Обнаруженный "Доктор Веб" энкодер не способен расшифровывать файлы |
16 апреля 2018 года
Новый троянец-шифровальщик получил наименование Trojan.Encoder.25129. Превентивной защитой Антивируса Dr.Web этот троянец автоматически детектируется под именем DPH:Trojan.Encoder.9. После запуска он проверяет географическое расположение пользователя по IP-адресу инфицированного устройства. По задумке злоумышленников, троянец не шифрует файлы, если IP-адрес расположен в России, Беларуси или Казахстане, а также если в настройках операционной системы установлены русский язык и российские региональные параметры. Однако из-за ошибки в коде энкодер шифрует файлы вне зависимости от географической принадлежности IP-адреса.
Trojan.Encoder.25129 шифрует содержимое папок текущего пользователя, Рабочего стола Windows, а также служебных папок AppData и LocalAppData. Шифрование осуществляется с использованием алгоритмов AES-256-CBC, зашифрованным файлам присваивается расширение .tron. Не шифруются файлы размером более 30000000 байт (примерно 28.6 МБ). После завершения шифрования троянец создает файл %ProgramData%\\trig и записывает в него значение «123» (если такой файл уже существует, шифрование не выполняется). Затем энкодер отправляет запрос на сайт iplogger, адрес которого зашит в его теле. После этого вредоносная программа показывает окно с требованиями выкупа.
Размер требуемого злоумышленниками выкупа варьируется от 0,007305 до 0,04 Btc. По нажатию на кнопку HOW TO BUY BITCOIN троянец демонстрирует окно с инструкциями по покупке криптовалюты Bitcoin:
Несмотря на то, что в тексте требований злоумышленники уверяют своих жертв, что они смогут восстановить зашифрованные файлы, из-за допущенной в коде троянца ошибки это в большинстве случаев невозможно.
Пользователи Dr.Web защищены от действий этого шифровальщика, поскольку он успешно детектируется и удаляется превентивной защитой наших антивирусных продуктов. Тем не менее, специалисты компании «Доктор Веб» напоминают о необходимости своевременного резервного копирования всей важной информации.
| Настрой-ка защиту от потери данных | Видео о настройке | Что делать, если... | Бесплатная расшифровка | Рубрика «Закодировать все» |
http://feedproxy.google.com/~r/drweb/viruses/~3/-3fe1nQcDqw/
|
|
«Доктор Веб»: Android-троянец из Google Play подписывает пользователей на платные мобильные услуги |
16 апреля 2018 года
Злоумышленники распространяли Android.Click.245.origin от лица разработчика Roman Zencov и маскировали троянца под известные приложения. Среди них – еще не вышедшая на платформе Android игра Miraculous Ladybug & Cat Noir, нашумевшая в начале весны программа GetContact для звонков и работы с телефонными контактами, а также голосовой помощник Алиса, который встроен в приложения от компании «Яндекс» и как отдельное ПО пока недоступен. Одна из троянских программ входила в тридцатку наиболее популярных новинок каталога Google Play.
Специалисты «Доктор Веб» уведомили корпорацию Google об Android.Click.245.origin, после чего он был удален из каталога. В общей сложности приложения-подделки успели установить свыше 20 000 пользователей. У всех этих программ нет никаких полезных функций. Их основная задача – загрузка веб-страниц по команде злоумышленников.
После запуска Android.Click.245.origin соединяется с управляющим сервером и ожидает от него задания. В зависимости от IP-адреса подключенного к сети зараженного устройства троянец получает ссылку на определенный сайт, который необходимо загрузить. Вредоносная программа переходит по полученной ссылке и с использованием WebView отображает нужную киберпреступникам страницу. Если мобильное устройство подключено к Интернету через Wi-Fi, пользователю предлагается установить интересующее приложение, нажав на соответствующую кнопку. Например, если жертва запускала программу-подделку голосового помощника Алиса, для «скачивания» может быть подготовлен файл под названием «Alice Yandex.apk».
При попытке загрузки указанного файла у владельца мобильного устройства запрашивается номер мобильного телефона для некоей авторизации или подтверждения скачивания. После ввода номера пользователю отправляется проверочный код, который необходимо указать на сайте для завершения «загрузки». Однако никаких программ после этого жертва не получает – вместо этого она подписывается на платную услугу.
Если же зараженное устройство подключено к Интернету через мобильное соединение, загружаемый троянцем сайт выполняет несколько перенаправлений, после чего Android.Click.245.origin открывает конечный адрес в браузере Google Chrome. На загружаемой странице для скачивания некоего файла пользователю предлагается нажать на кнопку «Продолжить», после чего он перенаправляется на другой сайт, с которого якобы и происходит загрузка. После нажатия на кнопку «Начать загрузку» жертва с использованием технологии Wap-Click автоматически подписывается на одну из дорогостоящих услуг, за использование которой каждый день будет взиматься плата. При этом доступ к таким сервисам предоставляется без предварительного ввода номера телефона и кодов подтверждения из СМС.
Если троянец не получил никакого задания, он показывает на экране несколько изображений, которые загружаются из Интернета.
Подключение ненужных контент-услуг – один из самых распространенных и давно известных способов незаконного заработка злоумышленников. Однако оформление таких премиум-подписок через сервис Wap-Click представляет особую опасность, т. к. фактически происходит без какого-либо явного информирования абонентов и часто используется недобросовестными контент-провайдерами.
Чтобы избежать потери денег, владельцам смартфонов и планшетов следует внимательно относиться ко всем посещаемым веб-сайтам и не нажимать на расположенные на них подозрительные ссылки и кнопки. Кроме того, необходимо устанавливать программы только от известных и проверенных разработчиков и пользоваться антивирусом.
Для борьбы с мошенническими подписками всем российским абонентам сотовых сетей рекомендуется активировать Контентный счет. Эта услуга предоставляется бесплатно после обращения в службу поддержки или офис обслуживания мобильных операторов. Согласно поправкам в федеральный закон N 126-ФЗ «О связи», контентный счет – это отдельный счет абонента, предназначенный специально для работы с премиум-услугами. После его подключения все списания для оплаты дорогостоящих подписок от сторонних поставщиков происходят только с него.
Антивирусные продукты Dr.Web для Android успешно детектируют и удаляют все известные модификации Android.Click.245.origin, поэтому для наших пользователей этот троянец не опасен.
#Android, #Google_Play, #мобильный, #платная_подписка, #мошенничествоhttp://feedproxy.google.com/~r/drweb/viruses/~3/8f4ZCO2238M/
|
|
«Доктор Веб»: свыше 78 000 000 рублей клиентов Сбербанка находятся под угрозой |
5 апреля 2018 года
Android.BankBot.358.origin известен компании «Доктор Веб» с конца 2015 года. Вирусные аналитики установили, что новые модификации троянца Android.BankBot.358.origin предназначены для атаки на российских клиентов Сбербанка и заразили уже более 60 000 мобильных устройств. Однако, поскольку вирусописатели распространяют множество различных версий этого вредоносного приложения, число пострадавших может значительно увеличиться. Суммарный объем средств, которые злоумышленники способны украсть с банковских счетов владельцев зараженных устройств, превышает 78 000 000 рублей. Кроме того, киберпреступники могут похитить более 2 700 000 рублей со счетов мобильных телефонов.
На следующих изображениях показаны разделы панели администрирования Android.BankBot.358.origin с информацией о зараженных устройствах и статистикой по одной из обнаруженных бот-сетей:
Этот банковский троянец распространяется при помощи мошеннических СМС, которые могут рассылать как киберпреступники, так и сама вредоносная программа. Чаще всего сообщения отправляются от имени пользователей сервиса Avito.ru. В таких СМС потенциальной жертве предлагается перейти по ссылке – якобы чтобы ознакомиться с ответом на объявление. Например, популярен текст: «Добрый день, обмен интересен?». Кроме того, иногда владельцы мобильных устройств получают поддельные уведомления о кредитах, мобильных переводах и зачислениях денег на счет в банке. Ниже показаны примеры фишинговых сообщений, которые задаются в панели администрирования управляющего сервера троянца и рассылаются по команде вирусописателей:
При переходе по ссылке из такого сообщения жертва попадает на принадлежащий злоумышленникам сайт, откуда на мобильное устройство скачивается apk-файл вредоносного приложения. Для большей убедительности вирусописатели используют в Android.BankBot.358.origin значок настоящей программы Avito, поэтому вероятность успешной установки троянца после его загрузки увеличивается. Некоторые модификации банкера могут распространяться под видом других программ – например, ПО для работы с платежными системами Visa и Western Union.
При первом запуске Android.BankBot.358.origin запрашивает доступ к правам администратора устройства и делает это до тех пор, пока пользователь не согласится предоставить ему необходимые полномочия. После получения нужных привилегий троянец показывает ложное сообщение об ошибке установки и удаляет свой значок из списка программ на главном экране. Так Android.BankBot.358.origin пытается скрыть свое присутствие на смартфоне или планшете. Если же в дальнейшем пользователь пытается удалить банкера из списка администраторов, Android.BankBot.358.origin активирует функцию самозащиты и закрывает соответствующее окно системных настроек. При этом некоторые версии троянца дополнительно устанавливают собственный PIN-код разблокировки экрана.
