран.
По данным властей, FluBot активно распространялся через текстовые сообщения, похищал пароли, банковские реквизиты и другую конфиденциальную информацию с зараженных смартфонов.
Инфраструктура, поддерживающая троян, была уничтожена голландской полицией в мае, в результате чего вредоносная программа стала неактивной, сообщил Европол.
Впервые FluBot был замечен в декабре 2020 года, когда вредонос успел волной прокатиться по миру, взломав миллионы устройств. Визитной карточкой трояна был его способ распространения – безобидные SMS-сообщения. В них жертву просили перейти по ссылке и установить приложение для отслеживания посылок или прослушивания фальшивого голосового сообщения.
После установки FluBot запрашивал разрешения на доступ к данным устройства. Получив доступ, хакеры похищали учетные данные банковских приложений и криптовалютных счетов жертв, а потом отключали встроенные механизмы безопасности.
Поскольку вредоносная программа могла получить доступ к списку контактов, она распространялась как лесной пожар, отправляя сообщения со ссылками на FluBot всем контактам жертвы.
По данным Европола, специалисты все еще ищут злоумышленников, распространявших FluBot по всему миру.
Не так давно в Финляндии прошла волна заражений FluBot. За 24 часа вредонос успел заразить устройства десятков тысяч жертв[11].
Скрытный Nerbian RAT замечен в атаках по всей Европе
12 мая 2022 года стало известно, что специалисты из Proofpoint предупредили пользователей о появлении трояна удаленного доступа (RAT) под названием Nerbian. RAT написан на языке Go и нацелен на организации в Великобритании, Италии и Испании.
Иллюстрация: securitylab.ru
«Троян написан на языке программирования Go, не зависящем от ОС, скомпилирован для 64-битных систем и использует несколько процедур шифрования для обхода сетевого анализа», —
|
RAT может регистрировать нажатия клавиш, запускать произвольные команды, делать скриншоты и передавать данные на удаленный C&C-сервер. Разработчик трояна пока неизвестен.
Nerbian распространяется с 26 апреля 2022 года через фишинговую рассылку с использованием поддельных писем на тему COVID-19. Количество таких писем не превышает 100, и они замаскированы под письма ВОЗ о мерах безопасности в условиях эпидемии. В письмах жертвам предлагается открыть документ Word с макросом, который в фоновом режиме запускает цепочку заражения.
Иллюстрация: securitylab.ru
Специалисты Proofpoint рассказали, что дроппером полезной нагрузки является UpdateUAV.exe — 64-битный исполняемый файл, размером 3,5 МБ и написанный на языке Go (Golang). По данным исследователей, дроппер и вредоносное ПО были разработаны одним автором.
Исследователи Proofpoint заметили в Nerbian множество антианалитических компонентов, усложняющих обратный инжиниринг и проведение антиреверсивных проверок. Защитные компоненты также используются для самоликвидации трояна при обнаружении отладчиков или программ анализа памяти.
Недавно стало известно про другой троян TeaBot, который, по информации специалистов из Proofpoint, атаковал более 400 приложений и заразил миллионы устройств.[12]
В даркнете появился троян для удаленного доступа — Borat
На киберпреступных торговых площадках появился очередной троян для удаленного доступа (RAT) под названием Borat, предлагающий простые в использовании функции для проведения DDoS-атак, обхода UAC и установки программ-вымогателей.
Borat позволяет удаленным злоумышленникам получить полный контроль над мышью и клавиатурой своей жертвы, получить доступ к файлам, сетевым точкам и скрыть любые признаки своего присутствия. Вредоносное ПО также позволяет своим операторам выбирать параметры компиляции для создания небольших полезных нагрузок для узкоспециализированных атак.
Неясно, продается ли Borat RAT за определенную цену или свободно распространяется среди киберпреступников, но специалисты из компании Cycle сообщили , что вредонос поставляется в виде пакета, который включает в себя сборщик, модули вредоносного ПО и сертификат сервера.
Функции Borat включают кейлоггинг, установку программы-вымогателя и автоматическое создание записки с требованием выкупа, проведение DDoS-атак, аудиозапись, запись с web-камеры, запуск скрытого удаленного рабочего стола для выполнения операций с файлами, использование устройств ввода, выполнение кода, запуск приложений, настройка обратного прокси-сервера, сбор базовой информации о системе, внедрение вредоносного кода в легитимные процессы, кражу учетных данных и токена Discord.
По словам экспертов, данные функции делают Borat шпионским ПО и программой-вымогателем, поэтому он представляет собой опасную угрозу[13].
Обнаружены трояны для кражи криптовалют у владельцев мобильных устройств
22 марта 2022 года компания «Доктор Веб» сообщила о распространении троянских программ, созданных для кражи криптовалют у владельцев мобильных устройств. Вредоносные приложения похищают секретные seed-фразы, которые необходимы для доступа к криптокошелькам. При этом риску подвержены пользователи как Android-устройств, так и смартфонов Apple.
По информации компании, обнаруженные троянские приложения скрываются в модифицированных злоумышленниками версиях популярных криптокошельков. На март 2022 года специалисты «Доктора Веб» фиксируют случаи внедрения вредоносного кода в копии таких приложений как imToken, MetaMask, Bitpie и TokenPocket, однако этот список может оказаться шире. Известные модификации выявленных угроз детектируются Dr.Web как трояны из семейств Android.CoinSteal и IPhoneOS.CoinSteal. Среди них — Android.CoinSteal.7, Android.CoinSteal.8, Android.CoinSteal.10, IPhoneOS.CoinSteal.1, IPhoneOS.CoinSteal.2, IPhoneOS.CoinSteal.3 и другие.
MetaMask
Троянские версии криптокошельков распространяются через вредоносные сайты, копирующие внешний вид и функциональность оригинальных веб-ресурсов соответствующих проектов. Адреса таких сайтов также максимально приближены к настоящим, что в сочетании с методами социальной инженерии может увеличить шансы на успешный обман потенциальных жертв.
В зависимости от типа устройства, с которого посещаются поддельные сайты, пользователям предлагается загрузить и установить версию кошелька для соответствующей платформы — Android или iOS. Загрузка Android-версий троянов чаще всего происходит непосредственно с посещенного вредоносного ресурса. При этом владельцы iOS-устройств обычно перенаправляются на другой сайт, оформленный в стиле официального каталога приложений Apple. Это еще один прием злоумышленников, призванный обмануть потенциальных жертв.
Несмотря на то, что в обеих операционных системах установка программ из сторонних источников по умолчанию отключена или не предусмотрена, она по-прежнему возможна. Так, на Android-устройствах для этого достаточно включить необходимую опцию в системных настройках. А в случае устройств компании Apple мошенники применяют механизм установки через специальные профили конфигурации (configuration profiles) и профили обеспечения (provisioning profiles). Такие профили некоторые компании используют, например, для распространения ПО среди своих сотрудников, минуя App Store. При этом для установки не требуется, чтобы iOS-устройства были разблокированы («взломаны») и имели jailbreak.
Процесс установки одной из таких вредоносных программ (IPhoneOS.CoinSteal.2 по классификации компании «Доктор Веб») на примере iOS-устройства продемонстрирован на следующем изображении:
Процесс установки вредоносной программы
Видео установки и работы трояна, а также сравнения его с версией приложения из App Store.
Поскольку трояны являются копиями настоящих приложений с минимальными модификациями, они работают точно так же, как и оригиналы, и по внешним признакам отличить их друг от друга практически невозможно.
Для сравнения продемонстрирована работа обеих версий
После установки троянов вся вредоносная активность проходит незаметно для жертв. Она заключается в краже секретной мнемонической seed-фразы, которая уникальна для каждого криптокошелька и защищает его от доступа посторонних. Фактически, seed-фраза — это аналог мастер-пароля. Получив ее, киберпреступники смогут добраться до хранящейся в кошельке криптовалюты и украсть ее. При этом риску подвержены владельцы как уже имеющихся кошельков, так и вновь создаваемых.
Специалисты компании «Доктор Веб» рекомендуют пользователям устанавливать программы-криптокошельки только из официальных каталогов приложений и не загружать их из сторонних источников. При этом важно обращать внимание на имеющиеся отзывы, а также признаки возможной подделки — отсутствие более старых версий, наличие опечаток в описании, несоответствие скриншотов фактической функциональности.
В связи с возросшими рисками ограничения работы Google Play, App Store и других каталогов ПО в России рекомендуется заранее установить необходимые приложения. Мошенники могут воспользоваться ситуацией с потенциальной блокировкой и начать интенсивнее распространять вредоносные программы под видом оригиналов как через поддельные сайты, так и через другие каналы — например, облачные сервисы и файлообменные сети.
Android-троян TeaBot теперь атакует более 400 приложений
Троян для удаленного доступа (RAT) TeaBot получил обновления, приведшие к росту числа его жертв по всему миру. Об этом стало известно 3 марта 2022 года.
Ранее сследовательская команда компании Cleafy сообщила, что TeaBot теперь атакует более 400 приложений и отказался от смишинга (вид фишинга через SMS) в пользу более продвинутых техник.
Когда TeaBot только появился в начале 2021 года, он распространялся через фишинговые SMS и выдавал себя только за 60 приложений. В июле 2021 года вредонос был настроен для атак на приложения десятков европейских банков.
Затем TeaBot вышел за пределы Европы и стал атаковать пользователей в России, США и Гонконге. Также расширился список приложений, под которые он маскировался, в частности, в него были добавлены криптовалютные биржи и страховые компании.
По словам специалистов Cleafy, вредонос также научился проникать в официальные репозитории Android через приложения-дропперы. В феврале 2022 года эксперты обнаружили в Google Play приложение QR Code & Barcode Scanner, доставлявшее TeaBot на устройства пользователей через поддельные обновления.
Разработчики вредоносного ПО часто публикуют легитимное приложение в официальный репозиторий, проходят все проверки безопасности, а после того, как оно наберет солидную пользовательскую базу, развертывают обновление, превращающее безобидное приложение в вредоносное.
После установки на устройстве TeaBot сначала использует сервисы Android Accessibility service, запрашивая разрешения на действия, позволяющие ему записывать нажатия клавиш и удаленно взламывать устройство. Более того, TeaBot способен делать скриншоты и осуществлять мониторинг экрана с целью кражи учетных данных и кодов двухфакторной аутентификации[14].
2021
В каталоге приложений AppGallery обнаружены десятки игр со встроенным трояном
23 ноября 2021 года компания «Доктор Веб» сообщила об обнаружении в каталоге AppGallery десятков игр со встроенным в них трояном Android.Cynos.7, который собирает информацию о мобильных номерах пользователей. Опасные игры установили по меньшей мере 9 300 000 владельцев Android-устройств. Подробнее здесь.
Avast: эволюционировавший банковский троян Ursnif атакует пользователей по всему миру
Исследователи Avast Threat Labs, подразделения компании Avast, представителя в области цифровой безопасности и решений защиты, обнаружили, что эволюционировавший банковский троян Ursnif продолжает атаковать пользователей по всему миру. Уже несколько лет он распространяется через фишинговые письма, написанные на разных языках. Об этом компания сообщила 9 марта 2021 года.
