Анализ статистики детектирований антивируса Dr.Web в январе 2024 года показал рост общего числа обнаруженных угроз на 95,66% по сравнению с декабрем 2023 года. Число уникальных угроз при этом возросло на 2,15%. Чаще всего детектировались нежелательное рекламное ПО и рекламные троянские приложения, а также вредоносные программы, которые распространяются в составе других угроз и затрудняют их обнаружение. В почтовом трафике наиболее часто выявлялись вредоносные скрипты и фишинговые документы.

Число обращений пользователей за расшифровкой файлов увеличилось на 22,84% по сравнению с предыдущим месяцем. Чаще всего жертвы троянских программ-шифровальщиков вновь сталкивались с Trojan.Encoder.26996, Trojan.Encoder.3953 и Trojan.Encoder.37369 - на их долю пришлось 17,98%, 12,72% и 3,51% зафиксированных инцидентов соответственно.

В январе специалисты компании «Доктор Веб» выявили новое семейство нежелательных рекламных модулей Adware.StrawAd в ряде программ, которые распространялись через каталог Google Play. Там же наши специалисты обнаружили множество новых троянских приложений семейства Android.FakeApp, применяемых злоумышленниками в мошеннических целях.

По данным сервиса статистики «Доктор Веб»

Наиболее распространенные угрозы января:

Adware.Downware.20091

Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.

Trojan.BPlug.3814

Детектирование вредоносного компонента браузерного расширения WinSafe. Этот компонент представляет собой сценарий JavaScript, который демонстрирует навязчивую рекламу в браузерах.

Adware.Siggen.33194

Детектирование созданного с использованием платформы Electron бесплатного браузера со встроенным рекламным компонентом. Этот браузер распространяется через различные сайты и загружается на компьютеры при попытке скачивания торрент-файлов.

Trojan.AutoIt.1224

Детектирование упакованной версии троянской программы Trojan.AutoIt.289, написанной на скриптовом языке AutoIt. Она распространяется в составе группы из нескольких вредоносных приложений - майнера, бэкдора и модуля для самостоятельного распространения. Trojan.AutoIt.289 выполняет различные вредоносные действия, затрудняющие обнаружение основной полезной нагрузки.

Adware.SweetLabs.5

Альтернативный каталог приложений и надстройка к графическому интерфейсу Windows от создателей Adware.Opencandy.

Статистика вредоносных программ в почтовом трафике

JS.Inject

Семейство вредоносных сценариев, написанных на языке JavaScript. Они встраивают вредоносный скрипт в HTML-код веб-страниц.

Exploit.CVE-2018-0798.4

Эксплойты для использования уязвимостей в ПО Microsoft Office, позволяющие выполнить произвольный код.

Trojan.Inject4.30867

Троянская программа, предназначенная для внедрения вредоносного кода в процессы других приложений.

Trojan.Siggen24.7712

Детектирование вредоносных программ с различной функциональностью.

LNK.Starter.56

Детектирование специальным образом сформированного ярлыка, который распространяется через съемные накопители и для введения пользователей в заблуждение имеет значок диска. При его открытии происходит запуск вредоносных VBS-скриптов из скрытого каталога, расположенного на том же носителе, что и сам ярлык.

Шифровальщики

В январе 2024 года число запросов на расшифровку файлов, затронутых троянскими программами-шифровальщиками, увеличилось на 22,84% по сравнению с декабрем прошлого года.

Наиболее распространенные энкодеры января:

Trojan.Encoder.26996 — 17.98%

Trojan.Encoder.3953 — 12.72%

Trojan.Encoder.37369 — 3.51%

Trojan.Encoder.35534 — 3.51%

Trojan.Encoder.30356 — 2.63%

Опасные сайты

В течение первого месяца 2024 года интернет-аналитики компании «Доктор Веб» выявили очередные мошеннические сайты финансовой тематики, предлагающие потенциальным жертвам стать инвесторами или заработать при помощи тех или иных якобы прибыльных платформ. Злоумышленники выдают подобные сайты за официальные интернет-порталы известных компаний, среди которых - кредитные организации и компании нефтегазового сектора. Для этого мошенники копируют или используют похожие логотипы, названия и цветовое оформление.

На таких сайтах посетителям часто предлагается ответить на несколько вопросов, а затем предоставить персональные данные для доступа к «сервису» - имя и фамилию, номер телефона, адрес электронной почты и т. д. Все эти конфиденциальные сведения могут поступать третьим лицам и в дальнейшем использоваться в том числе в незаконных целях.

На скриншоте ниже показан пример одного из таких мошеннических сайтов. Посетителю сообщается, что каждый житель России якобы может получать от 150 000 рублей ежемесячно. Чтобы «начать зарабатывать», от него требуется указать контактные данные.

Далее для «доступа» к инвестиционной платформе, якобы созданной в честь 100-летия СССР, пользователю предлагается пройти опрос и вновь указать персональные данные:

В конце сайт сообщает жертве о необходимости дождаться звонка «сотрудника»:

Вредоносное и нежелательное ПО для мобильных устройств

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в январе 2024 года пользователи чаще всего сталкивались с рекламными троянскими программами Android.HiddenAds, активность которых возросла 54,45%. Число атак всевозможных банковских троянов и шпионских троянских программ Android.Spy также повысилось - на 17,04% и 11,16% соответственно. При этом активность троянов-вымогателей Android.Locker наоборот снизилась - на 0,92%.

В каталоге Google Play вирусные аналитики компании «Доктор Веб» обнаружили очередные троянские приложения из семейства Android.FakeApp. Кроме того, в нем были найдены программы со встроенным нежелательным модулем Adware.StrawAd, который принадлежит новому семейству.

Наиболее заметные события, связанные с «мобильной» безопасностью в январе:

• рост активности рекламных троянских программ Android.HiddenAds,
• рост числа атак банковских троянов и шпионских троянских приложений,
• снижение числа атак вредоносных программ-вымогателей,
• появление новых вредоносных и рекламных программ в каталоге Google Play.

Более подробно о вирусной обстановке для мобильных устройств в январе читайте в нашем обзоре.