После инфицирования устройства Android.BankBot.358.origin соединяется с управляющим сервером, сообщает ему об успешном заражении и ожидает дальнейших указаний. Главная цель троянца – похищение денег у русскоязычных клиентов Сбербанка, при этом основным вектором атаки является фишинг. Злоумышленники отправляют троянцу команду на блокирование зараженного устройства окном с мошенническим сообщением. Оно имитирует внешний вид системы дистанционного банковского обслуживания Сбербанк Онлайн и отображается для всех пользователей независимо от того, являются ли они клиентами Сбербанка или другой кредитной организации. В этом сообщении говорится о якобы поступившем денежном переводе в размере 10 000 рублей. Для получения средств владельцу смартфона или планшета предлагается указать полную информацию о банковской карте: ее номер, имя держателя, дату окончания действия, а также секретный код CVV. При этом без ввода требуемых данных мошенническое окно невозможно закрыть, и устройство остается заблокированным. В результате пользователь вынужден подтвердить «зачисление средств», после чего информация о карте передается злоумышленникам, и они могут беспрепятственно украсть все деньги с банковского счета жертвы.
Однако на момент публикации этого материала существующие модификации троянца не выполняют полную проверку сведений о банковских картах, и после ввода любых данных снимают блокировку. В результате пострадавшие от Android.BankBot.358.origin владельцы мобильных устройств могут избавиться от фишингового окна и воспользоваться антивирусом, чтобы удалить вредоносную программу. Для этого в мошенническую форму необходимо ввести произвольный номер карты, который состоит из 16 или 18 цифр, а также указать любой срок ее действия в диапазоне от 2017 до 2030 года включительно. При этом ни в коем случае нельзя вводить информацию о настоящей карте Сбербанка или другой кредитной организации, т. к. злоумышленники получат к ней полный доступ.
Тем не менее, ничто не мешает вирусописателям отдать команду на повторную блокировку смартфона или планшета после обнаружения обмана. Поэтому после того как фишинговое окно будет закрыто, необходимо как можно скорее проверить устройство антивирусом и удалить троянца с мобильного устройства: https://download.drweb.ru/android/
Если у пользователя подключена услуга Мобильный банк, Android.BankBot.358.origin с ее помощью пытается украсть деньги со счета жертвы. Вредоносная программа незаметно отправляет СМС с командами для выполнения операций в системе онлайн-банкинга. Троянец проверяет текущий баланс карты пользователя и автоматически переводит средства либо на банковский счет злоумышленников, либо на счет их мобильного телефона. Пример того, как Android.BankBot.358.origin похищает деньги через сервис дистанционного банковского обслуживания, показан на следующей иллюстрации:
Для получения дополнительного дохода некоторые версии Android.BankBot.358.origin могут заблокировать зараженное устройство сообщением с требованием оплаты штрафа за просмотр запрещенных видео. Кроме того, чтобы скрыть вредоносную активность (например, поступление подозрительных СМС), различные модификации троянца способны также блокировать экран зараженного смартфона или планшета уведомлением об установке некоего системного обновления.
Вирусописатели могут настраивать параметры окон блокировки в панели администрирования управляющего сервера. Например, задавать текст выводимых сообщений, продолжительность их отображения, а также требуемую сумму выкупа. Ниже представлены примеры соответствующих разделов панели управления:
Наряду с кражей денег и блокировкой зараженных устройств Android.BankBot.358.origin способен выполнять и другие вредоносные действия. Получая команды от злоумышленников, троянец может:
Антивирусные продукты Dr.Web для Android успешно детектируют и удаляют все известные модификации Android.BankBot.358.origin, поэтому для наших пользователей троянец опасности не представляет. Специалисты «Доктор Веб» передали информацию о троянце в Сбербанк и продолжают наблюдать за развитием ситуации.
#Android #банкер #мобильный #вымогательство #банковский_троянец
http://feedproxy.google.com/~r/drweb/viruses/~3/rwSF3giyTQQ/
|
|
«Доктор Веб»: новый троянец распространяется на сайте YouTube |
23 марта 2018 года
Вредоносная программа, получившая наименование Trojan.PWS.Stealer.23012, написана на языке Python и заражает компьютеры под управлением Microsoft Windows. Распространение троянца началось в районе 11 марта 2018 и продолжается по сегодняшний день. Злоумышленники публикуют ссылки на вредоносную программу в комментариях к видеороликам на популярном интернет-ресурсе YouTube. Многие из таких роликов посвящены использованию жульнических методов прохождения игр (так называемым «читам») с применением специальных приложений. Киберпреступники пытаются выдать троянца за такие программы и другие полезные утилиты. Ссылки ведут на серверы Яндекс.Диск. Чтобы убедить посетителя сайта нажать на ссылку, на страничках роликов публикуются комментарии, явно написанные из-под поддельных аккаунтов. При попытке перейти по такой ссылке потенциальная жертва загружает на свой компьютер самораспаковывающийся RAR-архив, который содержит троянца.
Запустившись на инфицированном компьютере, троянец собирает следующую информацию:
Также он копирует с Рабочего стола Windows файлы с расширениями ".txt", ".pdf", ".jpg", ".png", ".xls", ".doc", ".docx", ".sqlite", ".db", ".sqlite3", ".bak", ".sql", ".xml".
Все полученные данные Trojan.PWS.Stealer.23012 сохраняет в папке C:/PG148892HQ8. Затем он упаковывает их в архив spam.zip, который вместе с информацией о расположении зараженного устройства отправляется на сервер злоумышленников.
Вирусные аналитики компании «Доктор Веб» обнаружили несколько образцов этого троянца. Часть из них детектируется под именем Trojan.PWS.Stealer.23198. Все известные модификации этой вредоносной программы успешно определяются антивирусом Dr.Web, поэтому не представляют опасности для наших пользователей.
#cookies #вредоносное_ПО #снимок_экрана #троянецhttp://feedproxy.google.com/~r/drweb/viruses/~3/2r3Kb1zHACk/
|
|
«Доктор Веб»: Банкер Android.BankBot.149.origin стал грозным оружием киберпреступников |
20 марта 2018 года
На момент своего появления Android.BankBot.149.origin был банковским троянцем с типичным набором функций. Он показывал фишинговые окна, с помощью которых крал логины и пароли от учетных записей систем онлайн-банкинга различных кредитных организаций, похищал информацию о банковских картах, а также мог перехватывать входящие СМС, чтобы получить доступ к одноразовым паролям для подтверждения денежных переводов. Когда исходный код этого вредоносного приложения стал доступен всем желающим, вирусописатели начали создавать на его основе множество похожих троянцев. При этом злоумышленники активно распространяли их через каталог Google Play. Среди таких банкеров были Android.BankBot.179.origin, Android.BankBot.160.origin, Android.BankBot.163.origin, Android.BankBot.193.origin и Android.Banker.202.origin, которых вирусописатели маскировали под безобидные и полезные приложения.
Еще один троянец, при создании которого киберпреступники использовали опубликованный ранее код, был добавлен в вирусную базу Dr.Web как Android.BankBot.250.origin. Он также известен под именем Anubis. Вирусные аналитики «Доктор Веб» обнаружили первые версии этой вредоносной программы в ноябре 2017 года. Указанные модификации троянца практически полностью копировали возможности Android.BankBot.149.origin. Банкер мог выполнять следующие действия:
На иллюстрациях ниже показан пример панели управления одной из первых версий троянца Android.BankBot.250.origin:
Однако по мере выпуска обновлений Android.BankBot.250.origin его функционал постепенно расширялся. В одной из новых модификаций троянца, получившей имя Android.BankBot.325.origin, появилась возможность дистанционного доступа к зараженным устройствам. В результате банкер мог работать как утилита удаленного администрирования или RAT (Remote Administration Tool). Одной из его новых функций стал просмотр списка файлов, которые хранились в памяти зараженных смартфонов или планшетов, загрузка любого из них на управляющий сервер, а также их удаление. Кроме того, троянец мог отслеживать все, что происходило на экране, делая скриншоты и отправляя их злоумышленникам. Помимо этого по команде вирусописателей Android.BankBot.325.origin прослушивал окружение при помощи встроенного в устройство микрофона. Поэтому он мог применяться и для кибершпионажа. На следующих изображениях показан раздел панели администрирования управляющего сервера троянца, где злоумышленники могли отдать троянцу соответствующую команду:
При этом анализ банкера показал, что вирусописатели используют в названиях методов, а также в командах управления аббревиатуру «VNC», которая расшифровывается как Virtual Network Computing и относится к системе удаленного доступа к рабочему столу. Однако в троянце Android.BankBot.325.origin она никак не реализована, и злоумышленники лишь используют ее название для собственного удобства. Тем не менее, можно сделать вывод, что киберпреступники начали разрабатывать возможность удаленного управления экраном зараженных устройств и превращать банкера в более универсальное вредоносное приложение. Ниже показан фрагмент кода Android.BankBot.325.origin, где используется указанная аббревиатура:
Одна из последних модификаций Android.BankBot.325.origin, которую исследовали вирусные аналитики «Доктор Веб», получила еще больше функций. В список возможностей банкера теперь входят:
На следующих иллюстрациях продемонстрирован список команд, которые злоумышленники могут отправлять банкеру через панель администрирования:
Большинство команд, передаваемых банкеру, настраиваются в этой же панели. Например, на изображении ниже показана конфигурация параметров шифрования файлов. Вирусописатели могут задать ключ шифрования, сумму выкупа (например, в биткойнах), которую Android.BankBot.325.origin запросит у жертвы, а также свой номер кошелька для перевода:
Там же настраиваются поддельные уведомления, которые должны заставить пользователя запустить нужное киберпреступникам приложение. Сразу после старта целевой программы троянец показывает поверх ее окна фишинговую форму ввода логина, пароля и другой секретной информации и передает ее вирусописателям.
Аналогичным образом настраиваются и сами фишинговые окна вместе с дополнительными параметрами:
Android.BankBot.325.origin показывает поддельные формы авторизации при запуске свыше 160 программ, среди которых – ПО для доступа к банковским услугам, платежным системам и социальным сетям. При этом к ним добавились и популярные приложения для работы с криптовалютами. Android.BankBot.325.origin – не первый банкер, который пытается украсть логины и пароли от таких программ, однако именно в нем злоумышленники постарались сделать внешний вид фишинговых окон максимально похожим на интерфейс настоящих приложений. Примеры таких мошеннических форм авторизации показаны на следующих изображениях:
Вирусные аналитики установили, что троянец атакует пользователей из России, Украины, Турции, Англии, Германии, Франции, Индии, США, Гонконга, Венгрии, Израиля, Японии, Новой Зеландии, Кении, Польши и Румынии. Однако в любое время этот список может пополниться и другими государствами, если киберпреступники проявят к ним интерес.
Специалисты компании «Доктор Веб» ожидают, что авторы Android.BankBot.325.origin продолжат совершенствовать функционал троянца и будут добавлять в него новые возможности удаленного управления зараженными смартфонами и планшетами. Не исключено, что в троянце появятся дополнительные шпионские функции. Антивирусные продукты Dr.Web для Android успешно детектируют все известные модификации этого вредоносного приложения, поэтому для наших пользователей оно опасности не представляет.
#Android #банковский_троянец #биткойнhttp://feedproxy.google.com/~r/drweb/viruses/~3/PuRgaXtk-Vg/
|
|
«Доктор Веб»: злоумышленники подделали известные Android-приложения и могут использовать их для фишинга |
13 марта 2018 года
Выявленные программы имеют названия известных приложений, а также схожие с оригиналами значки. Специалисты «Доктор Веб» обнаружили подделки ПО Qiwi Кошелек, Сбербанк Онлайн, Одноклассники, ВКонтакте и НТВ. Ниже продемонстрировано, как интернет-мошенники обманывают потенциальных жертв. На иллюстрации слева показана страница программы-имитатора, которую можно легко найти в каталоге Google Play. Справа – страница подлинного ПО.
При каждом запуске эти приложения-подделки соединяются с управляющим сервером, который в ответ либо отправляет параметр «none», либо передает заданную злоумышленниками веб-ссылку. При получении первого параметра программы извлекают из своих ресурсов несколько изображений и показывают их пользователям. В этом и заключается весь их «полезный» функционал. Если же в ответе программам поступает ссылка на веб-страницу, они загружают и отображают ее. Открытие страницы выполняется с применением WebView непосредственно в самих приложениях, где ссылка на целевой интернет-адрес не видна. При этом содержимое показываемых страниц может быть абсолютно любым. В частности, это могут оказаться поддельные формы входа в учетную запись онлайн-банкинга или социальных сетей. В результате владельцы Android-смартфонов и планшетов рискуют стать жертвами фишинговых атак. Поскольку такой функционал представляет серьезную опасность, указанное ПО добавлено в вирусную базу Dr.Web как вредоносное и детектируется под именем Android.Click.415.
Помимо уже описанных троянцев, вирусные аналитики «Доктор Веб» выявили более 70 аналогичных программ, которые в общей сложности загрузили свыше 270 000 пользователей. Среди этих приложений – поддельные игры, сборники рецептов и пособия по вязанию, некоторые из них действительно обладают заявленными функциями. Однако, как и троянец Android.Click.415, они могут получать от управляющего сервера ссылки на любые веб-страницы, которые затем загрузят и продемонстрируют пользователям. Эти программы также были добавлены в вирусную базу Dr.Web и детектируются под именами Android.Click.416 и Android.Click.417. Кроме того, во время работы различные модификации вредоносных приложений показывают рекламу, постоянно выводя ее на экран мобильного устройства:
Троянцев распространяли как минимум 4 разработчика: Tezov apps, Aydarapps, Chmstudio и SVNGames. Специалисты «Доктор Веб» оповестили корпорацию Google обо всех найденных вредоносных приложениях, однако на момент публикации этой новости они все еще были доступны для загрузки.
Компания «Доктор Веб» напоминает, что при установке программ даже из надежных источников, таких как Google Play, необходимо обращать внимание на имя разработчика. Злоумышленники могут копировать внешний вид приложений, а также использовать похожие названия, чтобы обманом заставить потенциальных жертв установить подделки, которые легко находятся при поиске в каталогах ПО. Антивирусные продукты Dr.Web для Android детектируют и удаляют все известные модификации троянцев Android.Click.415, Android.Click.416 и Android.Click.417, поэтому те для наших пользователей опасности не представляют.
http://feedproxy.google.com/~r/drweb/viruses/~3/PXJlPCY5RkY/
|
|
«Доктор Веб»: новые троянцы-загрузчики работают скрытно |
6 марта 2018 года
Семейство вредоносных программ Trojan.LoadMoney известно еще с 2013 года, и новые его представители появляются с завидной регулярностью. Один из них получил название Trojan.LoadMoney.3209. В троянце содержится два интернет-адреса, с которых он скачивает и запускает другие вредоносные программы. На момент исследования он загружал с обоих адресов идентичный зашифрованный файл и сохранял его во временную папку со случайным именем. Затем этот файл считывался в память, удалялся, а потом снова сохранялся во временную папку, также со случайным именем. Наконец, этот исполняемый файл считывался в память и запускался из нее, а исходный файл удалялся.
Один из файлов, которые загружает Trojan.LoadMoney.3209, получил название Trojan.LoadMoney.3558. Эта вредоносная программа устроена сложнее. Trojan.LoadMoney.3558 играет роль основного инфектора системы и использует для скачивания файлов свободно распространяемую утилиту cURL. Эта утилита позволяет взаимодействовать сразу с несколькими серверами в Интернете по множеству разных протоколов. Троянец расшифровывает ее и сохраняет на диск. Для скачивания файлов на зараженный компьютер с помощью cURL Trojan.LoadMoney.3558 использует Планировщик заданий Windows. Троянец содержит четыре зашифрованных адреса интернет-ресурсов, один из них используется для работы cURL, а с трех оставшихся незаметно для пользователя загружается и запускается исполняемый файл, получивший наименование Trojan.LoadMoney.3263. После запуска исходный файл Trojan.LoadMoney.3263 удаляется.
После скачивания троянец извлекает из себя исполняемый файл, восстанавливает его заголовок и сохраняет во временной папке, а потом запускает. Указанный файл детектируется Dr.Web под именем Trojan.Siggen7.35395. Благодаря тому, что вирусописатели не реализовали в коде вредоносных программ никаких визуальных эффектов, все упомянутые выше троянцы не проявляют себя в зараженной системе, поэтому обнаружить их вредоносную деятельность непросто.
Вирусные аналитики «Доктор Веб» продолжают исследование этого семейства вредоносных программ и загружаемых ими из Интернета опасных файлов. По мере выявления новых фактов мы будем информировать о них наших читателей. Антивирусные продукты Dr.Web надежно защищают от всех известных на сегодняшний день представителей семейства Trojan.LoadMoney, поэтому те не представляют опасности для наших пользователей.
#майнинг #троянецhttp://feedproxy.google.com/~r/drweb/viruses/~3/uJfWZXofW7E/
|
|
«Доктор Веб» выявил в Google Play троянца, атакующего клиентов российских банков |
5 марта 2018 года
Вредоносная программа, получившая имя Android.BankBot.344.origin, скрывается в приложении под названием «ВСЕБАНКИ – Все банки в одном месте». Вирусописатели опубликовали ее совсем недавно, 25 февраля, и троянца успели скачать не более 500 владельцев мобильных устройств. При этом, чтобы сделать банкера более привлекательным для потенциальных жертв, его авторы не поленились оставить поддельные отзывы от имени «счастливых пользователей». Специалисты «Доктор Веб» передали информацию о троянце в корпорацию Google, которая оперативно удалила его из каталога Google Play.
Android.BankBot.344.origin является модификацией вредоносной программы Android.BankBot.336.origin, которая была обнаружена в феврале и также распространялась через Google Play. В отличие от старой версии, атаковавшей украинских пользователей, обновленный троянец нацелен на клиентов российских банков. Как и в случае с предыдущей модификацией, киберпреступники выдавали Android.BankBot.344.origin за приложение, которое якобы предоставляло онлайн-доступ к финансовым услугам сразу нескольких кредитных организаций. Но в действительности оно не имело заявленного функционала.
Троянец предлагал пользователям либо войти в уже существующую учетную запись мобильного банкинга, используя имеющиеся логин и пароль, либо зарегистрироваться, введя информацию о банковской карте. Однако после того как жертвы указывали секретные данные, он передавал их вирусописателям, в результате чего те могли украсть деньги обманутых владельцев мобильных устройств. Как и предыдущая версия троянца, Android.BankBot.344.origin мог перехватывать входящие СМС.
Компания «Доктор Веб» напоминает, что для работы с системами онлайн-банкинга необходимо устанавливать только официальные приложения кредитных организаций. Антивирусные продукты Dr.Web для Android детектируют и удаляют все известные модификации троянца Android.BankBot.344.origin, поэтому для наших пользователей он опасности не представляет.
