The page may not load correctly.
1 czerwca 2015, Warszawa
Patrząc przez pryzmat bezpieczeństwa informacji, maj 2015 okazał się być raczej spokojny. Nie wykryto żadnych masowych złośliwych dystrybucji SPAM-u, botnety również utrzymywały swoją liczebność na niskim (dotychczasowym) poziomie.
Istnienie licznych instalatorów bezużytecznych i niechcianych aplikacji nie jest nowością dla użytkowników Windows, ale jak dotąd niewiele programów tego typu było wymierzonych w system Mac OS X. Z tego powodu analitycy bezpieczeństwa wykazali duże zainteresowanie aplikacją instalatora dodaną do bazy wirusów Dr.Web pod nazwą Adware.Mac.InstallCore.1.
Składający się z kilku komponentów Adware.Mac.InstallCore.1 potrafi nie tylko instalować niechciane programy na komputerach użytkowników, ale również zmieniać stronę domową przeglądarki i domyślną wyszukiwarkę. Co więcej, ten program obejmuję funkcje debugujące: gdy zostanie uruchomiony skanuje system pod kątem obecności maszyn wirtualnych, antywirusów i innych aplikacji. Jeśli wynik skanowania jest pozytywny, malware nie będzie prosić użytkownika o instalację dodatkowych programów. Poniższa lista przedstawia kilka programów i narzędzi, które mogą być zainstalowane w systemie przez Adware.Mac.InstallCore.1:
Adware.Mac.InstallCore.1 to nie jedyne adware dla Mac OS X przebadane w maju 2015. Przykładowo aplikacja nazwana WalletBee została dodana do baz wirusów Dr.Web pod nazwą Adware.Mac.DealPly. Ta aplikacja oferuje możliwość instalacji różnych rozszerzeń do Chrome i Safari.
Inne adware dla komputerów Apple, dodane do baz wirusów Dr.Web jako Adware.Mac.WebHelper, łączy aplikacje WebTools i ShopMall. Ten złośliwy pakiet zawiera kilka skryptów dla interpretera komend SH, zestaw skryptów w języku Python i kilka plików binarnych.
Automatyczne uruchomienie się Adware.Mac.WebHelper jest wykonywane z pomocą plików PLIST. Aplikacja potrafi modyfikować stronę domową w Chrome, Firefoxie i Safari. Potrafi także zmieniać domyślną wyszukiwarkę na my-search-start.com. Adware.Mac.WebHelper zawiera plik binarny wykonujący dwa AppleScripts (dla Chrome i Safari) wykonywane w nieskończonej pętli. Te skrypty wstrzykują kod JavaScript w strony www przeglądane przez użytkownika. Z kolei rezultatem wykonania tego kodu jest pobranie 4 innych skryptów JavaScript wyświetlających reklamy w oknie przeglądarki.
Kolejny program obejmujący tę samą funkcjonalność i wymierzony w Mac OS X został nazwany Mac.Trojan.Crossrider. Trojany przynależne do rodziny Crossrider są dobrze znane użytkownikom Windows. Tym niemniej ta modyfikacja atakuje komputery Apple.
Mac.Trojan.Crossrider jest dystrybuowany pod ukryciem pakietu instalacyjnego (Safari Helper). Wykonanie Mac.Trojan.Crossrider powoduje ukrytą instalację rozszerzenia FlashMall dla Safari, Chrome i Firefox. Co więcej, malware dodaje dwie następujące aplikacje do "autostartu" systemu: “WebSocketServerApp” i “Safari Security”. Pierwsza aplikacja jest odpowiedzialna za komunikację z serwerem kontrolno-zarządzającym, druga instaluje rozszerzenia przeglądarki. Malware modyfikuje również skrypty startowe rozszerzeń przeglądarki w celu ich późniejszej aktualizacji.
Wszystkie programy reklamowe i złośliwe aplikacje dla Mac OS X wykryte przez analityków bezpieczeństwa Doctor Web zostały dodane do baz wirusów Dr.Web dla Mac OS X.
W maju z użyciem Dr.Web CureIt! wykryto ponad 84 mln złośliwych i potencjalnie niebezpiecznych programów. W kwietniu było ich ponad 73 mln, co stanowi wzrost o 14,9%.