В отличие от других троянов, Ursnif устанавливается на устройство жертвы после скачивания ею бэкдора, позволяя неавторизованным пользователям обойти привычные защитные механизмы и получить высокий уровень доступа к компьютерной системе, сети или программам. Ursnif представляет собой так называемое «бесфайловое вредоносное ПО» — это продвинутая программа, которая почти не оставляет следов в системе. Поскольку Ursnif устанавливается после бэкдора и для активации должен получить информацию через C&C-сервер, он может часами оставаться незамеченным, пока в итоге не начнет вредоносную деятельность.
Ursnif может не только украсть банковские данные, но и получить доступ к некоторым электронным письмам и браузерам, а также добраться до криптовалютного кошелька.
Механизмы скрытного обхода инструментов безопасности были сделаны довольно изобретательно. Это может оказаться особенно эффективной тактикой против устройств, которые не имеют усиленных уровней безопасности, например, детектирования подозрительного поведения, – отмечает Михал Салат, директор департамента по исследованию угроз Avast. – Эти атаки еще раз доказывают, что человек – самое слабое звено в системе. Необходимо помнить о том, что открывать письма с вложением от неизвестных отправителей и нажимать на ссылки – опасно. Если пользователь уже совершил ошибку и открыл письмо, поможет только отключение макроса в документе. |
В процессе анализа исследователи Avast обнаружили банковские реквизиты, платежную информацию, логины, пароли и данные кредитных карт, которые, как выяснилось, были украдены операторами Ursnif. Главной целью Ursnif стали итальянские банки: злоумышленники атаковали более 100 банков; и более 1700 банковских данных похитил один сервис платежей. Полученная информация помогла исследователям Avast защитить жертв Ursnif и пользователей, которые могут столкнуться с ним в будущем.
Команда исследователей сообщила об атаках банкам и платежным сервисам, которых удалось идентифицировать, а также государственным службам, обрабатывающим финансовую информацию. Затронутые атаками компании предприняли все необходимые действия для защиты клиентов и ликвидации ущерба, нанесенного деятельностью Ursnif.
Avast верит в то, что подобное информирование поможет сделать Интернет безопаснее.
2020
Публикация исходного кода трояна Cerberus в даркнете
В середине сентября 2020 года на хакерских форумах в даркнете появился исходный код банковского трояна Cerberus. Его создатели планировали выручить $100 тыс., однако покупатель не нашелся. Подробнее здесь.
Изучены трояны, применявшиеся в ходе ATP-атак на госучреждения Казахстана и Киргизии
В марте 2019 года в компанию «Доктор Веб» обратился клиент из государственного учреждения Республики Казахстан по вопросу наличия вредоносного ПО на одном из компьютеров корпоративной сети. Об этом «Доктор Веб» сообщил TAdviser 22 июля 2020 года. Это обращение послужило поводом к началу расследования, по результатам которого специалисты компании обнаружили и впервые описали группу троянских программ, использующихся для полномасштабной целевой атаки на учреждение. Кроме того, в феврале 2020 года в «Доктор Веб» обратились представители госучреждения Киргизской Республики с признаками заражения корпоративной сети.
Учитывая, что несанкционированное присутствие в обеих инфраструктурах продолжалось на протяжении как минимум трех лет, а также то, что при изучении отчетов с серверов были выявлены совершенно разные семейства троянских программ, в компании «Доктор Веб» допускают, что за этими атаками могут стоять сразу несколько хакерских групп. При этом некоторые из использованных троянов хорошо известны: часть из них является эксклюзивными инструментами известных APT-групп, другая часть — используется различными APT-группами Китая. Подробнее здесь.
Avast: троян HiddenAds встречается в Google Play Store в 47 приложениях, имитирующих игры
26 июня 2020 года стало известно, что Avast, компания в области цифровой безопасности и решений защиты, обнаружила в Google Play Store 47 приложений-игр, являющихся частью семейства троянов HiddenAds. Специалисты Avast уже сообщили представителям Google Play Store о найденных приложениях, но на 26 июня 2020 года некоторые приложения все еще доступны в магазине Google Play. Подробнее здесь.
2019
Троян Casbaneiro охотился за криптовалютой бразильских и мексиканских пользователей
Международная компания ESET изучила семейство банковских троянов Casbaneiro. Об этом стало известно 10 октября 2019 года. Вредоносная программа охотилась за криптовалютой бразильских и мексиканских пользователей.
Во время исследования эксперты ESET обнаружили, что Casbaneiro имеет похожий функционал с другим семейством банковских троянов, Amavaldo. Вредоносные программы применяют один и тот же криптографический алгоритм и распространяют похожую зловредную утилиту для почты.
Как и Amavaldo, троян Casbaneiro использует всплывающие окна и формы для обмана жертв. Такие методы социальной инженерии направлены на первичные эмоции — человека срочно, без раздумий заставляют принять решение. Поводом может быть обновление ПО, верификация кредитной карты или запрос из банка.
После заражения Casbaneiro ограничивает доступ к различным банковским сайтам, а также следит за нажатием клавиш и делает снимки экрана. Кроме того, троян отслеживает буфер обмена — если малварь видит личные данные криптовалютного кошелька, то заменяет адрес получателя на кошелек мошенника.
Семейство Casbaneiro применяет множество сложных алгоритмов для маскировки кода, расшифровки скачанных компонентов и данных конфигураций. Основной способ распространения Casbaniero — вредоносная фишинговая рассылка, как и у Amavaldo.
Особенностью трояна стало то, что операторы Casbaneiro тщательно старались скрыть домен и порт C&C-сервера. Его прятали в самых разных местах — в поддельных записях DNS, в онлайн-документах Google Docs и даже на фальшивых сайтах разных учреждений. Интересно, что иногда злоумышленникам удавалось спрятать следы управляющего сервера и на официальных сайтах, а также в описаниях видео на YouTube[15].
Обнаружение вредоносной копии сайта ФССП России
8 октября 2019 года стало известно о том, что специалисты вирусной лаборатории «Доктор Веб» обнаружили вредоносную копию сайта Федеральной службы судебных приставов (ФССП) России. Хакеры используют сайт-подделку для заражения пользователей троянцем Trojan.DownLoader28.58809.
Как сообщалось, копия сайта ФССП России была обнаружена специалистами по адресу 199.247.***.***. Внешне подделка почти не отличается от оригинала, но, в отличие от официального сайта, на ней некорректно отображаются некоторые элементы.
При попытке перейти по некоторым ссылкам на сайте, пользователь будет перенаправлен на страницу с предупреждением о необходимости обновить Adobe Flash Player. Одновременно с этим на устройство пользователя загрузится .exe файл, при запуске которого будет установлен Trojan.DownLoader28.58809.
Этот троянец устанавливается в автозагрузку в системе пользователя, соединяется с управляющим сервером и скачивает другой вредоносный модуль – Trojan.Siggen8.50183. Кроме этого, на устройство пользователя скачивается файл, имеющий действительную цифровую подпись Microsoft и предназначенный для запуска основной вредоносной библиотеки. После чего Trojan.Siggen8.50183 собирает информацию о системе пользователя и отправляет ее на управляющий сервер. После установки троянец будет всегда запущен на устройстве пользователя и сможет выполнять различные действия по команде от управляющего сервера.
Запустившись на устройстве жертвы, троянец может:
- получить информацию о дисках;
- получить информацию о файле;
- получить информацию о папке (узнать количество файлов, вложенных папок и их размер);
- получить список файлов в папке;
- удалить файлы;
- создать папку;
- переместить файл;
- запустить процесс;
- остановить процесс;
- получить список процессов.
Согласно данным на октябрь 2019 года, хакеры еще не запускали масштабные вирусные кампании с использованием сайта-подделки, но он мог использоваться в атаках на отдельных пользователей или организации.
Все версии этого троянца детектируются и удаляются антивирусом Dr.Web антивирус.
Android-троян Fanta своровал в России 35 млн руб. Под прицелом — пользователи Avito
17 сентября 2019 года компания Group-IB сообщила, что её специалисты зафиксировали кампанию Android-трояна FANTA, атакующего клиентов 70 банков, платежных систем, web-кошельков в России и странах СНГ. Троян нацелен на пользователей, размещающих объявления о купле-продаже на интернет-сервисе Avito. Только с начала 2019 года потенциальный ущерб от FANTA в России составил не менее 35 млн руб.
Несмотря на то, что различные вариации Android-троянов семейства Flexnet известны с 2015 года, и подробно изучены, сам троян и связанная с ним инфраструктура постоянно развиваются: злоумышленники разрабатывают новые эффективные схемы распространения, добавляют функциональные возможности, позволяющие эффективнее воровать деньги с зараженных устройств и обходить средства защиты.
Зафиксированная кампания использует качественные фишинговые страницы под популярный интернет-сервис Avito и нацелена на пользователей, размещающих объявления о купле-продаже. Схема работает так: спустя некоторое время после публикации продавец получает именное SMS о «переводе» на его счет необходимой суммы — полной стоимости товара. Детали платежа ему предлагается посмотреть по ссылке.
Довольный продавец кликает на ссылку: открывается фишинговая страница, подделанная под реальную страницу Avito, уведомляющая продавца о совершении покупки и содержащая описание его товара и суммы, полученной от «продажи» товара. После клика на кнопку «Продолжить» на телефон пользователя загружается вредоносный APK FANTA, замаскированный под приложение Avito. Такая маскировка усыпляет бдительность пользователя и он устанавливает вредоносное приложение. Получение данных банковских карт осуществляется стандартным для Android-троянов образом: пользователю демонстрируются фишинговые окна, маскирующиеся под легитимные мобильные приложения банков, куда жертва сама вводит данные своей банковской карты.
Нынешняя кампания нацелена на русскоязычных пользователей, большая часть зараженных устройств находится в России, небольшое количество — зафиксировано на Украине, а также в Казахстане и Беларуси.
FANTA анализирует, какие приложения запускаются на зараженном устройстве. При открытии целевого приложения — троян демонстрирует фишинговое окно поверх всех остальных, которое представляет собой форму для ввода информации о банковской карте. Пользователю необходимо ввести следующие данные: номер карты, срок действия карты, CVV, имя держателя карты (не для всех банков).
Исследуя троян, было обнаружено, что кроме демонстрации заранее заготовленных фишинговых страниц, Fanta также читает текст уведомлений около 70 приложений банков, систем быстрых платежей и электронных кошельков.
Проанализированные специалистами Group-IB Threat Hunting Intelligence фишинговые страницы под интернет-сервис для размещения объявлений Avito, указывают на то, что они готовились целенаправленно под конкретную жертву.
При исследовании трояна обнаружено, что помимо Avito, разработчики FANTA нацелены на пользователей порядка 30 различных интернет-сервисов, включая AliExpress, Юла, Pandao, Aviasales, Booking, Trivago, а также такси и каршеринговых служб и тд.
FANTA работает на всех версиях Android не ниже 4.4. Как и другие андроид-трояны, FANTA способна читать и отправлять SMS, совершать USSD-запросы, демонстрировать собственные окна поверх приложений. Однако в зафиксированной кампании мобильный троян начал использовать AccessibilityService (сервис для людей с ограниченными возможностями), что позволяет ему читать содержимое уведомлений других приложений, предотвращать обнаружение и остановку исполнения трояна на зараженном устройстве.
Троян «проверяет» тип устройства, после чего выводит на экран смартфона пользователя сообщение якобы о системном сбое. После этого пользователю демонстрируется окно «Безопасность системы» — запрос предоставление прав для использования AccessibilityService. После получения прав приложение уже без посторонней помощи получает права и на другие действия в системе, эмулируя нажатия клавиш пользователя.
Важной функцией FANTA, которой создатели уделили особое внимание, является обход на Android-смартфоне антивирусных средств. Так троян препятствует запуску пользователем приложений: Clean, Meizu Applicatiom Permission Management, MIUI Security, Kaspersky Antivirus AppLock & Web Security Beta, Mobile AntiVirus Security PRO, AVG Protection для Xperia, Samsung Smart Manager, Dr.Web антивирус Mobile Control Center, Dr.Web антивирусSecurity Space Life, Kaspersky Internet Security и другие.
«Поводом для этого исследования послужил реальный кейс: специалист по информационной безопасности, опубликовавший объявление на Avito, получил подозрительное СМС. Он сразу переслал его команде Group-IB Threat Hunting Intelligence, которая в ходе исследования выявила масштабную кампанию Android-трояна FANTA. Однако далеко не все истории заканчиваются так удачно, поэтому мы рекомендуем пользователям регулярно устанавливать обновления ОС Android, не переходить по подозрительным ссылкам, полученным в СМС-сообщениях, не посещать подозрительные ресурсы и не скачивать оттуда файлы, а также не устанавливать приложения из неофициальных источников. Что касается банков и вендоров мобильных приложений, на которые нацелено это семейство Android-троянов, мы можем порекомендовать использование систем для проактивного предотвращения банковского мошенничества на всех устройствах (смартфон, планшет, ноутбук, ПК) через любые каналы взаимодействия с банком (мобильное приложение, онлайн-банкинг и др)», |
Банковский троян Amavaldo использует снимки экрана для хищения информации
8 августа 2019 года международная антивирусная компания ESET сообщила, что изучила ряд банковских троянов, которые атакуют пользователей Латинской Америки.
Эти вредоносные программы имеют ряд схожих признаков: они написаны на Delphi, содержат функционал бэкдоров, состоят из нескольких компонентов, маскируются под легитимные документы и ПО, а также нацелены на испано- и португалоговорящие страны Латинской Америки.
Для атаки злоумышленники применяют социальную инженерию: вредоносные программы детектируют открытые окна на устройстве жертвы. Обнаружив открытый банковский сайт, показывают пользователю требование срочно ввести информацию о кредитной карте или банковском счете. Введенная в поддельные окна информация отправляется на сервер злоумышленников.
В ходе исследования эксперты ESET детально изучили типичный для этой группы банковский троян Amavaldo. Он может делать снимки экрана, предоставляет злоумышленникам доступ к веб-камере жертвы, фиксирует нажатие клавиш, загружает и запускает программы, ограничивает доступ к банковским сайтам и др.
Amavaldo собирает данные о компьютере, а также о методах защиты онлайн-платежей и банковских приложений (например, проверяет наличие антивируса с такими функциями).
Особенно примечателен вектор атаки этого трояна. Обнаружив открытый сайт банка, Amavaldo делает скриншот рабочего стола, который затем используется для имитации фона. Далее пользователю показывается всплывающее окно, куда от него требуют ввести банковские данные.
Таким образом жертва не может взаимодействовать с любыми элементами статичного фона, активным остается только это окно. Преступники даже отключают некоторые комбинации клавиш, чтобы пользователь не смог переключиться на другой процесс.
Троянца-кликера из каталога Google Play установили почти 102 млн. пользователей Android
8 августа 2019 года «Доктор Веб» сообщил, что троянца-кликера из каталога Google Play установили почти 102 000 000 пользователей Android.
Троянцы-кликеры — распространенные вредоносные программы для накрутки посещений веб-сайтов и монетизации онлайн-трафика. Они имитируют действия пользователей на веб-страницах, нажимая на расположенные на них ссылки и другие интерактивные элементы.
Троянец представляет собой вредоносный модуль, который по классификации Dr.Web получил имя Android.Click.312.origin. Он встроен в обычные приложения — словари, онлайн-карты, аудиоплееры, сканеры штрих-кодов и другое ПО. Все эти программы работоспособны, и для владельцев Android-устройств выглядят безобидными. Кроме того, при их запуске Android.Click.312.origin начинает вредоносную деятельность лишь через 8 часов, чтобы не вызвать подозрений у пользователей.
Начав работу, троянец передает на управляющий сервер следующую информацию о зараженном устройстве:
- производитель и модель;
- версия ОС;
- страна проживания пользователя и установленный по умолчанию язык системы;
- идентификатор User-Agent;
- наименование мобильного оператора;
- тип интернет-соединения;
- параметры экрана;
- временная зона;
- информация о приложении, в которое встроен троянец.
В ответ сервер отправляет ему необходимые настройки. Часть функций вредоносного приложения реализована с использованием рефлексии, и в этих настройках содержатся имена методов и классов вместе с параметрами для них. Эти параметры применяются, например, для регистрации приемника широковещательных сообщений и контент-наблюдателя, с помощью которых Android.Click.312.origin следит за установкой и обновлением программ.
При инсталляции приложения или скачивании apk-файла клиентом Play Маркет троянец передает на управляющий сервер информацию об этой программе вместе с некоторыми техническими данными об устройстве. В ответ Android.Click.312.origin получает адреса сайтов, которые затем открывает в невидимых WebView, а также ссылки, которые он загружает в браузере или каталоге Google Play.
Таким образом, в зависимости от настроек управляющего сервера и поступающих от него указаний троянец может не только рекламировать приложения в Google Play, но и незаметно загружать любые сайты, в том числе с рекламой (включая видео) или другим сомнительным содержимым. Например, после установки приложений, в которые был встроен этот троянец, пользователи жаловались на автоматические подписки на дорогостоящие услуги контент-провайдеров.
Специалистам «Доктор Веб» не удалось воссоздать условия для загрузки троянцем таких сайтов, однако потенциальная реализация этой мошеннической схемы в случае с Android.Click.312.origin достаточно проста. Поскольку троянец сообщает управляющему серверу информацию о типе текущего интернет-соединения, то при наличии подключения через сеть мобильного оператора сервер может передать команду на открытие веб-сайта одного из партнерских сервисов, поддерживающих технологию WAP-Сlick. Эта технология упрощает подключение различных премиальных сервисов, однако часто применяется для незаконной подписки пользователей на премиум-услуги. Указанную проблему компания освещала в 2017 и 2018 годах. В некоторых случаях для подключения ненужной услуги не требуется подтверждение пользователя — за него это сможет сделать скрипт, размещенный на той же странице, или же сам троянец. Он и «нажмет» на кнопку подтверждения. А поскольку Android.Click.312.origin откроет страницу такого сайта в невидимом WebView, вся процедура пройдет без ведома и участия жертвы.
Вирусные аналитики «Доктор Веб» выявили 34 приложения, в которые был встроен Android.Click.312.origin. Их установили свыше 51 700 000 пользователей. Кроме того, модификацию троянца, получившую имя Android.Click.313.origin, загрузили по меньшей мере 50 000 000 человек. Таким образом, общее число владельцев мобильных устройств, которым угрожает этот троянец, превысило 101 700 000. Ниже представлен список программ, в которых был найден этот кликер:
- GPS Fix
- QR Code Reader
- ai.type Free Emoji Keyboard
- Cricket Mazza Live Line
- English Urdu Dictionary Offline — Learn English
- EMI Calculator — Loan & Finance Planner
- Pedometer Step Counter — Fitness Tracker
- Route Finder
- PDF Viewer — EBook Reader
- GPS Speedometer
- GPS Speedometer PRO
- Notepad — Text Editor
- Notepad — Text Editor PRO
- Who unfriended me?
- Who deleted me?
- GPS Route Finder & Transit: Maps Navigation Live
- Muslim Prayer Times & Qibla Compass
- Qibla Compass — Prayer Times, Quran, Kalma, Azan
- Full Quran MP3 — 50+ Audio Translation & Languages
- Al Quran Mp3 — 50 Reciters & Translation Audio
- Prayer Times: Azan, Quran, Qibla Compass
- Ramadan Times: Muslim Prayers, Duas, Azan & Qibla
- OK Google Voice Commands (Guide)
- Sikh World — Nitnem & Live Gurbani Radio
- 1300 Math Formulas Mega Pack
- Обществознание — школьный курс. ЕГЭ и ОГЭ.
- Bombuj — Filmy a seriály zadarmo
- Video to MP3 Converter, RINGTONE Maker, MP3 Cutter
- Power VPN Free VPN
- Earth Live Cam — Public Webcams Online
- QR & Barcode Scanner
- Remove Object from Photo — Unwanted Object Remover
- Cover art IRCTC Train PNR Status, NTES Rail Running Status
Компания «Доктор Веб» передала информацию об этом троянце в корпорацию Google, после чего некоторые из найденных программ были оперативно удалены из Google Play. Кроме того, для нескольких приложений были выпущены обновления, в которых троянский компонент уже отсутствует. Тем не менее, на момент публикации этой новости большинство приложений все еще содержали вредоносный модуль и оставались доступными для загрузки.
Вирусные аналитики рекомендуют разработчикам ответственно выбирать модули для монетизации приложений и не интегрировать сомнительные SDK в свое ПО.
Троян-бэкдор маскируется под ПО для обновления графического интерфейса OpenGL ES
12 июля 2019 года компания «Доктор Веб» сообщила, что выявила в Google Play троянец-бэкдор, который выполняет команды злоумышленников, позволяет им дистанционно управлять инфицированными Android-устройствами и шпионить за пользователями. Подробнее здесь.
Node.js-троян добывает криптовалюту TurtleCoin
19 июня 2019 года компания «Доктор Веб» сообщила что в ее вирусной лаборатории исследован троянец-загрузчик, написанный на JavaScript и использующий для запуска Node.js. Образец троянца на исследование в «Доктор Веб» передала компания «Яндекс». Вредоносное ПО распространяется через сайты с читами для популярных видеоигр и получило название Trojan.MonsterInstall.
Троян имеет несколько версий и компонентов. При попытке скачать чит пользователь загружает на свой компьютерархив, защищенный паролем. Внутри находится исполняемый файл, который при запуске скачивает нужные читы вместе с другими компонентами троянца.
Запустившись на устройстве жертвы, Trojan.MonsterInstall загружает и устанавливает необходимые для своей работы модули, собирает информацию о системе и отправляет ее на сервер разработчика. После получения ответа устанавливается в автозагрузку и начинает добычу (майнинг) криптовалюты TurtleCoin.
Разработчики вредоносного ПО используют для распространения собственные ресурсы с читами к популярным играм, а также заражают файлы на других подобных сайтах. Согласно статистике SimilarWeb, пользователи просматривают эти сайты примерно 127 400 раз в месяц.
Ресурсы, принадлежащие разработчику троянца:
- румайнкрафт[.]рф;
- clearcheats[.]ru;
- mmotalks[.]com;
- minecraft-chiter[.]ru;
- torrent-igri[.]com;
- worldcodes[.]ru;
- cheatfiles[.]ru.
Кроме того, троянцем заражены некоторые файлы на сайте proplaying[.]ru.
Специалисты «Доктор Веб» рекомендуют пользователям вовремя обновлять антивирус и не загружать сомнительное ПО.
Android-троян помогает злоумышленникам подписывать пользователей на рекламные уведомления
14 июня 2019 года компания «Доктор Веб» сообщила, что её специалисты обнаружили троянца Android.FakeApp.174, который загружает в Google Chrome сомнительные веб-сайты, где пользователей подписывают на рекламные уведомления. Они приходят даже если браузер закрыт и могут быть ошибочно приняты за системные. Такие уведомления не только мешают работе с Android-устройствами, но и способны привести к краже денег и конфиденциальной информации.
Технология Web Push позволяет сайтам с согласия пользователя отправлять ему уведомления даже когда соответствующие веб-страницы не открыты в браузере. При работе с безобидными ресурсами эта функция полезна и удобна. Например, социальные сети таким образом могут информировать о сообщениях, а новостные агентства ― о свежих публикациях. Однако злоумышленники и недобросовестные рекламодатели злоупотребляют ей, распространяя с ее помощью рекламу и мошеннические уведомления, которые поступают со взломанных или вредоносных сайтов.
Эти уведомления поддерживаются в браузерах как ПК и ноутбуков, так и мобильных устройств. Обычно жертва попадает на сомнительный ресурс-спамер, перейдя по специально сформированной ссылке или рекламному баннеру. Android.FakeApp.174 — один из первых троянцев, которые «помогают» злоумышленникам увеличить число посетителей этих сайтов и подписать на такие уведомления именно пользователей смартфонов и планшетов.
Android.FakeApp.174 распространяется под видом полезных программ – например, официального ПО известных брендов. Две такие модификации троянца вирусные аналитики «Доктор Веб» обнаружили в начале июня в каталоге Google Play. После обращения в корпорацию Google вредоносные программы были удалены, но их успели загрузить свыше 1100 пользователей.
При запуске троянец загружает в браузере Google Chrome веб-сайт, адрес которого указан в настройках вредоносного приложения. С этого сайта в соответствии с его параметрами поочередно выполняется несколько перенаправлений на страницы различных партнерских программ. На каждой из них пользователю предлагается разрешить получение уведомлений. Для убедительности жертве сообщается, что выполняется некая проверка (например, что пользователь — не робот), либо просто дается подсказка, какую кнопку диалогового окна необходимо нажать. Это делается для увеличения числа успешных подписок.
После активации подписки сайты начинают отправлять пользователю многочисленные уведомления сомнительного содержания. Они приходят даже если браузер закрыт, а сам троянец уже был удален, и отображаются в панели состояния операционной системы. Их содержимое может быть любым. Например, ложные уведомления о поступлении неких денежных бонусов или переводов, о поступивших сообщениях в соцсетях, реклама гороскопов, казино, товаров и услуг и даже различные «новости».
Многие из них выглядят как настоящие уведомления реальных онлайн-сервисов и приложений, которые могут быть установлены на устройстве. Например, в них отображается логотип того или иного банка, сайта знакомств, новостного агентства или социальной сети, а также привлекательный баннер. Владельцы Android-устройств могут получать десятки таких спам-сообщений в день.
Несмотря на то, что в этих уведомлениях указан и адрес сайта, с которого оно пришло, неподготовленный пользователь может просто его не заметить, либо не придать этому особого значения.
При нажатии на такое уведомление пользователь перенаправляется на сайт с сомнительным контентом. Это может быть реклама казино, букмекерских контор и различных приложений в Google Play, предложение скидок и купонов, поддельные онлайн-опросы и фиктивные розыгрыши призов, сайт-агрегатор партнерских ссылок и другие онлайн-ресурсы, которые разнятся в зависимости от страны пребывания пользователя.
Многие из этих ресурсов замешаны в известных мошеннических схемах кражи денег, однако злоумышленники способны в любое время организовать атаку для похищения конфиденциальных данных. Например, отправив через браузер «важное» уведомление от имени банка или социальной сети. Потенциальная жертва может принять поддельное уведомление за настоящее, нажмет на него и перейдет на фишинговый сайт, где у нее попросят указать имя, логин, пароль, адрес электронной почты, номер банковской карты и другие конфиденциальные сведения.
Специалисты «Доктор Веб» полагают, что злоумышленники будут активнее использовать этот метод продвижения сомнительных услуг, поэтому пользователям мобильных устройств при посещении веб-сайтов следует внимательно ознакомиться с их содержимым и не подписываться на уведомления, если ресурс незнаком или выглядит подозрительным. Если же подписка на нежелательные спам-уведомления уже произошла, нужно выполнить следующие действия:
- зайти в настройки Google Chrome, выбрать опцию «Настройки сайтов» и далее — «Уведомления»;
- в появившемся списке веб-сайтов и уведомлений найти адрес интересующего ресурса, нажать на него и выбрать опцию «Очистить и сбросить».
Антивирусные продукты Dr.Web для Android детектируют и удаляют все известные модификации Android.FakeApp.174, поэтому для пользователей Dr.Web этот троянец опасности не представляет.
Киберпреступники вернулись к опасному банковскому трояну Trickbot
15 мая 2019 года стало известно, что компания Check Point Software Technologies, поставщик решений для кибербезопасности во всем мире, опубликовала отчет с самыми активными угрозами в апреле 2019 года Global Threat Index. Банковский троян Trickbot впервые за почти два года вернулся в первую десятку рейтинга.
Универсальные банковские трояны, такие как Trickbot, популярны среди киберпреступников, так как позволяют получить максимальную прибыль. Trickbot нацелен преимущественно на банки, но отдельные пользователи также могут с ним столкнуться. Он имеет широкую географию распространения и большое языковое разнообразие, что делает его одним из самых опасных и сложноудаляемых вирусов. Атаки Trickbot резко увеличились в апреле 2019, когда рассылка вредоносного спама с темой американского «Налогового дня» совпала с крайним сроком подачи налоговых деклараций в США. В рамках спам-кампании злоумышленники распространили файлы Excel, которые загружали Trickbot на компьютеры жертв для распространения по сетям, сбора банковских данных и возможной кражи налоговых документов для мошеннического использования.
Три из десяти самых распространенных вариантов вредоносного ПО в апреле 2019 года — криптомайнеры. Остальные семь из первой десятки — многоцелевые трояны. Это показывает, что тактика киберпреступников меняется после закрытия нескольких популярных служб криптомайнинга и снижения стоимости криптовалюты в 2018 году мошенники ищут другие каналы с максимальной финансовой выгодой. Важно отметить, что слабым, незащищенным звеном являются мобильные устройства — только 9% профессионалов в сфере ИТ считают мобильные угрозы серьезным риском для безопасности. При этом через них вредоносное ПО может легко проникать в облачные или локальные сети организаций.
В апреле 2019 года самым активным вредоносом в России стал Badrabbit, который затронул 25% организаций. Программа-червь, нацеленная на платформу Windows, использует список имен пользователей и паролей для доступа и распространения на SMB-ресурсы других систем в сети. После Badrabbit следует криптомайнер Cryptoloot (22,5%), который использует CPU или GPU мощности и существующие ресурсы для крипто-майнинга-добавление транзакций в блокчейн и выпуск новой валюты. Третьем в списке идет XMRig (10.5%) —программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero.
Как только криптомайнеры перестали приносить серьезную прибыль, злоумышленники сразу же переключились на другие, более выгодные методы. В апреле 2019 года самым активной вредоносной программой в России стал Badrabbit. А если посмотреть данные по всему миру, и Trickbot, и Emotet попали в топ-10 вредоносных программ. Это особенно тревожно, так как оба ботнета используются не только для кражи личных и учетных данных, но и вымогателем Ryuk. Ryuk славится своими активами, такими как базы данных и серверы резервного копирования, требуя выкуп в размере до миллиона долларов. Поскольку эти вредоносные программы постоянно трансформируются, крайне важно иметь надежную линию защиты от них с передовой системой предотвращения угроз.
Василий Дягилев, глава представительства Check Point Software Technologies в России и СНГ |
Топ-3 самых активных вредоносных ПО в апреле 2019:
Стрелки показывают изменение позиции по сравнению с предыдущим месяцем
↑ Cryptoloot — криптомайнер, который использует CPU или GPU мощности и существующие ресурсы для крипто-майнинга-добавление транзакций в блокчейн и выпуск новой валюты. Конкурент Coinhive.
↑ XMRig — Программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero.
↑Jsecoin — JavaScript-майнер, который может запускать майнер прямо в браузере в обмен на демонстрацию рекламы, внутриигровую валюту и другие стимулы.
Triada стал наиболее распространенным вредоносным ПО для мобильных устройств, сменив Hiddad. Lootor остался на втором месте, а Hiddad опустился на третье.
Самые активные мобильные угрозы апреля 2019:
Triada — Модульный бэкдор для Android, который предоставляет привилегии суперпользователя для загруженных вредоносных программ, а также помогает внедрить его в системные процессы. Triada также был замечен за подменой URL-адресов, загружаемых в браузерах.
Lotoor — программа, использующая уязвимости в операционной системе Android для получения привилегированного root-доступа на взломанных мобильных устройствах.
Hiddad — Модульный бэкдор для Android, который предоставляет права суперпользователя для загруженного вредоносного ПО, а также помогает внедрить его в системные процессы. Он может получить доступ к ключевым деталям безопасности, встроенным в ОС, что позволяет ему получать конфиденциальные данные пользователя.
Исследователи Check Point также проанализировали наиболее эксплуатируемые уязвимости. OpenSSL TLS DTLS Heartbeat Information Disclosure — самая популярная уязвимость, эксплуатируемая с глобальным влиянием на 44% организаций во всем мире. Впервые за 12 месяцев CVE-2017-7269 опустился с первого места на второе, затронув 40% организаций. На третьем месте стоит CVE-2017-5638 с глобальным влиянием на 38% организаций по всему миру.
Global Threat Impact Index и ThreatCloud Map разработаны ThreatCloud intelligence, самой большой совместной сетью по борьбе с киберпреступностью, которая предоставляет данные об угрозах и тенденциях атак из глобальной сети датчиков угроз. База данных ThreatCloud, содержащая более 250 миллионов адресов, проанализированных для обнаружения ботов, более 11 миллионов сигнатур вредоносных программ и более 5,5 миллионов зараженных сайтов, продолжает ежедневно идентифицировать миллионы вредоносных программ.