#Android #Google_Play #банковский_троянецhttp://feedproxy.google.com/~r/drweb/viruses/~3/9qg1WeB1Hcc/
|
|
«Доктор Веб»: более 40 моделей Android-смартфонов заражены на этапе производства |
1 марта 2018 года
Android.Triada.231 – представитель опасного семейства троянцев Android.Triada. Они заражают процесс важного системного компонента ОС Android под названием Zygote, который участвует в запуске всех программ. После внедрения в этот модуль троянцы проникают в процессы остальных работающих приложений и получают возможность выполнять различные вредоносные действия без участия пользователя. Например, незаметно скачивать и запускать ПО. Особенность Android.Triada.231 заключается в том, что вирусописатели встраивают этого троянца в системную библиотеку libandroid_runtime.so на уровне исходного кода, а не распространяют его как отдельную программу. В результате действий злоумышленников вредоносное приложение поселяется непосредственно в прошивке инфицированных мобильных устройств уже на этапе производства, и пользователи становятся обладателями зараженных смартфонов «из коробки».
Сразу после обнаружения Android.Triada.231 летом прошлого года компания «Доктор Веб» сообщила о нем производителям зараженных устройств. Однако, несмотря на своевременное предупреждение, вредоносная программа по-прежнему попадает на новые модели смартфонов. Например, она была найдена на смартфоне Leagoo M9, который был анонсирован в декабре 2017 года. При этом исследование показало, что добавление троянца в прошивку произошло по просьбе партнера Leagoo, компании-разработчика из Шанхая. Эта организация предоставила одно из своих приложений для включения в образ операционной системы мобильных устройств, а также дала инструкцию по внесению стороннего кода в системные библиотеки перед их сборкой (компиляцией). К сожалению, такая сомнительная просьба не вызвала у производителя никаких подозрений, и Android.Triada.231 беспрепятственно попал на смартфоны.
Анализ приложения, которое компания-партнер предложила внести в прошивку Leagoo M9, показал, что оно подписано тем же сертификатом, что и троянец Android.MulDrop.924, о котором «Доктор Веб» рассказывал еще в 2016 году. Можно предположить, что разработчик, попросивший внести дополнительную программу в образ операционной системы, может быть прямо или косвенно причастен к распространению Android.Triada.231.
К настоящему времени вирусные аналитики выявили Android.Triada.231 в прошивке более 40 моделей Android-устройств:
Этот список – не окончательный, перечень инфицированных моделей смартфонов может оказаться гораздо шире.
Такое широкое распространение Android.Triada.231 говорит о том, что многие производители Android-устройств уделяют слишком мало внимания вопросам безопасности, и внедрение троянского кода в системные компоненты из-за ошибок или злого умысла может быть весьма распространенной практикой.
Продукты Dr.Web для Android обнаруживают все известные модификации Android.Triada.231, поэтому, чтобы выяснить, заражено ли мобильное устройство, необходимо выполнить его полную проверку. Dr.Web Security Space для Android при наличии root-полномочий способен обезвредить Android.Triada.231, вылечив зараженный системный компонент. Если же на инфицированном устройстве root-привилегии недоступны, избавиться от вредоносной программы поможет установка чистого образа операционной системы, которую должен предоставить производитель смартфона.
http://feedproxy.google.com/~r/drweb/viruses/~3/BQICKnO3DPs/
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в феврале 2018 года |
28 февраля 2018 года
В феврале 2018 года был обнаружен троянец-майнер, который мог удаленно заражать различные Android-устройства с активным режимом отладки. Кроме того, в уходящем месяце пользователям угрожал троянец Android.BankBot.336.origin, кравший конфиденциальную информацию и похищавший деньги с банковских счетов.
В феврале получил распространение троянец Android.CoinMine.15, которого вирусописатели использовали для добычи криптовалюты Monero. Эта вредоносная программа представляла собой червя и могла самостоятельно заражать подключенные к сети смартфоны, планшеты, телевизоры, роутеры и другие Android-устройства, если на них был включен режим отладки Android Device Bridge (ADB). В случае успешного инфицирования очередного устройства один из компонентов троянца пытался обнаружить следующую доступную цель и устанавливал на нее копию Android.CoinMine.15.
В уходящем месяце в каталоге Google Play был обнаружен троянец Android.BankBot.336.origin, которого вирусописатели распространяли под видом универсального приложения для работы с различными системами онлайн-банкинга. Вредоносная программа похищала логины и пароли от учетных записей пользователей, а также информацию о банковских картах, после чего могла незаметно переводить злоумышленникам деньги.
Вирусописатели продолжают совершенствовать вредоносные программы для ОС Android и распространяют их с применением как привычных, так и новых механизмов. При этом различные троянцы по-прежнему встречаются в каталоге Google Play. Для защиты смартфонов, планшетов и других устройств от этих угроз пользователям следует установить антивирусные продукты Dr.Web для Android.
http://feedproxy.google.com/~r/drweb/viruses/~3/tMWgCEME6-8/
|
|
Около 8% умных телевизоров и устройств на Android уязвимы для нового майнера: «Доктор Веб» рассказывает, как защититься |
8 февраля 2018 года
Этот Android-троянец, предназначенный для добычи криптовалюты Monero, способен инфицировать другие устройства без участия пользователя. Вредоносная программа Android.CoinMine.15 заражает Android-устройства с открытым портом 5555, который используется интерфейсом отладчика Android Debug Bridge (ADB). Инфицированными могут оказаться не только «умные» телевизоры, но также смартфоны, планшеты, телевизионные приставки, роутеры, медиаплееры и ресиверы – то есть устройства, использующие отладку по сети. Еще одним потенциально уязвимым устройством является одноплатный компьютер Raspberry Pi 3 с установленной ОС Android.
Распространение троянца происходит следующим образом. С другого зараженного устройства на атакуемый узел устанавливается приложение droidbot.apk, а также файлы с именами nohup, sss и bot.dat. Затем файл sss запускается с помощью утилиты nohup и в процессе работы становится демоном. После этого он извлекает из bot.dat другие компоненты троянца, в том числе конфигурационный файл в формате JSON, приложения-майнеры (для 32- и 64-разрядной версии ОС) и экземпляр троянской программы droidbot. После запуска droidbot в непрерывном цикле случайным образом генерирует IP-адрес и пытается подключиться к порту 5555. В случае успеха троянец предпринимает попытку заразить обнаруженное устройство с использованием интерфейса отладчика ADB. В отдельном потоке Android.CoinMine.15 запускает приложение-майнер, предназначенное для добычи криптовалюты Monero (XMR). Заражение подобными вредоносными программами может привести к заметному снижению быстродействия устройства, его нагреву, а также быстрому расходованию ресурса аккумулятора.
В ОС Android отладчик ADB по умолчанию отключен, однако некоторые производители все же оставляют его включенным. Кроме того, ADB по каким-либо причинам может быть включен самим пользователем — чаще всего режим отладки необходим разработчикам программ. Согласно статистике, собранной Dr.Web для Android, отладчик Android Debug Bridge включен на 8% устройств, защищенных нашим антивирусом. Поскольку такая настройка может представлять потенциальную угрозу, специальный компонент Dr.Web – Аудитор безопасности – предупреждает пользователя о включенном отладчике и предлагает отключить его.
Специалисты компании «Доктор Веб» рекомендуют всем владельцам Android-устройств выполнить проверку операционной системы на предмет потенциально опасных настроек. Для этого на нашем сайте или в официальном каталоге Google Play можно приобрести Dr.Web Security Space для Android, в состав которого входит Аудитор безопасности. Если на вашем устройстве включена, но не используется отладка по USB, лучше эту функцию отключить. Троянец-майнер Android.CoinMine.15 детектируется и удаляется антивирусными программами Dr.Web для Android, поэтому не представляет угрозы для наших пользователей.
#Android #майнинг #криптовалюты
http://feedproxy.google.com/~r/drweb/viruses/~3/Mxd0AFb8-ZM/
|
|
«Доктор Веб» предупреждает о распространении нового троянца-шифровальщика |
5 февраля 2018 года
Троянец, названный создателями «GandCrab!», был добавлен в вирусные базы Dr.Web под именем Trojan.Encoder.24384. Он присваивает зашифрованным файлам расширение *.GDCB. В настоящее время известно две версии этого энкодера.
Запустившись на атакуемом устройстве, работающем под управлением Microsoft Windows, Trojan.Encoder.24384 может собирать информацию о наличии запущенных процессов антивирусов. Затем, выполнив проверку с целью предотвращения повторного запуска, он принудительно завершает процессы программ по заданному вирусописателями списку. Установив свою копию на диск, для обеспечения своего автоматического запуска энкодер модифицирует ветвь системного реестра Windows.
Троянец шифрует содержимое фиксированных, съемных и сетевых дисков, за исключением ряда папок, среди которых имеются служебные и системные. Каждый диск шифруется в отдельном потоке. После окончания шифрования троянец отправляет на сервер данные о количестве зашифрованных файлов и времени, потраченном на шифрование.
Троянец использует управляющий сервер, доменное имя которого не разрешается стандартными способами. Для получения IP-адреса этого сервера шифровальщик выполняет команду nslookup и ищет нужную информацию в ее выводе.