Najpopularniejsze zagrożenia to:
Analitycy bezpieczeństwa Doctor Web kontynuują monitorowanie kilku aktywnych botnetów. Wśród nich znajduje się botnet stworzony przez cyberprzestępców z użyciem infektora plików Win32.Rmnet.12. Średnia dzienna aktywność jego dwóch podsieci została przedstawiona poniżej:
Rmnet to rodzina wirusów rozpowszechniających się bez interwencji użytkownika. Potrafią one wbudowywać treści w strony www (co teoretycznie pozwala cyberprzestępcom na uzyskanie dostępu do informacji o koncie bankowym ofiary) jak i wykradanie cookies i haseł zapisanych w popularnych klientach FTP i wykonywanie innych komend wydanych przez cyberprzestępców.
Botnet składający się z komputerów zainfekowanych wirusem Win32.Sector wciąż pozostaje aktywny. Ten złośliwy program posiada następujące funkcjonalności:
W porównaniu z kwietniem 2015 cyberprzestępcy zintensyfikowali swoje ataki na zasoby internetowe z użyciem Linux.BackDoor.Gates.5. W maju liczba zaatakowanych adresów IP zwiększyła się o więcej niż 65,5% i wyniosła 5.498 przypadków. Cyberprzestępcy zmienili też cel dla swoich ataków. Tym samym Chiny stały się z powrotem krajem o największej liczbie zaatakowanych zasobów, a USA zajęły drugą pozycję. Geograficzny rozkład infekcji przedstawia poniższa mapka:
Ilość zgłoszeń z prośbą o rozszyfrowanie plików odebrana przez służbę wsparcia technicznego Doctor Web wyniosła w maju 1.200. W kwietniu było ich 1.359, co stanowi spadek o 11,6%.
Ta funkcja nie jest dostępna w podstawowym Antywirusie Dr.Web dla Windows
| Ochrona zapobiegawcza: | Zapobieganie Utracie Danych: |
|---|---|
 |  |
W maju 2015 analitycy bezpieczeństwa Doctor Web przebadali kilka złośliwych programów potrafiących zainfekować komputery z systemem Linux. Jeden z nich został stworzony przez chińską grupę hakerską zwaną ChinaZ. Ten złośliwy program został nazwany Linux.Kluh.1. Jego głównym celem jest infekowanie routerów z systemem Linux. Podobny do innego programu napisanego przez ChinaZ, Linux.Kluh.1 oferuje możliwość uruchamiania następujących ataków typu DDoS: HTTP Flood (Linux.Kluh.1 może ukrywać siebie pod postacią robaka Baidu, jeśli otrzyma odpowiednią komendę z serwera kontrolno-zarządzającego), Spoofed SYN Flood, SYN Flood i innych ataków DDoS wykonywanych poprzez wysyłanie masowych zapytań do serwerów DNS. Spośród szczególnych funkcji tego Trojana jedna z nich potrafi wymienić adres zasobu internetowego z serwerem kontrolno-zarządzającym sterującym malware.
Inny niebezpieczny program wymierzony w Linuxa uzyskał nazwę Linux.Iframe.4. Jest to złośliwa wtyczka do serwera Apache wstrzykująca tzw. Iframe do stron www przeglądanych przez użytkowników, przekierowując ofiary na strony www uruchomione przez cyberprzestępców. Aby uniknąć fałszywych wywołań, cyberprzestępcy wbudowali w architekturę trojana funkcję sprawdzającą obecność parametru UserAgent. Ta funkcja identyfikuje wersję przeglądarki i IP ofiary.
Sygnatury wszystkich złośliwych programów wymierzonych w system Linux i wykrytych w maju 2015 zostały dodane do baz wirusów Dr.Web dla Linuxa.
W maju odnotowano znaczący wzrost aktywności cyberprzestępców, którzy kontynuują nakłanianie użytkowników Internetu do wydawania swoich pieniędzy. Aby przyciągnąć uwagę potencjalnych ofiar, cyberprzestępcy wysyłają dużą ilość wiadomości SMS z tekstem informującym odbiorcę o tym, że właśnie wygrał samochód. Wszystkie wiadomości SMS zawierają link do strony www, która wygląda jak oficjalny zasób internetowy jednego z dealerów samochodowych i zawiera szczegółowe informacje na temat tej "kampanii promocyjnej". Aby otrzymać główną nagrodę, odwiedzający fałszywą stronę jest proszony o wpłacenie 1% podatku od wartości samochodu poprzez terminal płatniczy lub o wykupienie ubezpieczenia.
W ciągu maja 2015 dodano do bazy Dr.Web 221.346 adresów URL niezalecanych stron www. W kwietniu było ich 129.199, co stanowi wzrost o 71,32%.
Więcej o niezalecanych przez Dr.Web stronachW maju wykryto kilka nowych, złośliwych programów dla Androida. Wśród najbardziej wartych zauważenia zdarzeń powiązanych z malware dla Androida możemy wymienić: