30 października 2015
Październik okazał się być spokojnym miesiącem w zakresie wydarzeń dotyczących bezpieczeństwa informacji. Jednak w ciągu drugiego miesiąca jesieni kilka popularnych zasobów Internetu stało się ofiarą ataków cyberprzestępców — zhakowane strony www były używane do dystrybucji niebezpiecznych programów udających narzędzie antywirusowe stworzone przez dobrze znanego dewelopera. Co więcej, październik był świadkiem pojawienia się nowych trojanów dla Androida i iOS — w szczególności Android.BankBot.80.origin, który był rozpowszechniany jako oficjalna aplikacja do bankowości on-line jednej z rosyjskich organizacji finansowych i IPhoneOS.Trojan.YiSpecter.2 zaprojektowany do wyświetlania reklam i ukrytego ładowania na zaatakowane urządzenia innych programów.
GŁÓWNE TRENDY PAŹDZIERNIKA
- Zhakowanie przez cyberprzestępców kilku stron w celu dystrybucji malware
- Pojawienie się nowych trojanów zaprojektowanych do przeprowadzania web-iniekcji
- Dystrybucja nowych złośliwych programów dla Androida
Zagrożenie miesiąca
W połowie października analitycy bezpieczeństwa Doctor Web zarejestrowali kilka przypadków stron www zhakowanych przez cyberprzestępców. Pośród tych zasobów znajdowała się strona poświęcona popularnym rosyjskim serialom telewizyjnym. Jeśli użytkownik otworzył link do tej strony pochodzący z wyników wyszukiwania Google i jeśli określone warunki zostały spełnione, to w oknie przeglądarki pojawiała się nowa zakładka z załadowaną stroną. Specjalny złośliwy skrypt wbudowany w tą stronę przez cyberprzestępców uniemożliwia użytkownikowi jej zamknięcie. Jeśli ofiara nacisnęła dowolny klawisz lub kliknęła w dowolnym miejscu okna, na ekranie pojawiało się denerwujące okienko dialogowe przymuszające użytkownika do zainstalowania rozszerzenia przeglądarki ponoć stworzonego przez znanego producenta oprogramowania antywirusowego.
Rozszerzenie wykrywane przez Dr.Web jako Trojan.BPLug.1041 oferuje możliwość wstrzykiwania samodzielnej zawartości w strony www przeglądane przez użytkownika. Co więcej, na wszystkich stronach złośliwy program blokuje reklamy firm trzecich pochodzące ze wszystkich domen, poza tymi, które zostały zamieszczone w pliku konfiguracyjnym. Jeśli użytkownik zaloguje się do strony www sieci społecznościowej Odnoklassniki (“Одноклассники”), Trojan.BPLug.1041 spróbuje zapewnić pewnym aplikacjom dostęp do API tej strony w imieniu użytkownika. W rezultacie, dane ofiary mogą być użyte do promocji grup, wysyłania spamu i wpływania na wyniki niektórych ankiet i głosowań. Aby dowiedzieć się więcej na temat tego złośliwego programu, zajrzyj do artykułu opublikowanego przez Doctor Web.
Zagrożenia października na podstawie statystyk zebranych przez Dr.Web CureIt!
Trojan.Siggen6.33552
Złośliwy program zaprojektowany do instalowania na zainfekowanym komputerze innego malware.Trojan.Crossrider1.42770
Trojan zaprojektowany do wyświetlania różnych reklam użytkownikom Internetu.Trojan.DownLoad3.35967
Trojan potrafiący pobierać z Internetu inne złośliwe oprogramowanie i instalować je na zainfekowanym komputerze.Trojan.LoadMoney
Rodzina trojanów typu downloader generowana przez serwery przynależne do programu partnerskiego LoadMoney. Te aplikacje pobierają i instalują w zainfekowanym systemie różne niechciane programy.
Zagrożenia października na podstawie danych z serwerów statystyk Doctor Web
Trojan.InstallCube
Rodzina programów typu downloader zaprojektowanych w celu instalowania niepożądanych i bezużytecznych aplikacji na komputerze użytkownika.Trojan.Siggen6.33552
Złośliwy program zaprojektowany do instalowania na zainfekowanym komputerze innych niebezpiecznych programów.Trojan.DownLoad3.35967
Trojan potrafiący pobierać z Internetu inne złośliwe oprogramowanie i instalować je na zainfekowanym komputerze.Trojan.LoadMoney
Rodzina trojanów typu downloader generowana przez serwery przynależne do programu partnerskiego LoadMoney. Te aplikacje pobierają i instalują w zainfekowanym systemie różne niechciane programy.
Statystyki dotyczące złośliwych programów wykrytych w październiku w ruchu poczty e-mail
Trojan.Encoder.567
Złośliwy program należący do rodziny trojanów ransomware szyfrujących pliki i żądających okupu za ich odszyfrowanie. Ten program potrafi szyfrować ważne pliki użytkownika, przykładowo należące do następujących typów: .jpg, .jpeg, .doc, .docx, .xls, xlsx, .dbf, .1cd, .psd, .dwg, .xml, .zip, .rar, .db3, .pdf, .rtf, .7z, .kwm, .arj, .xlsm, .key, .cer, .accdb, .odt, .ppt, .mdb, .dt, .gsf, .ppsx, .pptx.Trojan.PWS.Stealer
Rodzina trojanów zaprojektowanych do wykradania haseł i innych poufnych informacji zapisanych na zainfekowanym komputerze.Trojan.DownLoader15.52331
Trojan potrafiący pobierać inne złośliwe programy i instalować je na zainfekowanym komputerze.
Botnety
Analitycy bezpieczeństwa Doctor Web kontynuują monitorowanie botnetów stworzonych przez cyberprzestępców z użyciem infektora plików Win32.Rmnet.12. Średnia dzienna aktywność tych botnetów jest pokazana na następujących diagramach:
Rmnet to rodzina wirusów rozpowszechniających się bez interwencji użytkownika. Mogą one wbudowywać zawartość w załadowane strony www (co teoretycznie daje cyberprzestępcom możliwość uzyskania dostępu do informacji o kontach bankowych ofiar) jak i wykradać ciasteczka i hasła zapisane w popularnych klientach FTP i wykonywać inne polecenia wydawane przez cyberprzestępców.
Również botnet składający się z komputerów zainfekowanych wirusem Win32.Sector wciąż pozostaje aktywny. Jego średnią dzienną aktywność można zobaczyć na następującej ilustracji:
To malware potrafi wykonywać następujące działania:
- Pobierać różne pliki wykonywalne poprzez sieć P2P i uruchamiać je na zainfekowanych maszynach.
- Wstrzykiwać swój kod w działające procesy.
- Zapobiegać działaniu niektórych antywirusów i blokować dostęp do stron www ich producentów.
- Infekować pliki na dyskach lokalnych, nośnikach wymiennych (gdzie malware tworzy podczas procesu infekcji plik autorun.inf) i w folderach współdzielonych.
W październiku cyberprzestępcy kontrolujący botnet wirusa Linux.BackDoor.Gates.5 stali się znacznie mniej aktywni — w porównaniu z poprzednim miesiącem liczba zaatakowanych adresów IP zmniejszyła się o 33.29 procent i wyniosła 5051. Tak jak poprzednio, większość celów ataku zlokalizowana była w Chinach, podczas gdy drugie miejsce przypadło odpowiednio Francji i Stanom Zjednoczonym.
Ransomware szyfrujące pliki
Liczba zgłoszeń z prośbą o odszyfrowanie plików otrzymana przez służbę wsparcia technicznego Doctor Web
| wrzesień 2015 | październik 2015 | Dynamika |
|---|---|---|
| 1310 | 1471 | +12,29% |
Najbardziej popularnym programem ransomware w październiku 2015 był Trojan.Encoder.567.
Dr.Web Security Space 11.0 dla Windows
chroni przed ransomware szyfrującym pliki
Ta funkcja jest niedostępna w Antywirusie Dr.Web dla Windows
| Zapobieganie Utracie Danych | |
|---|---|
 |  |
Niebezpieczne strony www
W ciągu października 2015 do bazy Dr.Web dodano 264970 URL-i niezalecanych stron www.
| wrzesień 2015 | październik 2015 | Dynamika |
|---|---|---|
| +399227 | +264970 | -33,6% |
Spośród witryn dodanych przez analityków Doctor Web w ciągu ostatniego miesiąca do listy niezalecanych stron www znalazły się sklepy online sprzedające dziwne artykuły lub przedmioty o wątpliwej jakości i przydatności. Od czasu do czasu te strony www stają się głównymi “bohaterami” artykułów opublikowanych przez naszą firmę, bo pomysłowi oszuści chyba nigdy nie przestaną zadziwiać analityków bezpieczeństwa, wciąż pojawiając się z różnymi szokującymi pomysłami na nowe produkty. Przeczytaj o nitkach chroniących przed “złym spojrzeniem”, środkach na powiększenie ust i o innych “magicznych” towarach sprzedawanych w sklepach online w artykule opublikowanym przez Doctor Web.
Złośliwe i niepożądane programy dla urządzeń mobilnych
W październiku cyberprzestępcy kontynuowali ataki wymierzone w użytkowników urządzeń mobilnych. W szczególności, z początkiem miesiąca analitycy bezpieczeństwa wykryli nowego trojana dla iOS — co więcej, ten złośliwy program może być zainstalowany na smartfonach i tabletach z, lub nawet bez modyfikacji “jailbreak”. Oprócz tego, kolejny trojan zdołał ominąć mechanizmy ochronne Google i dostać się na Google Play. W połowie miesiąca, specjaliści Doctor Web zarejestrowali nowy przypadek firmware systemu Android zainfekowany złośliwą aplikacją i, jakiś czas później, wykryli nowego trojana bankowego zaprojektowanego do wykradania pieniędzy użytkownikom smartfonów i tabletów.
Spośród najbardziej zauważalnych wydarzeń października powiązanych ze złośliwymi programami dla urządzeń mobilnych możemy wymienić
- Wykrycie niebezpiecznych trojanów wymierzonych w urządzenia z systemem iOS
- Wykrycie kolejnego złośliwego programu w Google Play
- Nowe przypadki firmware systemu Android zainfekowanego złośliwą aplikacją
- Dystrybucję nowych trojanów bankowych dla Androida