Около 90% попыток заражения банковскими троянами Buhtrap и RTM пришлись на Россию
19 февраля «Лаборатория Касперского (Kaspersky)» сообщила, что за неполные два месяца 2019 года защитными решениями компании были зафиксированы попытки заражения Buhtrap примерно на 200 устройствах, в 2018 году этот показатель составил более трёх тысяч. Атаки RTM были заблокированы более чем у 30 тысяч пользователей (в 2018 – почти 140 тысяч пользователей). Значительный рост числа атак этих двух видов корпоративных троянцев начался в III квартале 2018-го года, и с тех пор их интенсивность остается на высоком уровне.
Банковские троянцы Buhtrap и RTM нацелены на малый и средний бизнес. Злоумышленников прежде всего интересуют бухгалтеры, а среди профессиональных сфер – информационные технологии, преимущественно региональные компании, юриспруденция и малое производство.
Buhtrap распространяется через эксплойты, внедрённые в новостные сайты, при условии, что используется браузер Internet Explorer (браузер). При загрузке вредоносного скрипта с заражённого ресурса применяется шифрованный протокол WebSocket, что затрудняет анализ и позволяет обойти детектирование объекта с помощью некоторых защитных решений. Вредоносное ПО распространяется с использованием уязвимости, известной с 2018 года.
Зловред RTM атакует пользователей посредством фишинговых рассылок. Темы и тексты сообщений содержат информацию, характерную для переписки с финансовыми структурами: например, «Заявка на возврат», «Копии документов за прошлый месяц» или «Просьба оплатить дебиторскую задолженность». Заражение происходит после перехода по ссылке или открытия вложения.
Buhtrap и RTM в связке с подгружаемыми модулями дают полный контроль над заражённой системой. Конечной целью злоумышленников является кража денежных средств со счетов юридических лиц. Оценить совокупный ущерб крайне сложно, при этом, по подсчётам «Лаборатории Касперского», злоумышленники проводят нелегальные транзакции, каждая из которых не превышает одного миллиона рублей. Кража происходит посредством подмены реквизитов в платёжных поручениях, как это делалось в рамках вредоносной кампании TwoBee, или вручную с помощью средств удалённого доступа.
В последний год мы наблюдаем всплеск атак Buhtrap. В 2018 году количество детектов этого вредоносного ПО выросло на 74% по сравнению с 2017. Более того, на устройства некоторых пользователей после установки Buhtrap также загружается другой банковский троянец RTM, что позволяет совершать ещё большее число мошеннических операций. В 2018 году мы наблюдали увеличение количества атак RTM на 5000%. Для защиты от данной угрозы следует обратить особое внимание специалистов по безопасности на защиту рабочих станций сотрудников финансовых отделов: установить последние обновления и защитные решения с модулем поведенческого детектирования, запретить запуск утилит удалённого администрирования на таких компьютерах, если это возможно.
Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского» |
В Сети активизировался троян SpeakUp для серверов Linux
14 февраля 2019 года стало известно, что компания Check Point Software Technologies Ltd., выявила очередной троян, нацеленный на серверы Linux, — бэкдор, распространяющий криптомайнер XMRig. Вредоносное ПО, получившее название SpeakUp, способно доставлять любую полезную нагрузку и запускать ее на скомпрометированных компьютерах.
Данный троян пока не обнаруживается антивирусами ни одного поставщика программ безопасности. Он был распространен с помощью серии эксплойтов, основанных на последовательностях команд центра управления, включая 8-ю, наиболее эксплуатируемую уязвимость — инъекция команд в HTTP-заголовки. Исследователи Check Point рассматривают Speakup как серьезную угрозу, поскольку его можно использовать для загрузки и распространения любых вредоносных программ.
В январе первые четыре строчки рейтинга самых активных вредоносных программ заняли криптомайнеры. Coinhive остается главным вредоносным ПО, атаковавшим 12% организаций по всему миру. XMRig снова стал вторым по распространенности зловредом (8%), за которым последовал криптомайнер Cryptoloot (6%). Несмотря на то, что в январском отчете представлены четыре криптомайнера, половина всех вредоносных форм из первой десятки может использоваться для загрузки дополнительного вредоносного ПО на зараженные машины.
В январе произошли небольшие изменения в формах вредоносных программ, ориентированных на организации по всему миру, однако мы находим другие способы распространения вредоносных программ. Подобные угрозы являются серьезным предупреждением о грядущих угрозах. Бэкдоры, такие как Speakup, могут избежать обнаружения, а затем распространять потенциально опасное вредоносное ПО на зараженные машины. Поскольку Linux широко используется именно на корпоративных серверах, мы ожидаем, что Speakup станет угрозой для многих компаний, масштабы и серьезность которой будут расти в течение года. Кроме того, второй месяц подряд в тройке самых активных вредоносных программ в России оказывается BadRabbit.Так что злоумышленники используют все возможные уязвимости для получения прибыли.
Василий Дягилев, глава представительства Check Point Software Software Technologies в России и СНГ |
Самое активное вредоносное ПО января 2019:
(Стрелки показывают изменение позиции по сравнению с предыдущим месяцем.)
- ↔ Coinhive (12%) — криптомайнер, предназначенный для онлайн-майнинга криптовалюты Monero без ведома пользователя, когда он посещает веб-страницу. Встроенный JavaScript использует большое количество вычислительных ресурсов компьютеров конечных пользователей для майнинга и может привести к сбою системы.
- ↔ XMRig (8%) — Программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero.
- ↑ Cryptoloot (6%) — криптомайнер, использующий мощность ЦП или видеокарты жертвы и другие ресурсы для майнинга криптовалюты, зловред добавляет транзакции в блокчейн и выпускает новую валюту.
Hiddad, модульный бэкдор для Android, который предоставляет привилегии загружаемому вредоносному ПО, заменил Triada на первом месте в списке мобильных вредоносных программ. На втором месте расположился Lotoor, в то время как троян Triada спустился на третье место.
Самые активные мобильные угрозы января 2019:
- Hiddad — Модульный бэкдор для Android, который предоставляет права суперпользователя для загруженного вредоносного ПО, а также помогает внедрить его в системные процессы.
- Lotoor — программа использует уязвимости в операционной системе Android, чтобы получить привилегированный root-доступ на взломанных мобильных устройствах.
- Triada — модульный троян для Android, который предоставляет привилегии суперпользователя для загружаемых вредоносных программ, а также помогает внедрить их в системные процессы.
Исследователи Check Point также проанализировали наиболее эксплуатируемые уязвимости. CVE-2017-7269 остался на первом месте (47%). Также в тройке утечка информации через репозитории веб-сервера Git (46%) и критические уязвимости библиотеки OpenSSL TLS DTLS Heartbeat (45%).
Global Threat Impact Index и ThreatCloud Map разработаны ThreatCloud intelligence, самой большой совместной сетью по борьбе с киберпреступностью, которая предоставляет данные об угрозах и тенденциях атак из глобальной сети датчиков угроз. База данных ThreatCloud, содержащая на февраль 2019 года более 250 миллионов адресов, проанализированных для обнаружения ботов, более 11 миллионов сигнатур вредоносных программ и более 5,5 миллионов зараженных сайтов, продолжает ежедневно идентифицировать миллионы вредоносных программ.
2018
Android-троян HeroRat крадет данные с помощью Telegram-бота
Компания Eset 21 июня 2018 года сообщила об открытии Android-трояна HeroRat, который управляет зараженными устройствами и крадет данные с помощью бота в Telegram.
HeroRat — RAT-троян (Remote Administration Tool) для удаленного управления скомпрометированными устройствами. Авторы предлагают его в аренду по модели Malware-as-a-Service (вредоносное ПО в качестве услуги). Доступны три комплектации (бронзовая, серебряная и золотая), которые различаются набором функций и ценой — $25, $50 и $100 соответственно. Исходный код вредоносной программы продается за $650. Предусмотрен видеоканал техподдержки.
HeroRat ищет жертв через неофициальные магазины Android-приложений, социальные сети и мессенджеры. Атакующие маскируют троян под приложения, обещающие биткоины в подарок, бесплатный мобильный интернет или накрутку подписчиков в соцсетях. При этом в Google Play данной угрозы не обнаружено. Большинство заражений зафиксировано в Иране.
Когда пользователь установит и запустит вредоносное приложение, на экране появится всплывающее окно. В нем сообщается, что программа не может работать на устройстве и будет удалена. В Eset наблюдали образцы с сообщениями на английском и персидском языках (в зависимости от языковых настроек). После «удаления» иконка приложения исчезнет, а троян продолжит работу скрытно от пользователя.
Операторы HeroRat управляют зараженными устройствами через Telegram с помощью бота. Троян позволяет перехватывать и отправлять сообщения, красть контакты, совершать вызовы, записывать аудио, делать скриншоты, определять местоположение устройства и менять настройки. Для управления функциями предусмотрены интерактивные кнопки в интерфейсе Telegram-бота — пользователь получает набор инструментов в соответствии с выбранной комплектацией.
Передача команд и кража данных с зараженных устройств реализована в рамках протокола Telegram — эта мера позволяет противодействовать обнаружению трояна.
Антивирусные продукты Eset детектируют угрозу как Android/Spy.Agent.AMS и Android/Agent.AQO.
Microsoft Security Intelligence Report
Корпорация Microsoft опубликовала в апреле 2018 года отчет об угрозах информационной безопасности Security Intelligence Report за период с февраля 2017 года. Он базируется на данных, полученных защитными программами и сервисами компании (Данные о количестве обнаруженных угроз, а не о случаях заражения). Информация была предоставлена корпоративными и частными пользователями, которые согласились делиться ей с привязкой к геолокации.
Широкое распространение ботнетов и вирусов-вымогателей привело к тому, что количество устройств в России, столкнувшихся с киберугрозами в период с февраля 2017 года по январь 2018 года, достигло 25-30% в среднем в месяц, тогда как аналогичный показатель в первом квартале 2017 года был почти в два раза меньше – 15%. Самые высокие показатели были зафиксированы в Пакистане, Непале, Бангладеше и Украине (33,2% или выше), самые низкие – в Финляндии, Дании, Ирландии и США (11,4% или ниже).
Согласно данным Windows Defender Security Intelligence, самой часто встречающейся категорией нежелательного ПО стали трояны. Процент их распространения с февраля 2017 года по январь 2018 года вырос с 6% до 10%. Показатели других видов вредоносного ПО (дропперов, обфускаторов, вирусов-вымогателей и т.д.) составили менее 1%.
2017
Появился взрывающий смартфоны вирус
В декабре 2017 года «Лаборатория Касперского» сообщила об обнаружении вируса Loapi, который, заражая смартфон, может нагреть его до такой степени, что произойдет возгорание. Подробнее здесь.
В Google Play бум троянцев, маскирующихся под мобильные приложения банков
Group-IB в конце ноября 2017 года отметила волну массового распространения троянцев, маскирующихся под мобильные приложения ведущих банков страны. Специалисты Group-IB блокируют ресурсы, с которых идет распространение этих приложений, но их объем постоянно растет.