В настоящее время расшифровка файлов, зашифрованных троянцем Trojan.Encoder.24384, невозможна. Компания «Доктор Веб» снова напоминает пользователям, что наиболее надежным способом уберечь свои файлы является своевременное резервное копирование всех важных данных, при этом для хранения резервных копий желательно использовать внешние носители информации.
| Подробнее о шифровальщиках | Что делать, если... | Видео о настройке | Бесплатная расшифровка | Рубрика «Закодировать все» |
http://feedproxy.google.com/~r/drweb/viruses/~3/qJkwCUHYSpo/
|
|
«Доктор Веб»: обзор вирусной активности для мобильных устройств в январе 2018 года |
31 января 2018 года
В январе 2018 года вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play около трех десятков игр, в которые был встроен троянец. Он незаметно скачивал и запускал вредоносные модули, способные выполнять различные действия. Кроме того, в уходящем месяце владельцам смартфонов и планшетов угрожал очередной Android-банкер, предназначенный для кражи конфиденциальной информации и денег. Также в январе в вирусную базу Dr.Web были добавлены записи для детектирования нескольких троянцев-шпионов. Среди распространявшихся вредоносных программ оказался и новый троянец-майнер, который использовал мощности зараженных мобильных устройств для добычи криптовалюты Monero.
В январе специалисты компании «Доктор Веб» обнаружили в каталоге Google Play почти 30 игр, в которые был встроен троянец Android.RemoteCode.127.origin. Он входил в состав специализированной программной платформы для расширения функционала приложений. Android.RemoteCode.127.origin незаметно скачивал и запускал вспомогательные модули, которые могли выполнять самые разнообразные действия. Например, скрытно открывать веб-сайты и нажимать на расположенные на них рекламные ссылки и объявления, имитируя действия пользователей. Подробнее об этом троянце рассказано в нашем новостном материале.
В уходящем месяце злоумышленники распространяли банковского троянца Android.BankBot.250.origin, который показывал поддельные окна ввода логина и пароля и передавал киберпреступникам вводимую конфиденциальную информацию. Он мог перехватывать СМС с проверочными кодами и незаметно подтверждал перевод денег на счета вирусописателей, а также другие операции в системах онлайн-банкинга.
В январе в вирусную базу Dr.Web были добавлены новые записи для детектирования нескольких троянцев-шпионов. Одним из них был Android.Spy.422.origin, известный также под именем Dark Caracal. Злоумышленники использовали эту вредоносную программу для кибершпионажа. Android.Spy.422.origin похищал СМС-сообщения, отслеживал телефонные звонки, крал фотографии, историю веб-браузера и сохраненные в нем закладки, записывал окружение при помощи встроенного микрофона зараженного мобильного устройства и выполнял ряд прочих действий. Другие троянцы-шпионы представляли собой новые модификации вредоносной программы Android.Spy.410.origin, известной специалистам «Доктор Веб» с декабря 2017 года. Она отслеживает переписку в популярных программах, таких как Telegram, WhatsApp, Skype и других, перехватывает СМС-сообщения и телефонные звонки, а также похищает фотографии.
Среди выявленных в январе вредоносных программ для ОС Android оказался и троянец-майнер, получивший имя Android.CoinMine.8. Киберпреступники распространяли его под видом игр и программ, доступных для бесплатного скачивания на одном из веб-сайтов. В действительности все эти приложения были троянцем, который использовал зараженные устройства для майнинга криптовалюты Monero.
Злоумышленники по-прежнему создают новые вредоносные и нежелательные приложения для ОС Android и распространяют их не только через мошеннические веб-сайты, но и каталог Google Play. Для защиты мобильных устройств от таких угроз рекомендуем установить антивирусные продукты Dr.Web для Android.
http://feedproxy.google.com/~r/drweb/viruses/~3/p9XkE8OmviA/
|
|
«Доктор Веб»: обзор вирусной активности в январе 2018 года |
31 января 2018 года
Начало 2018 года ознаменовалось обнаружением в каталоге Google Play нескольких игр для ОС Android со встроенным троянцем, скачивавшим и запускавшим на инфицированных устройствах вредоносные модули. Также вирусные аналитики исследовали несколько троянцев-майнеров, заражавших серверы под управлением Windows. Все они использовали уязвимость в программном обеспечении Cleverence Mobile SMARTS Server.
Cleverence Mobile SMARTS Server — это комплекс приложений для автоматизации магазинов, складов, различных учреждений и производств. Уязвимость нулевого дня в этих программах аналитики «Доктор Веб» обнаружили еще в июле 2017 года и сообщили о ней разработчикам ПО. Вскоре те выпустили обновление безопасности для своего программного продукта. Однако далеко не все администраторы установили это обновление, что позволило злоумышленникам продолжить взломы уязвимых серверов. Для этого киберпреступники отправляют на уязвимый сервер специальный запрос, в результате чего происходит выполнение содержащейся в нем команды. Затем взломщики создают в системе нового пользователя с административными привилегиями и получают от его имени несанкционированный доступ к серверу по протоколу RDP. В некоторых случаях с помощью утилиты Process Hacker киберпреступники завершают процессы работающих на сервере антивирусов. Получив доступ к системе, они устанавливают в ней троянца-майнера.
Используемый взломщиками майнер непрерывно совершенствуется. Изначально они устанавливали несколько модификаций троянца, добавленных в вирусную базу Dr.Web под именами Trojan.BtcMine.1324, Trojan.BtcMine.1369 и Trojan.BtcMine.1404. Позже этот список пополнили Trojan.BtcMine.2024, Trojan.BtcMine.2025, Trojan.BtcMine.2033, а самой актуальной версией майнера на текущий момент является Trojan.BtcMine.1978.
Этот троянец запускается в качестве критически важного системного процесса, при попытке завершить который Windows аварийно прекращает работу и демонстрирует «синий экран смерти» (BSOD). После старта майнер пытается остановить процессы и удались службы нескольких антивирусов. Киберпреступники используют Trojan.BtcMine.1978 для добычи криптовалют Monero (XMR) и Aeon. Специалисты компании «Доктор Веб» рекомендуют установить все выпущенные разработчиками обновления безопасности Cleverence Mobile SMARTS Server, а более подробную информацию об этом инциденте можно найти в опубликованной на нашем сайте обзорной статье.
В январе в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:
В течение января 2018 года в базу нерекомендуемых и вредоносных сайтов было добавлено 309 933 интернет-адреса.
| декабрь 2017 | январь 2018 | Динамика |
|---|---|---|
| + 241 274 | + 309 933 | +28.4% |
В январе вирусные аналитики компании «Доктор Веб» обнаружили троянца Android.RemoteCode.127.origin, встроенного во множество доступных в каталоге Google Play Android-игр. Он незаметно загружал и запускал вредоносные модули, которые могли выполнять разнообразные действия. Помимо этого, в уходящем месяце пользователям угрожал банковский троянец Android.BankBot.250.origin, который крал логины и пароли для доступа к учетным записям онлайн-банкинга. Кроме того, в январе специалисты по информационной безопасности выявили вредоносную программу-майнер, получившую имя Android.CoinMine.8. Этот троянец использовал мощности зараженных смартфонов и планшетов для добычи криптовалюты Monero. В этом же месяце в вирусную базу Dr.Web было добавлено несколько записей для детектирования Android-шпионов, которых злоумышленники использовали для слежки. Одним из них был Android.Spy.422.origin. Другие вредоносные приложения являлись новыми модификациями троянца Android.Spy.410.origin, распространявшегося еще в декабре 2017 года.
Наиболее заметные события, связанные с «мобильной» безопасностью в январе:
Более подробно о вирусной обстановке для мобильных устройств в январе читайте в нашем обзоре.
http://feedproxy.google.com/~r/drweb/viruses/~3/sO-Dg7lAtt8/
|
|
Уязвимость в Cleverence Mobile SMARTS Server используется для добычи криптовалют |
24 января 2018 года
Приложения семейства Cleverence Mobile SMARTS Server созданы для автоматизации магазинов, складов, различных учреждений и производств. Они предназначены для работы на ПК под управлением Microsoft Windows. В конце июля прошлого года специалисты компании «Доктор Веб» обнаружили критическую уязвимость в одном из компонентов Cleverence Mobile SMARTS Server, с использованием которой злоумышленники получают несанкционированный доступ к серверам и устанавливают на них троянцев семейства Trojan.BtcMine, предназначенных для добычи (майнинга) криптовалют. Об этой уязвимости мы незамедлительно сообщили разработчикам программного комплекса.
Изначально киберпреступники использовали несколько версий майнера, детектируемых антивирусом Dr.Web как Trojan.BtcMine.1324, Trojan.BtcMine.1369 и Trojan.BtcMine.1404. На сервер, на котором работает ПО Cleverence Mobile SMARTS Server, злоумышленники отправляют специальным образом сформированный запрос, в результате чего происходит выполнение команды, содержащейся в этом запросе. Взломщики используют команду для создания в системе нового пользователя с административными привилегиями и получают от его имени несанкционированный доступ к серверу по протоколу RDP. В некоторых случаях с помощью утилиты Process Hacker киберпреступники завершают процессы работающих на сервере антивирусов. Получив доступ к системе, они устанавливают в ней троянца-майнера.
Этот троянец представляет собой динамическую библиотеку, которую киберпреступники сохраняют во временную папку и затем запускают. Вредоносная программа заменяет собой одну из легитимных системных служб Windows, выбирая «жертву» по ряду параметров, при этом файл оригинальной службы удаляется. Затем вредоносная служба получает ряд системных привилегий и устанавливает для своего процесса флаг критического. После этого троянец сохраняет на диск необходимые для своей работы файлы и приступает к майнингу криптовалюты, используя аппаратные ресурсы инфицированного сервера.