Group-IB: приложения-подделки для Android выполнены на очень высоком уровне — и по дизайну, и по механике заражения
Трояны, предназначенные для мобильных устройств под управлением ОС Android, распространяются не через официальный магазин Google Play, а через рекламные объявления в поисковых системах.
Android является основной мишенью вирусописателей просто в силу своей распространенности — подавляющее большинство смартфонов в мире работают под управлением этой системы, — отмечает Роман Гинятуллин, эксперт по информационной безопасности компании SEQ (ранее SEC Consult Services). — И больше 97% вредоносных программ пишутся именно под Android, поскольку, во-первых, уровень защиты Google Play до сих пор уступает защищенности официального магазина приложений iOS, во-вторых, установить приложения под Android из неофициальных источников гораздо проще, чем под iOS. |
Злоумышленники смогли вывести свои приложения на первые строки поисковиков с помощью SEO. В ответ на пользовательские запросы формата «скачать приложение банка ХХХ» на первых страницах поисковиков им выводились сообщения, ведущие на зараженные троянами приложения.
Большинство пользователей не остановило даже то, что для установки такого рода программ им необходимо разрешить инсталляцию приложений из недоверенных источников в настройках безопасности своих устройств, — говорится в публикации Group-IB. — Как правило, об опасности такого подхода операционная система предупреждает сразу же после получения согласия пользователя. Однако в данном случае жертвы фишинг-атаки были согласны взять на себя все риски. |
Эксперты Group-IB отметили, что приложения-подделки были выполнены на очень высоком уровне — и по дизайну, и по механике заражения. Это сбивает с толку многих пользователей, не обращающих внимание на подозрительные «мелочи», такие как сомнительное название домена, переадресацию на сторонний ресурс и так далее.
Вредоносные приложения требовали разрешение на чтение и отправку SMS-сообщений и, естественно, логин и пароль от личного кабинета и реквизиты платежной карты. В итоге операторы вредоносного приложения переводили деньги со счета жертвы на свои ресурсы, заодно «подавляя» получение SMS-сообщений от банка, информировавшего о мошеннических транзакциях.
Эксперты Group-IB смогли установить, что распространитель нынешних банковских троянцев может быть связан с автором мошеннических ресурсов по продаже авиабилетов, с которыми Group-IB активно боролась в конце 2016 — начале 2017 года (тогда были закрыты более трех десятков таких ресурсов).[16]
Как отличить фальшивые приложения от подлинных
- Официальные приложения будут распространяться только через Google Play; ссылки на скачивание публикуются на сайтах самих банков. Если приложения размещены где-то еще, это, вероятнее всего, фальшивка.
- Особенное внимание следует обращать на доменные имена, откуда предлагается скачать приложение. Злоумышленники нередко используют домены, чьи названия похожи на официальные, но отличаются на один-два символа, или же используют домены второго уровня и ниже.
- Смартфоны снабжены мерами защиты от наиболее распространенных угроз, и если смартфон выводит сообщение о том, что то или иное приложение несет угрозу, его ни в коем случае не стоит устанавливать. В случае обнаружения фальшивых банковских приложений о них настоятельно рекомендуется уведомлять службы безопасности банков. Этим пользователи уберегут и себя, и других от множества неприятностей.
- Если вы заметили что-либо подозрительное на сайте, с которого предлагается скачать приложение, сразу же сообщите об этом в службу безопасности банка или в официальную группу банка в социальных сетях, не забыв приложить скриншот.
Троян CryptoShuffler своровал биткоинов на $140 тыс.
Эксперты «Лаборатории Касперского» в начале ноября 2017 года обнаружили троян, который ворует криптовалюту из кошельков пользователей. Целью злоумышленников стали Bitcoin, Ethereum, Zcash, Dash, Monero и другие.
По наблюдениям исследователей «Лаборатории Касперского», авторы трояна, получившего название CryptoShuffler, больше всего преуспели в атаках на Bitcoin-кошельки, украв в общей сложности примерно $140 тыс. Для сравнения, украденные суммы в других криптовалютах составляют от нескольких долларов до нескольких тысяч.
Кошельки, соответствующие указанным криптовалютам, зашиты непосредственно в теле трояна. Основной список выглядит следующим образом:
По словам экспертов компании, принцип действия зловреда довольно прост: он эксплуатирует человеческую невнимательность. Как известно, чтобы перевести деньги с одного криптокошелька на другой, пользователю необходимо указать идентификационный номер получателя. Он состоит из множества символов, поэтому запомнить его практически невозможно. В итоге операция выполняется функцией «копировать — вставить». Именно на этом этапе активизируется CryptoShuffler. После загрузки он начинает следить за буфером обмена устройства и, когда обнаруживает там предполагаемый адрес кошелька, подменяет его на свой собственный. В результате, если пользователь на замечает подлога, деньги отправляются напрямую злоумышленникам.
Зловред способен легко определить, что в буфер попал именно адрес криптовалютного кошелька — большинство из них имеют стандартный вид с фиксированной длиной и заранее заданным началом. Замена содержимого буфера осуществляется с помощью связки API-функций OpenClipboard\GetClipboardData\ SetClipboardData.
Продукты «Лаборатории Касперского» определяют данный троян как Trojan-Banker.Win32.CryptoShuffler.gen.
Троянец-шифровальщик парализовал работу целого города в США
Администрация округа Ликинг в штате Огайо в феврале вынуждена была отключить свои серверы и системы телефонной связи, чтобы остановить распространение троянца-шифровальщика[17].
Стало известно, что более тысячи компьютеров в США, относящихся к сетям администрации одного из американских округов, оказались заражены. Все системы были отключены, чтобы заблокировать дальнейшее распространение зловреда, предотвратить потерю данных и сохранить улики для расследования.
Все приемные и административные учреждения работают, но работа с ними возможна только при личном визите.
Размер требуемого выкупа представители администрации не называют; они также отказываются комментировать вероятность выплаты. По словам члена окружной комиссии Ликинга Тима Бабба (Tim Bubb), сейчас ведутся консультации с экспертами по кибербезопасности и правоохранительными органами.
Ручной режим
Отключение телефонных линий и сетевых коммуникаций означает, что все службы округа, в чьей работе задействованы информационные технологии, перешли на «ручной режим». Это касается даже центра помощи 911: телефоны и рации спасателей работают, но доступа к компьютерам нет. По крайней мере, вызовы полиции, пожарных и скорой помощи по-прежнему принимаются, но, как выразился директор центра спасения Шон Грейди (Sean Grady), работа службы в том, что касается скорости обработки вызовов, отброшена на четверть века назад.
Более 500 млн пользователей под прицелом Andriod-трояна SpyDealer
Эксперты в области информационной безопасности из Palo Alto Networks в июле выявили троян SpyDealer, способный похищать личные данные пользователей более чем 500 млн устройств, работающих под ОС Android. Вредоносная программа использует для этого популярные мессенджеры, SMS и запись телефонных разговоров пользователя. Кроме того, троян может делать фотографии с камеры зараженного смартфона.[18]
SpyDealer распространяется через платформы GoogleService и GoogleUpdate, а также незащищенные Wi-Fi-соединения, которые чаще всего находятся в публичных местах. Проникнув и установившись на устройстве, SpyDealer начинает контролировать все осуществляемые загрузки и статус беспроводного соединения. Вредоносной программой управляют при помощи SMS-команд, число которых достигает 50. Выполняя переданные из удалённого сервера команды, троян может похитить любые личные данные пользователя, включая номер телефона, данные IMEI, IMSI, SMS и MMS, перечень контактов, данные геолокации и информацию о текущих беспроводных соединениях. Перехват сообщений осуществляется с использованием специальных функций Android — AccessibilityService.
Под прицелом зловреда оказались пользователи WeChat, WhatsApp, Skype, Line, Viber, QQ, Tango, Telegram, Sina Weibo, Tencent Weibo и Facebook Messenger. Кроме того, угрозе подвергаются пользователи предустановленного браузера Android, браузеров Firefox и Oupeng, почтовых клиентов QQ Mail, NetEase Mail, Taobao и Baidu Net Disk.
SpyDealer сможет отвечать на телефонные звонки с заданного номера, вести запись телефонных разговоров и делать несанкционированные пользователем снимки с обеих камер смартфона. Всего насчитывается более 40 приложений, к которым троян имеет доступ. Таким образом, SpyDealer, по мнению исследователей, может служить «идеальным шпионом», способным не только похитить информацию, но и вести слежку за своей жертвой.
В настоящее время наибольшее число пострадавших от SpyDealer пользователей сосредоточено в Китае, в этой же стране находится и большинство командных серверов (однако сервера есть и в США). Наибольшей угрозе подвергаются смартфоны с ОС Android версий от 2.2 до 4.4, для последующих версий внесены исправления и некоторые угрозы ликвидированы. Однако SpyDealer способен похитить сведения и из смартфонов, работающих под ОС Android 5 и более высоких версий.
По оценкам специалистов, в мире в данный момент имеется около 2 млрд Android-смартфонов, среди которых около четверти работают под устаревшими версиями операционной системы. Следовательно, около 500 млн пользователей рискуют быть подверженными атаке трояна SpyDealer. При этом SpyDealer динамично развивается и оптимизируется, и в будущем он, возможно, сможет атаковать и смартфоны, работающие под управлением свежих версий ОС Android, полагают в Palo Alto Networks.
2016: Банковский троян атакует смартфоны прикидываясь популярными приложениями
Исследователи Comodo Group выявили новую версию банковского зловреда Tordow, атакующего пользователей в России. Троянец пытается получить root-привилегии на устройстве, что делает борьбу с ним чрезвычайно проблематичным делом. Подробнее здесь.
2011: Carberp — самый распространенный банковский троян
На ноябрь 2011 года Россия является абсолютным лидером по количеству инцидентов в сфере информационной безопасности с использованием банковского троянского вируса Carberp — 72% от общего числа в разных странах, сообщал в своём отчёте Российский Центр вирусных исследований и аналитики компании ESET. Подробнее здесь.
Смотрите также
Контроль и блокировки сайтов
- Цензура в интернете. Мировой опыт
- Цензура (контроль) в интернете. Опыт Китая, Компьютерная группа реагирования на чрезвычайные ситуации Китая (CERT)
- Цензура (контроль) в интернете. Опыт России, Политика Роскомнадзора по контролю интернета, ГРЧЦ
- Запросы силовиков на телефонные и банковские данные в России
- Закон о регулировании Рунета
- Национальная система фильтрации интернет-трафика (НаСФИТ)
- Как обойти интернет-цензуру дома и в офисе: 5 простых способов
- Блокировка сайтов в России
- Ревизор — система контроля блокировки сайтов в России
Анонимность
- Даркнет (теневой интернет, DarkNet)
- VPN и приватность (анонимность, анонимайзеры)
- VPN — Виртуальные частные сети
- СОРМ (Система оперативно-розыскных мероприятий)
- Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА)
- Ястреб-М Статистика телефонных разговоров
Критическая инфраструктура
- Цифровая экономика России
- Электронное правительство России
- Информационная безопасность цифровой экономики России
- Защита критической информационной инфраструктуры России
- Закон О безопасности критической информационной инфраструктуры Российской Федерации
- Основы государственной политики РФ в области международной информационной безопасности
- Доктрина информационной безопасности России
- Стратегия национальной безопасности России
- Соглашение стран СНГ в борьбе с преступлениями в сфере информационных технологий
- Автономный интернет в России
- Киберполигон России для обучения информационной безопасности
- Национальная биометрическая платформа (НБП)
- Единая биометрическая система (ЕБС) данных клиентов банков
- Биометрическая идентификация (рынок России)
- Каталог решений и проектов биометрии
- Единая сеть передачи данных (ЕСПД) для госорганов (Russian State Network, RSNet)
- Статья:Единая система программной документации (ЕСПД).
- Сеть передачи данных органов государственной власти (СПДОВ)
- Единая сеть электросвязи РФ
- Единый портал государственных услуг (ФГИС ЕПГУ)
- Гособлако — Государственная единая облачная платформа (ГЕОП)
- Госвеб Единая платформа интернет-порталов органов государственной власти
Импортозамещение
- Импортозамещение в сфере информационной безопасности
- Обзор: Импортозамещение информационных технологий в России
- Главные проблемы и препятствия импортозамещения ИТ в России
- Преимущества замещения иностранных ИТ-решений отечественными
- Основные риски импортозамещения ИТ
- Импортозамещение информационных технологий: 5 «За» и 5 «Против»
- Как импортозамещение ИТ сказалось на бизнесе иностранных вендоров? Взгляд из России
- Как запуск реестра отечественного ПО повлиял на бизнес российских вендоров
- Какие изменения происходят на российском ИТ-рынке под влиянием импортозамещения
- Оценки перспектив импортозамещения в госсекторе участниками рынка
Информационная безопасность и киберпреступность
- Обзор громких киберинцидентов 2020 года
- Киберпреступность в мире
- Требования NIST
- Глобальный индекс кибербезопасности
- Кибервойны, Кибервойна России и США, Кибервойна России и Великобритании, Кибервойна России и Украины
- Locked Shields (киберучения НАТО)
- Киберпреступность и киберконфликты : Россия, Кибервойска РФ, ФСБ, Национальный координационный центр по компьютерным инцидентам (НКЦКИ), Центр информационной безопасности (ЦИБ) ФСБ, Следственный комитет при прокуратуре РФ, Управление К БСТМ МВД России, МВД РФ, Министерство обороны РФ, Росгвардия, ФинЦЕРТ
- Число киберпреступлений в России, Русские хакеры
- Киберпреступность и киберконфликты : Украина, Киберцентр UA30, Национальные кибервойска Украины
- Национальный центр по защите данных системы здравоохранения Норвегии (HelseCERT)
- CERT NZ
- CERT-UZ Отдел технической безопасности в структуре государственного унитарного Центра UZINFOCOM
* Регулирование интернета в Казахстане, KZ-CERT
- Киберпреступность и киберконфликты : США, Пентагон, ЦРУ, АНБ, NSA Cybersecurity Directorate, ФБР, Киберкомандование США (US Cybercom), Министерства обороны США, NATO, Department of Homeland Security, Cybersecurity and Infrastructure Security Agency (CISA)
- Информационная безопасность в США
- Как США шпионили за производством микросхем в СССР
- Киберпреступность и киберконфликты : Европа, ENISA, ANSSI, Joint Cyber Unit, National Cyber Force
- Стратегия кибербезопасности ЕС
- Регулирование интернета в странах Евросоюза
- Информационная безопасность в Германии
- Информационная безопасность во Франции
- Информационная безопасность в Греции
- Информационная безопасность в Австралии
- Tactical Edge Networking (военный интернет)
- Киберпреступность и киберконфликты : Израиль
- Киберпреступность и киберконфликты : Иран
- Киберпреступность и киберконфликты : Китай
- Информационная безопасность в Китае
- Импортозамещение информационных технологий в Китае
- Киберпреступность и киберконфликты : КНДР
- Информационная безопасность в Молдавии
- Информационная безопасность в Японии
- Безопасность в интернете
- Безопасность интернет-сайтов
- Безопасность программного обеспечения (ПО)
- Безопасность веб-приложений
- Безопасность мессенджерах
- Угрозы безопасности общения в мобильной сети
- Безопасность в социальных сетях
- Киберзапугивание (кибербуллинг, киберсталкинг)
- Информационная безопасность в банках
- Информационная безопасность в судах
- CERT-GIB Computer Emergency Response Team — Group-IB
- Мошенничество с банковскими картами
- Взлом банкоматов
- Обзор: ИТ в банках 2016
- Политика ЦБ в сфере защиты информации (кибербезопасности)
- Потери организаций от киберпреступности
- Потери банков от киберпреступности
- Тренды развития ИТ в страховании (киберстрахование)
- Кибератаки
- Threat intelligence TI киберразведка
- Число кибератак в России и в мире
- Кибератаки на автомобили
- Обзор: Безопасность информационных систем
- Информационная безопасность
- Информационная безопасность в компании
- Информационная безопасность в медицине
- Информационная безопасность в электронной коммерции
- Информационная безопасность в ритейле
- Информационная безопасность (мировой рынок)
- Информационная безопасность (рынок России)
- Информационная безопасность на Украине
- Информационная безопасность в Белоруссии
- Главные тенденции в защите информации
- ПО для защиты информации (мировой рынок)
- ПО для защиты информации (рынок России)
- Pentesting (пентестинг)
- ИБ — Средства шифрования
- Криптография
- Управление инцидентами безопасности: проблемы и их решения
- Системы аутентификации
- Директор по информационной безопасности (Chief information security officer, CISO)
- Коррупция (мошенничество, взятки): Россия и мир
- Отмывание денег (Money Muling)
- Закон о персональных данных №152-ФЗ
- Защита персональных данных в Евросоюзе и США
- Расценки пользовательских данных на рынке киберпреступников
- Буткит (Bootkit)
- Уязвимости в ПО и оборудовании
- Джекпоттинг_(Jackpotting)
- Вирус-вымогатель (шифровальщик), Ramsomware, WannaCry, Petya/ExPetr/GoldenEye, CovidLock, Ragnar Locker, Ryuk, EvilQuest Вредонос-вымогатель для MacOS, Ransomware of Things (RoT), RegretLocker, Pay2Key, DoppelPaymer, Conti, DemonWare (вирус-вымогатель), Maui (вирус-вымогатель), LockBit (вирус-вымогатель)
- Защита от программ-вымогателей: существует ли она?
- Big Brother (вредоносная программа)
- MrbMiner (вирус-майнер)
- Защита от вирусов-вымогателей (шифровальщиков)
- Вредоносная программа (зловред)
- APT — Таргетированные или целевые атаки
- Исследование TAdviser и Microsoft: 39% российских СМБ-компаний столкнулись с целенаправленными кибератаками
- DDoS и DeOS
- Атаки на DNS-сервера
- DoS-атаки на сети доставки контента, CDN Content Delivery Network
- Как защититься от DDoS-атаки. TADетали
- Визуальная защита информации — Визуальное хакерство — Подглядывание
- Ханипоты (ловушки для хакеров)
- Руткит (Rootkit)
- Fraud Detection System (fraud, фрод, система обнаружения мошенничества)
- Каталог Антифрод-решений и проектов
- Как выбрать антифрод-систему для банка? TADетали
- Security Information and Event Management (SIEM)
- Threat intelligence (TI) — Киберразведка
- Каталог SIEM-решений и проектов
- Чем полезна SIEM-система и как её внедрить?
- Для чего нужна система SIEM и как её внедрить TADетали
- Системы обнаружения и предотвращения вторжений
- Отражения локальных угроз (HIPS)
- Защита конфиденциальной информации от внутренних угроз (IPC)
- Спуфинг (spoofing) — кибератака
- Фишинг, Фишинг в России, DMARC, SMTP
- Сталкерское ПО (программы-шпионы)
- Троян, Trojan Source (кибератака)
- Ботнет Боты, TeamTNT (ботнет), Meris (ботнет)
- Backdoor
- Черви Stuxnet Regin Conficker
- EternalBlue
- Рынок безопасности АСУ ТП
- Флуд (Flood)
- Предотвращения утечек информации (DLP)
- Скимминг (шимминг)
- Спам, Мошенничество с электронной почтой
- Социальная инженерия
- Телефонное мошенничество
- Звуковые атаки
- Warshipping (кибератака Военный корабль)
- Антиспам программные решения
- Классические файловые вирусы
- Антивирусы
- ИБ : средства защиты
- Система резервного копирования
- Система резервного копирования (технологии)
- Система резервного копирования (безопасность)
- Межсетевые экраны
- Системы видеонаблюдения
- Видеоаналитика
Ссылки
- Вирусы и средства борьбы с ними
- Троянская программа
- Принцип действия Троянских коней
- Описание троянских программ в русской Википедии
Примечания
- ↑ ExCobalt: GoRed — техника скрытого туннеля
- ↑ Уязвимость SymStealer поставила под удар каждого пользователя Google Chrome
- ↑ Обновлённый пакистанский троян ReverseRAT нацелен на госучреждения Индии
- ↑ Троян Qakbot теперь распространяется внутри SVG-изображений
- ↑ Троян Harly продолжает дело печально известного Jocker
- ↑ Разработчик RAT-трояна выложил его исходный код на GitHub
- ↑ CVE-2022-30190 Microsoft Windows Support Diagnostic Tool (MSDT) Remote Code Execution Vulnerability
- ↑ Уязвимость CVE-2022-30190 (Follina) в MSDT: описание и противодействие
- ↑ О процессах и потоках
- ↑ Woody RAT: A new feature-rich malware spotted in the wild
- ↑ FluBot побежден: спецслужбы берут под контроль инфраструктуру вредоноса, угрожавшего миллиардам пользователей Android
- ↑ Крысы нападают: скрытный Nerbian RAT замечен в атаках по всей Европе
- ↑ В даркнете появился новый троян для удаленного доступа — Borat
- ↑ Android-троян TeaBot продолжает триумфальное шествие по планете
- ↑ ESET: банковский троян использовал YouTube для кражи криптовалюты
- ↑ Group-IB фиксирует рост распространения фальшивых мобильных приложений банков
- ↑ Cnews: Троянец-шифровальщик парализовал работу целого города в США
- ↑ Троян SpyDealer похищает данные из Android-приложений
Как свести к минимуму угрозы нулевого дня
Каждая вторая атака на организации в 2020 году проводилась с использованием вирусов-шифровальщиков. И по прогнозам экспертов компании Positive Technologies, популярность двойной схемы вымогательства, в которой шифрование данных сочетается с угрозами их продажи, будет только расти. Как остановить вредоносное ПО (ВПО) на подходе к корпоративной IТ-инфраструктуре, рассказали эксперты по информбезопасности (ИБ).