Несмотря на то, что разработчики Cleverence Mobile SMARTS Server своевременно выпустили обновление, закрывающее уязвимость в программном комплексе, многие администраторы серверов не торопятся с его установкой, чем и пользуются злоумышленники. Киберпреступники продолжают устанавливать на взломанные ими серверы троянцев-майнеров, постоянно модифицируя их версии. Со второй половины ноября 2017 года злоумышленники начали использовать принципиально нового троянца, которого они совершенствуют и по сей день. Эта вредоносная программа получила название Trojan.BtcMine.1978, она предназначена для добычи криптовалют Monero (XMR) и Aeon.
Майнер запускается в качестве критически важного системного процесса с отображаемым именем «Plug-and-Play Service», при попытке завершить который Windows аварийно прекращает работу и демонстрирует «синий экран смерти» (BSOD). После запуска Trojan.BtcMine.1978 пытается удалить службы антивирусов Dr.Web, Windows Live OneCare, «Антивируса Касперского», ESET Nod32, Emsisoft Anti-Malware, Avira, 360 Total Security и Windows Defender. Затем майнер ищет запущенные на атакуемом компьютере процессы антивирусных программ. В случае успеха он расшифровывает, сохраняет на диск и запускает драйвер, с помощью которого пытается завершить эти процессы. Антивирус Dr.Web успешно обнаруживает и блокирует драйвер Process Hacker, который использует Trojan.BtcMine.1978, — этот драйвер был добавлен в вирусные базы Dr.Web как хакерская утилита (hacktool).
Получив из собственной конфигурации список портов, Trojan.BtcMine.1978 ищет в сетевом окружении роутер. Затем с помощью протокола UPnP он перенаправляет TCP-порт роутера на порты из полученного списка и подключается к ним в ожидании соединений по протоколу HTTP. Необходимые для своей работы настройки вредоносная программа хранит в системном реестре Windows.
В теле майнера содержится список IP-адресов управляющих серверов, которые он проверяет с целью обнаружить активный. Затем троянец настраивает на зараженной машине прокси-серверы, которые будут использоваться для добычи криптовалют. Также Trojan.BtcMine.1978 по команде злоумышленников запускает оболочку PowerShell и перенаправляет ее ввод-вывод на подключающегося к скомпрометированному узлу удаленного пользователя. Это позволяет злоумышленникам выполнять на зараженном сервере различные команды.
Выполнив эти действия, троянец встраивает во все запущенные процессы модуль, предназначенный для добычи криптовалют. Первый процесс, в котором этот модуль начинает работу, и будет использоваться для майнинга Monero (XMR) и Aeon.
Несмотря на то, что Trojan.BtcMine.1978 обладает механизмом, позволяющим принудительно завершать процессы антивирусных программ, наши пользователи могут чувствовать себя в безопасности, поскольку самозащита Антивируса Dr.Web не дает троянцу нарушить работу критически важных компонентов. Администраторам серверов, использующих Cleverence Mobile SMARTS Server, специалисты компании «Доктор Веб» рекомендуют установить все выпущенные разработчиками обновления безопасности.
| Подробнее о троянце |
http://feedproxy.google.com/~r/drweb/viruses/~3/JHeVuDyralY/
|
|
«Доктор Веб» обнаружил в Google Play зараженные игры, скачанные более 4 500 000 раз |
|
|
«Доктор Веб»: обзор вирусной активности за 2017 год |
29 декабря 2017 года
С точки зрения информационной безопасности уходящий 2017 год запомнится, безусловно, такими яркими событиями как глобальные атаки червей-шифровальщиков WannaCry, NePetya и BadRabbit, а также появлением значительного числа Linux-троянцев для так называемого «Интернета Вещей». Кроме того, этот год был отмечен распространением на многочисленных веб-сайтах вредоносных сценариев, предназначенных для майнинга (добычи) криптовалюты.
Весной 2017 года вирусные аналитики компании «Доктор Веб» исследовали новый бэкдор для операционной системы macOS — это была одна из немногих вредоносных программ для ОС компании Apple, добавленных в вирусные базы в этом году. Также в течение прошедших 12 месяцев появлялись новые банковские троянцы, предназначенные для хищения средств со счетов клиентов кредитных организаций: одну из таких вредоносных программ, Trojan.PWS.Sphinx.2, вирусные аналитики «Доктор Веб» исследовали в феврале, другую — Trojan.Gozi.64 — в ноябре 2017 года.
Высокую активность в уходящем году проявляли сетевые мошенники: компания «Доктор Веб» неоднократно сообщала о раскрытии новых схем обмана интернет-пользователей. В прошедшем марте сетевые жулики попытались выманить деньги у владельцев и администраторов различных интернет-ресурсов, для чего создали порядка 500 мошеннических веб-страниц. В своих спам-рассылках киберпреступники пытались выдать себя за сотрудников компаний «Яндекс» и «RU-Center», а также придумали мошенническую схему, в которой для получения несуществующей выплаты от потенциальной жертвы требовали указать Страховой номер индивидуального лицевого счета в системе пенсионного страхования (СНИЛС). Кроме того, в июле оказался скомпрометированным портал государственных услуг Российской Федерации (gosuslugi.ru), на страницы которого неизвестные внедрили потенциально опасный код. Эта уязвимость вскоре была устранена администрацией портала.
Неспокойным выдался 2017 год и для владельцев мобильных устройств, работающих под управлением ОС Google Android. Летом вирусные аналитики «Доктор Веб» исследовали многофункционального банковского Android-троянца, получавшего контроль над устройством и кравшего конфиденциальную информацию клиентов кредитно-финансовых организаций. Вскоре в каталоге Google Play была выявлена игра со встроенным троянцем-загрузчиком, которую скачали более миллиона пользователей. В течение года специалисты «Доктор Веб» обнаруживали Android-троянцев, предустановленных в заводские прошивки мобильных устройств, а также множество других вредоносных и потенциально опасных программ для этой платформы.
Троянцы-энкодеры, шифрующие файлы и требующие выкуп за их восстановление, обычно распространялись либо под видом тех или иных «полезных» утилит, либо с использованием вредоносных рассылок. При этом чаще всего злоумышленники вкладывали в письма не сам шифровальщик, а небольшого троянца-загрузчика, который при попытке открыть вложение скачивал и запускал энкодер. В то же время черви, способные самостоятельно распространяться по сети, ранее не использовались для шифрования файлов, а имели совсем другие вредоносные функции — одного из представителей этого класса вредоносных программ специалисты «Доктор Веб» исследовали в начале минувшего года. Первым шифровальщиком, сочетающим в себе возможности энкодера и сетевого червя, стал Trojan.Encoder.11432, получивший известность под именем WannaCry.
Массовое распространение этой вредоносной программы началось в 10 утра 12 мая 2017 года. Чтобы заразить другие компьютеры, червь использовал уязвимость в протоколе SMB (MS17-10), при этом опасности подвергались как узлы локальной сети, так и компьютеры в Интернете со случайными IP-адресами. Червь состоял из нескольких компонентов, и шифровальщик являлся только одним из них.
Trojan.Encoder.11432 шифровал файлы с использованием случайного ключа, при этом в составе троянца имелся специальный модуль-декодер, позволявший расшифровать несколько файлов бесплатно в демонстрационном режиме. Примечательно, что эти выбранные случайным образом файлы шифровались при помощи совершенно другого ключа, поэтому их восстановление не гарантировало успешной расшифровки остальных данных. Подробное исследование этого энкодера было опубликовано на нашем сайте в мае 2017 года.
Вскоре разразилась еще одна эпидемия червя-шифровальщика, которого различные источники называли NePetya, Petya.A, ExPetya и WannaCry-2 (подобные наименования он получил благодаря мнимой схожести с ранее распространявшимся троянцем Petya — Trojan.Ransom.369). В вирусные базы Dr.Web NePetya был добавлен под именем Trojan.Encoder.12544.
Как и его предшественник WannaCry, червь-шифровальщик Trojan.Encoder.12544 использовал для своего распространения уязвимость в протоколе SMB, однако в этом случае достаточно быстро удалось установить первоначальный источник распространения червя. Им оказался модуль обновления программы M.E.Doc, предназначенной для ведения налоговой отчетности на территории Украины. Именно поэтому украинские пользователи и организации стали первыми жертвами Trojan.Encoder.12544. Специалисты «Доктор Веб» подробно исследовали программу M.E.Doc и установили, что один из ее компонентов содержит полноценный бэкдор, который способен собирать логины и пароли для доступа к почтовым серверам, загружать и запускать на компьютере любые приложения, выполнять в системе произвольные команды, а также передавать файлы с компьютера на удаленный сервер. Этим бэкдором и воспользовался NePetya, а до него — как минимум еще один троянец-шифровальщик.
Исследование Trojan.Encoder.12544 показало, что этот энкодер изначально не предполагал возможности расшифровки поврежденных файлов. Вместе с тем он обладал достаточно богатым арсеналом вредоносных функций. Для перехвата учетных данных пользователей Windows он использовал утилиты Mimikatz и при помощи этой информации (а также несколькими другими способами) распространялся по локальной сети. Чтобы инфицировать компьютеры, к которым ему удалось получить доступ, Trojan.Encoder.12544 задействовал программу для управления удаленным компьютером PsExec или стандартную консольную утилиту для вызова объектов Wmic.exe. Кроме того, шифровальщик портил загрузочную запись диска С: (Volume Boot Record, VBR) и подменял оригинальную загрузочную запись Windows (MBR) собственной, при этом исходная MBR шифровалась и переносилась в другой сектор диска.
В июне компания «Доктор Веб» опубликовала подробное исследование червя-шифровальщика Trojan.Encoder.12544.