НОВЫЕ УГРОЗЫ – В «ПЕСОЧНИЦУ»
К концу 2020 года 80% кибератак носило целевой характер, 88% были направлены на юридических лиц, сообщается в отчете Positive Technologies «Актуальные киберугрозы: IV квартал 2020 года». Среди пострадавших компаний преобладают госучреждения, предприятия промышленности, медорганизации, а также логистические компании и ритейлеры.
Отражать такие атаки становится все труднее, поскольку киберпреступники постоянно совершенствуют сценарии ВПО: разрабатывают новые техники, скрывающие присутствие зловредов, чаще используют нетрадиционные системы программирования и процессорных платформ для усложнения анализа и обнаружения. Руководитель отдела обнаружения ВПО экспертного центра безопасности компании Positive Technologies Алексей Вишняков на заседании пресс-клуба «Вредоносное ПО. Топ угроз и технологии защиты» спрогнозировал развитие подобных сценариев в будущем.
В результате появляются новые угрозы, с которыми известные антивирусы, межсетевые экраны, антиспам-системы перестают справляться, поскольку ориентированы на борьбу со знакомыми зловредами. И тут на помощь приходят решения класса sandbox, когда потенциальные ВПО сначала попадают в «песочницы» (изолированную IT-среду) для анализа.
«Этот более продвинутый инструмент защищает от сложных и ранее неизвестных угроз», – пояснил RSpectr менеджер по развитию сервисов Solar MSS компании «Ростелеком-Солар» Альберт Маннанов. По его словам, обычно сендбоксы интегрируются в сеть организации для дополнительной проверки файлов в почтовом и веб-трафике, где выявляют угрозы нулевого дня.
По словам эксперта, подозрительные файлы отправляются в «песочницу», где запускаются в безопасной, изолированной среде. Далее происходит эмуляция, то есть имитация запуска на реальном компьютере. Затем «песочница» принимает решение, пропустить данный файл или заблокировать.
Там же можно анализировать все файлы, приходящие извне, а кроме того, расследовать уже произошедшие инциденты – быстро и в то же время глубоко изучить поведение зловреда конкретного образца. Эксперт компании «Доктор Веб» Илья Куркин считает решения класса sandbox важным средством комплексной защиты корпоративной сети.
За последние пару лет «песочницы» превратились в обязательный компонент защиты от шифровальщиков, банковских троянов и шпионского ПО
Если несколько лет назад закупку сендбоксов нужно было обосновать, то сейчас специалисты по информбезопасности организаций понимают актуальность этих инструментов в своем арсенале, констатирует руководитель отдела поддержки продаж компании Сross Technologies Саид Атциев.
СЛАГАЕМЫЕ ЭФФЕКТИВНОСТИ
Создатели ВПО прилагают максимум усилий для того, чтобы обойти и статические, и динамические средства анализа вирусов. С этой целью они все чаще используют разные техники, позволяющие намеренно изменить код программы, чтобы затруднить анализ и понимание его работы, сообщил RSpectr инженер по безопасности хостинг-провайдера и регистратора доменов REG.RU Георгий Шутяев.
Сегодня более чем у половины вредоносного ПО есть механизмы определения «песочницы»
В первую очередь зловред смотрит окружение ОС и пытается найти там упоминания о сендбоксе. Затем проверяет, используется ли «песочница» в решении повседневных задач: знакомится с историей браузера, выясняет, как часто запускается система.
Илья Куркин, «Доктор Веб»:
– Если виртуальная среда обнаружена, условный троян прекращает свою работу, а это значит, что анализируемый файл считается чистым. Дальнейший запуск этого вредоносного файла в реальной системе очевидно приведет к заражению.
Обмануть вредоносное ПО можно, только максимально приблизив «песочницу» к основной цифровой среде организации, отмечает Д.Остапенко.
Дмитрий Остапенко, Trend Micro Russia&CIS:
– Для этого нужно иметь возможность кастомизировать содержимое виртуальных машин внутри «песочницы». Например, изменять настройки ОС: редактировать перечень установленных языков, драйверов периферийных устройств; устанавливать дополнительный либо нестандартный софт; влиять на содержимое «рабочего стола».
Для того чтобы заставить зловредов проявить себя, компания Positive Technologies использует в своем новом решении приманки, имитирующие в «песочнице» настоящие файлы, процессы или данные. В этой роли выступают поддельные учетные записи пользователей, файлы конфигурации или другая конфиденциальная информация, потенциально интересная атакующему.
Решение этого класса есть и в портфеле компании «Доктор Веб». При его использовании выявляется зловред и выдается полный отчет:
- как именно он действует в системе;
- какие вносит в нее изменения;
- с какими ресурсами соединяется;
- как выглядит карта его сетевой активности и другое.
«Если обнаружена потенциально опасная активность, “песочница” должна видеть всю цепочку до и после запуска вредоносного ПО. Это позволит понять, какие конкретно действия в системе произошли вследствие его запуска, и откатить эти изменения при необходимости», – поясняет RSpectr ведущий системный инженер Varonis Systems Александр Ветколь.
Александр Вектоль, Varonis Systems:
– В организации, использующей множество разных ОС, решение класса sandbox должно поддерживать все эти платформы. Также важно научить сотрудников своевременно обновлять версии операционной системы, до того как они смогут воспользоваться корпоративной средой.
А.Маннанов в числе важных критериев эффективности «песочницы» назвал скорость обработки файлов, разнообразие поддерживаемых форматов, возможность работы с архивами, определение вредоносов по ссылкам и гибкость настройки под задачи и особенности конкретной организации.
Эффективность sandbox зависит также от возможности интеграции его компонентов с другими IT-решениями ИБ и инфраструктурными сервисами компании-заказчика.
По опыту компании «Информзащита», для своевременного реагирования на потенциальную угрозу и остановки распространения вредоносной активности важна функциональность предоставления компонентами «песочницы» подробных отчетов о ней.
ВЕКТОР РАЗВИТИЯ
Для точного и качественного детектирования в изолированной среде вредоносного ПО применяются технологии машинного обучения. «С помощью них можно анализировать контент по тысячам индикаторов. Например: отправитель, путь файла, иконка, домен и много другое. И сегодня это тренд», – сообщил RSpectr А.Маннанов.
Еще одно направление эволюции в sandbox – cloud-решения. Как отмечает П.Меркурьев, облачные «песочницы» сегодня все чаще используются для защиты публичных и частных облаков организации, защиты публичных файловых хранилищ.
Вектором развития облачных «песочниц» С.Атциев назвал рост качества детектирования за счет анализа косвенных признаков атаки, а также их индивидуализации с учетом свойственных бизнесу угроз.
Для полной защиты определенного пользователя в компании Positive Technologies готовятся с максимальной точностью воссоздавать в «песочнице» рабочую среду атакуемого компьютера, отмечает директор по продуктам компании Денис Кораблев в ходе пресс-завтрака.
Наиболее очевидным сценарием развития сендбоксов станет расширение перечня поддерживаемых ОС в качестве сред анализа объектов. А также развитие функционала, который позволит встраивать «песочницы» в существующие экосистемы заказчиков. При этом минимально меняя конфигурации устоявшихся IТ-инфраструктур, считает Д.Остапенко.
КАК ВЫБРАТЬ ПОСТАВЩИКА
Эксперты советуют потенциальным заказчикам исходить из особенностей IТ-инфраструктуры их компании.
Евгений Суханов, Oberon:
– В первую очередь необходимо четко понимать архитектуру защищаемого объекта, количество хостов, каналов связи с внешними сетями за пределами периметра. От этого зависит строение «песочницы» и ее расположение.
И.Куркин рекомендует компаниям проанализировать представленные на рынке решения, сравнить их возможности. Например, с помощью известного теста – Pafish, который оценивает детектируемость виртуальной среды, выявляя разные нестыковки с реальными системами. Также можно протестировать работу сендбоксов на реальных образцах, которые использовались в известных атаках. Ну и, конечно же, следует проанализировать свои потребности и роль «песочницы» в общем построении системы защиты корпоративной сети.
Решение класса sandbox должно органично и эффективно дополнять существующую систему безопасности организации, убежден С.Атциев. Вот почему к выбору решения должны применяться такие критерии, как:
- возможность гибкой интеграции со смежными системами защиты информации;
- автоматизация реагирования на атаки с целью исключить ручную обработку инцидентов и сократить время реакции;
- наличие у поставщика собственных уникальных технологий для регулярного обновления компонентов, квалифицированной поддержки и устранения ошибок безопасности.
«Для начала компания должна решить, какой именно трафик ей нужно защищать – почтовый, веб или оба, – говорит А. Маннанов. – Затем нужно понять, насколько выбранные вендорские решения совместимы со средствами защиты, которые уже используются в организации. Следующий шаг – сопоставление эффективности и ценовых параметров предложений разных производителей на основе стоимости обработки “песочницей” одного файла». Хорошо, если поставщик услуги имеет собственную базу киберугроз и может обогащать этими данными сендбокс.
Выбирая облачное решение, важно понимать, что cloud-серверы за рубежом не подходят для госорганизаций. Госзаказчикам стоит использовать решения отечественных поставщиков.
ON-PREMISE ИЛИ ИЗ ОБЛАКА
С технологической точки зрения стороннее и собственное IT-решение (on-premise) не отличаются друг от друга. Однако свое обойдется дороже. «Мы видим, что на горизонте семи лет купленный сервис оказывается для компаний в среднем на 30% дешевле собственного решения», – говорит А.Маннанов. Кроме того, облачная модель не требует единовременных капитальных затрат – расходы разбиты на ежемесячные платежи.
Для маленького бизнеса (до 500 хостов) в сети Е.Суханов рекомендует cloud-решение, поскольку внедрять аппаратно-программный комплекс будет невыгодно. В пользу сервисной модели «песочниц» высказался и С.Атциев, отметивший, что в этом случае защита от вредоносного ПО осуществляется за пределами периметра сети организации.
Облачная «песочница» от крупного поставщика предпочтительна еще и потому, что разработчик ВПО может исследовать сендбоксы внутри IT-инфраструктуры компании. А вот какое окружение будет в облаке – он не знает.
Георгий Шутяев, REG.RU, отметил, что
крупные сервис-провайдеры отслеживают популярные у разработчиков ВПО способы определения «песочницы» и закрываются от них
Среди экспертов нашлись и приверженцы модели on-premise. По словам И.Куркина, она исключает риск утечки внутренних данных при анализе. «Для максимальной эффективности предпочтительней использовать собственное решение», – считает Д.Остапенко. Для облачной модели пока ни один из производителей «песочниц» не реализовал в качестве среды тестирования использование кастомизированных образов виртуальных машин, которые точно отражают IT-инфраструктуру конкретного заказчика в cloud-среде, отметил эксперт.
Вместе с тем он признал, что облачные «песочницы» выгодно задействовать заказчикам с территориально распределенной инфраструктурой. В противном случае их затраты на обеспечение необходимой сетевой маршрутизации могут превысить выгоду от разницы между облачным и локальным сендбоксом.
Изображение: RSpectr, Freepik.com
ЕЩЕ ПО ТЕМЕ:
Тревожная кнопка для IТ-инфраструктуры
Как системы безопасности цифрового периметра помогают защитить данные