В октябре было зафиксировано распространение еще одного червя-энкодера, получившего наименование Trojan.BadRabbit. Известные образцы троянца распространялись в виде программы со значком установщика Adobe Flash. Архитектурно BadRabbit был похож на своих предшественников: он так же состоял из нескольких компонентов: дроппера, энкодера и сетевого червя, тоже содержал встроенный расшифровщик, более того, часть его кода была явно позаимствована у Trojan.Encoder.12544. Однако этот шифровальщик отличался одной примечательной чертой: при запуске он проверял наличие на атакуемом компьютере двух антивирусов — Dr.Web и McAfee — и в случае их обнаружения пропускал первый этап шифрования, видимо, с целью избежать преждевременного обнаружения.
С более подробной информацией об этой вредоносной программе можно ознакомиться в опубликованной компанией «Доктор Веб» обзорной статье.
Согласно сведениям, полученным с использованием серверов статистики «Доктор Веб», в 2017 году на компьютерах пользователей чаще всего выявлялись сценарии и вредоносные программы, предназначенные для загрузки из Интернета других троянцев, а также для установки опасных и нежелательных приложений. По сравнению с прошлым годом из этой статистики практически исчезли рекламные троянцы.
Схожая картина наблюдается и в анализе почтового трафика, однако здесь помимо загрузчиков встречаются также троянцы, предназначенные для хищения паролей и другой конфиденциальной информации.
2017 год можно смело назвать годом червей-энкодеров: именно в уходящем году шифровальщики научились массово распространяться по сети без участия пользователей, став причиной нескольких эпидемий. За прошедшие 12 месяцев в службу технической поддержки компании «Доктор Веб» обратились в общей сложности порядка 18 500 пользователей, пострадавших от действий шифровальщиков. Начиная с мая количество запросов постепенно снижалось, уменьшившись к концу года по сравнению с его началом более чем вдвое.
Согласно статистике, чаще всего в 2017 году на компьютеры проникал троянец Trojan.Encoder.858, второе место занимает Trojan.Encoder.3953, третьим по «популярности» является энкодер Trojan.Encoder.567.
Наиболее распространенные шифровальщики в 2017 году:
Как и в прошлом году, в течение прошедших 12 месяцев было выявлено довольно много троянцев для ОС семейства Linux, при этом вирусописатели создавали версии опасных приложений для таких аппаратных архитектур как х86, ARM, MIPS, MIPSEL, PowerPC, Superh, Motorola 68000, SPARC — то есть, для очень широкого диапазона «умных» устройств. Среди них — всевозможные роутеры, телевизионные приставки, сетевые накопители и т.д. Объясняется такой интерес тем, что многие пользователи подобной аппаратуры не задумываются над необходимостью смены установленных по умолчанию учетных данных администратора системы, что заметно упрощает задачу злоумышленникам.
Уже в январе 2017 года вирусные аналитики «Доктор Веб» обнаружили несколько тысяч инфицированных устройств, зараженных троянцем Linux.Proxy.10. Эта вредоносная программа предназначена для запуска на зараженном устройстве SOCKS5-прокси-сервера, с использованием которого злоумышленники могут обеспечить себе анонимность в Интернете. Месяц спустя был выявлен Trojan.Mirai.1 — Windows-троянец, способный заражать устройства под управлением Linux.
В мае специалисты «Доктор Веб» исследовали новую модификацию сложного многокомпонентного троянца для ОС Linux, принадлежащего к семейству Linux.LuaBot. Эта вредоносная программа представляет собой набор из 31 Lua-сценария и двух дополнительных модулей, каждый из которых выполняет собственную функцию. Троянец способен заражать устройства с архитектурами Intel x86 (и Intel x86_64), MIPS, MIPSEL, Power PC, ARM, SPARC, SH4, M68k – иными словами, не только компьютеры, но и широчайший ассортимент роутеров, телевизионных приставок, сетевых хранилищ, IP-камер и других «умных» устройств.
В июле вирусные базы Dr.Web пополнились записью для троянца Linux.MulDrop.14, который устанавливал на инфицированном устройстве приложение для добычи криптовалют. Тогда же вирусные аналитики исследовали вредоносную программу Linux.ProxyM, запускающего на зараженном устройстве прокси-сервер. Атаки с применением этого троянца фиксировались начиная с февраля 2017 года, но пика достигли во второй половине мая. Больше всего источников атак располагалось в России, на втором и третьем месте – Китай и Тайвань.
Вскоре злоумышленники начали использовать Linux.ProxyM для рассылки спама и фишинговых писем, в частности от имени сервиса DocuSign, предназначенного для работы с электронными документами. Специалистам «Доктор Веб» удалось установить, что киберпреступники отправляли порядка 400 спам-сообщений в сутки с каждого инфицированного устройства. Осенью 2017 года злоумышленники нашли для Linux.ProxyM еще одно применение: с помощью этого троянца они начали взламывать сайты. Использовалось несколько методов взлома: SQL-инъекции (внедрение в запрос к базе данных сайта вредоносного SQL-кода), XSS (Cross-Site Scripting) – метод атаки, заключающийся в добавлении в страницу вредоносного сценария, который выполняется на компьютере при открытии этой страницы, и Local File Inclusion (LFI) — метод атаки, позволяющий удаленно читать файлы на атакуемом сервере. График количества зафиксированных атак этого троянца представлен ниже.
Также в ноябре был обнаружен новый бэкдор для Linux, получивший наименование Linux.BackDoor.Hook.1. Он может скачивать заданные в поступившей от злоумышленников команде файлы, запускать приложения или подключаться к определенному удаленному узлу.
Число угроз для ОС Linux постепенно растет, и есть основания полагать, что эта тенденция продолжится и в следующем году.
В течение года вирусные базы Dr.Web пополнились записями для целого ряда семейств вредоносных программ, способных инфицировать устройства Apple: это Mac.Pwnet, Mac.BackDoor.Dok, Mac.BackDoor.Rifer, Mac.BackDoor.Kirino и Mac.BackDoor.MacSpy. Одна из обнаруженных в 2017 году вредоносных программ — Mac.BackDoor.Systemd.1 — представляет собой бэкдор, способный выполнять следующие команды:
Более подробные сведения об этом троянце изложены в опубликованной на сайте компании «Доктор Веб» статье.
Специалисты «Доктор Веб» регулярно добавляют в базы Родительского (Офисного) контроля адреса потенциально опасных и нерекомендуемых веб-сайтов. К таковым относятся мошеннические, фишинговые ресурсы и сайты, распространяющие вредоносное ПО. Динамика пополнения этих баз в 2017 году показана на следующей диаграмме.
Интернет-мошенничество — весьма распространенное явление, и год от года сетевые жулики расширяют арсенал методик обмана доверчивых пользователей. В одной из весьма популярных мошеннических схем в 2017 году использовались так называемые «договорные матчи». Киберпреступники создают специальный сайт, на котором предлагают приобрести «достоверные и проверенные сведения об исходе спортивных состязаний». Впоследствии с помощью этой информации можно делать якобы гарантированно выигрышные ставки в букмекерских конторах. Этой весной жулики усовершенствовали схему: они предлагали потенциальным жертвам скачать защищенный паролем самораспаковывающийся RAR-архив, якобы содержащий текстовый файл с результатами того или иного матча. Пароль для архива жулики высылают после завершения состязания. Предполагается, что таким образом пользователь сможет сравнить предсказанный результат с реальным. Однако вместо архива с сайта мошенников скачивалась созданная ими программа, внешне неотличимая от самораспаковывающегося архива WinRAR. Этот поддельный «архив» содержит шаблон текстового файла, в который с помощью специального алгоритма подставляются нужные результаты матча в зависимости от того, какой пароль введет пользователь. Таким образом, после окончания спортивного соревнования жуликам достаточно отправить своей жертве соответствующий пароль, и из «архива» будет «извлечен» текстовый файл с правильным результатом (на самом деле он будет сгенерирован троянцем на основе шаблона).
В минувшем году киберпреступники пытались обмануть не только простых пользователей, но и владельцев веб-сайтов. Жулики рассылали им письма якобы от имени компании «Яндекс», по всей видимости позаимствовав адреса получателей из баз данных регистраторов доменов. В своем послании мошенники от имени «Яндекса» предлагали владельцу сайта повысить его позиции в поисковой выдаче. Для этих целей они создали более 500 веб-страниц, ссылки на которые сотрудники «Доктор Веб» добавили в базы нерекомендуемых сайтов.
Киберпреступники рассылали мошеннические письма не только от имени «Яндекса», но и от лица регистратора доменов «RU-Center». Ссылаясь на некие изменения в правилах ICANN, злоумышленники предлагали администраторам домена создать в корневой директории сайта php-файл определенного содержания, якобы с целью подтвердить право использования этого домена получателем сообщения. Файл, который предлагали сохранить в корневой папке сайта злоумышленники, содержал команду, способную выполнить заданный в переменной произвольный код.
Другая популярная методика обмана — обещание выплат крупных сумм, за вывод которых преступники просят жертву перевести им небольшой взнос. Компания «Доктор Веб» сообщала о подобной схеме, в которой для проверки якобы причитающихся пользователю страховых премий на мошенническом сайте требовалось указать номер страхового свидетельства СНИЛС или паспортные данные.
Можно предположить, что сетевые мошенники будут и дальше изобретать новые методики незаконного заработка, основанного на обмане.
Мобильные устройства по-прежнему остаются привлекательной мишенью для киберпреступников, поэтому неудивительно, что 2017 год был вновь отмечен появлением большого числа вредоносных и нежелательных программ. Среди основных целей злоумышленников снова стало незаконное обогащение, а также кража персональной информации.
Как и ранее, одну из основных угроз представляли банковские троянцы, с помощью которых вирусописатели получали доступ к счетам клиентов кредитных организаций и незаметно крали с них деньги. Среди таких вредоносных приложений стоит отметить Android.Banker.202.origin, который был встроен в безобидные программы и распространялся через каталог Google Play. Android.Banker.202.origin интересен своей многоступенчатой схемой атаки. При запуске он извлекал скрытого внутри него троянца Android.Banker.1426, который скачивал еще одну вредоносную программу-банкер. Именно она похищала логины, пароли и другую конфиденциальную информацию, необходимую для доступа к счетам пользователей.
Похожий банкер получил имя Android.BankBot.233.origin. Он извлекал из своих ресурсов и незаметно устанавливал троянца Android.BankBot.234.origin, который охотился за информацией о банковских картах. Эта вредоносная программа отслеживала запуск приложения «Play Маркет» и показывала поверх него мошенническую форму, в которой запрашивала соответствующие данные. Особенность Android.BankBot.233.origin заключалась в том, что он пытался получить доступ к специальным возможностям (Accessibility Service) зараженных устройств. С их помощью он начинал полностью контролировать смартфоны и планшеты и управлял их функциями. Именно благодаря доступу к специальному режиму работы операционной системы Android.BankBot.233.origin скрытно ставил второго троянца.
Android.BankBot.211.origin – еще один опасный банкер, который также использовал специальные возможности ОС Android. Троянец самостоятельно назначал себя администратором устройства и менеджером СМС по умолчанию. Кроме того, он мог фиксировать все происходящее на экране и делал скриншоты при каждом нажатии клавиатуры. Также Android.BankBot.211.origin показывал фишинговые окна для кражи логинов и паролей и передавал злоумышленникам другие секретные сведения.
Применение специальных возможностей ОС Android вредоносными программами сделало их намного более опасными и стало одним из основных этапов эволюции Android-троянцев в 2017 году.
По-прежнему актуальными оставались троянцы, которые без ведома пользователей скачивали и запускали различные приложения. Одним из них был найденный в январе Android.Skyfin.1.origin, внедрявшийся в процесс программы Play Маркет и загружавший ПО из Google Play. Android.Skyfin.1.origin накручивал счетчик установок в каталоге и искусственно увеличивал популярность приложений. А в июле вирусные аналитики «Доктор Веб» выявили и исследовали троянца Android.Triada.231, которого злоумышленники встроили в одну из системных библиотек сразу нескольких моделей мобильных Android-устройств. Этот троянец внедрялся в процессы всех работающих программ и мог незаметно загружать и запускать другие вредоносные модули, заданные в команде управляющего сервера. Вирусописатели начали применять подобный механизм заражения процессов еще в 2016 году, и специалисты «Доктор Веб» ожидали, что киберпреступники продолжат использовать этот вектор атак.
В 2017 году владельцы Android-смартфонов и планшетов вновь столкнулись с рекламными троянцами. Среди них был Android.MobiDash.44, который распространялся через каталог Google Play под видом приложений-руководств к популярным играм. Этот троянец показывал навязчивую рекламу и мог загружать дополнительные вредоносные компоненты. Кроме того, были выявлены и новые нежелательные рекламные модули, один из которых получил наименование Adware.Cootek.1.origin. Он был встроен в популярное приложение-клавиатуру и также распространялся через каталог Google Play. Adware.Cootek.1.origin показывал объявления и различные баннеры.
Серьезную опасность для пользователей мобильных устройств в 2017 году вновь представляли троянцы-вымогатели. Эти вредоносные приложения блокируют экран зараженных смартфонов и планшетов и требуют выкуп за разблокировку. При этом суммы, которые интересуют вирусописателей, могут доходить до нескольких сотен и даже тысяч долларов. На протяжении последних 12 месяцев антивирусные продукты Dr.Web для Android обнаруживали троянцев такого типа на устройствах пользователей более 177 000 раз.
Среди выявленных в прошлом году Android-вымогателей был Android.Locker.387.origin, скрывавшийся в приложении для оптимизации работы и «восстановления» аккумулятора. Другой Android-локер, получивший имя Android.Encoder.3.origin, не только блокировал экран атакуемых устройств, но и шифровал файлы. А троянец Android.Banker.184.origin помимо шифрования менял пароль разблокировки экрана.
В 2017 году немало угроз встречалось и в каталоге Google Play. В апреле в нем был найден троянец Android.BankBot.180.origin, который крал логины и пароли для доступа к банковским учетным записям и перехватывал СМС с проверочными кодами. Позднее был выявлен троянец Android.Dvmap.1.origin, пытавшийся получить root-доступ для незаметной установки вредоносного компонента Android.Dvmap.2.origin. Он скачивал другие модули троянца.
В начале июля вирусные аналитики «Доктор Веб» обнаружили в Google Play вредоносную программу Android.DownLoader.558.origin, которая незаметно загружала и запускала дополнительные компоненты. В этом же месяце в каталоге был найден троянец Android.RemoteCode.85.origin, скачивавший вредоносный плагин, который похищал СМС-сообщения.
Осенью специалисты по информационной безопасности нашли в Google Play троянца Android.SockBot.5, который превращал зараженные смартфоны и планшеты в прокси-серверы. А позднее в каталоге был обнаружен загрузчик, которой скачивал и предлагал пользователям установить различные программы. Это троянец получил имя Android.DownLoader.658.origin. Кроме того, среди выявленных в Google Play вредоносных приложений была и потенциально опасная программа Program.PWS.1, о которой компания «Доктор Веб» рассказала в одной из своих публикаций. Это приложение позволяло получить доступ к заблокированным на территории Украины социальным сетям «ВКонтакте» и «Одноклассники», однако не шифровало передаваемые данные, включая логины и пароли.
В минувшем году злоумышленники также атаковали владельцев мобильных Android-устройств с использованием троянцев-шпионов. Среди этих вредоносных программ были троянцы Android.Chrysaor.1.origin и Android.Chrysaor.2.origin, а также Android.Lipizzan.2, которые крали переписку в популярных программах для онлайн-общения, похищали СМС-сообщения, отслеживали координаты зараженных устройств и передавали киберпреступникам другие секретные сведения. Еще одна вредоносная программа-шпион получила имя Android.Spy.377.origin. Она принимала команды по протоколу Telegram и обладала широким функционалом. Например, троянец мог отправлять СМС с заданным текстом на нужные вирусописателям номера, собирал сведения обо всех доступных файлах и по указанию злоумышленников отправлял любой из них на управляющий сервер. Кроме того, Android.Spy.377.origin мог совершать телефонные звонки и отслеживать местоположение смартфонов и планшетов.
Среди обнаруженных вредоносных программ для мобильных устройств были и новые троянцы-майнеры – например, Android.CoinMine.3, который добывал криптовалюту Monero.
Как и ранее, в наступающем году наибольшую опасность для пользователей будут представлять энкодеры и банковские троянцы. Можно ожидать появления новых червей-шифровальщиков, использующих для своего распространения ошибки и уязвимости в операционной системе и сетевых протоколах.
С высокой долей вероятности будет расти количество и ассортимент угроз для «умных» устройств, работающих под управлением операционной системы Linux. Число моделей таких устройств постепенно растет, а в сочетании с их невысокой стоимостью «Интернет вещей» неизбежно будет привлекателен не только для простых пользователей, но и для киберпреступников.
По всей видимости, в 2018 году не уменьшится количество вредоносных программ для платформы Android – по крайней мере, тенденций к снижению активности «мобильных» вирусописателей в настоящее время не наблюдается. Несмотря на все предпринимаемые меры защиты, троянцы для Android-смартфонов и планшетов будут появляться в каталоге Google Play, а также в заводской прошивке некоторых устройств. Наибольшую опасность для пользователей будут представлять мобильные банковские троянцы, способные похищать средства непосредственно со счетов в кредитных финансовых организациях, а также блокировщики и шифровальщики.
Среди троянцев-загрузчиков, распространяющихся во вредоносных рассылках, наверняка будут преобладать небольшие по объему сценарии, написанные с использованием синтаксиса VBScript, Java Script, Power Shell. Уже сейчас подобных скриптов, обнаруживаемых в сообщениях электронной почты антивирусными продуктами Dr.Web, достаточно много. Будут появляться новые способы добычи криптовалют без явного согласия пользователей. Одно можно утверждать со всей определенностью: в 2018 году угроз информационной безопасности точно не станет меньше.
http://feedproxy.google.com/~r/drweb/viruses/~3/FBVS-N9xtfo/
|
|
«Доктор Веб»: обзор вирусной активности в декабре 2017 года |
29 декабря 2017 года
Последний месяц уходящего года запомнится специалистам по информационной безопасности появлением нового бэкдора для компьютеров и устройств, работающих под управлением Microsoft Windows. Также в декабре вирусные аналитики «Доктор Веб» установили, что злоумышленники стали взламывать веб-сайты с использованием Linux-троянца Linux.ProxyM. Кроме того, в течение месяца вирусные базы Dr.Web пополнились записями для новых вредоносных программ, ориентированных на мобильную платформу Android.
В декабре вирусные аналитики исследовали очередного представителя семейства троянцев Anunak, способных выполнять на зараженном компьютере команды злоумышленников. Новый бэкдор рассчитан на работу в 64-разрядных версиях Windows и получил наименование BackDoor.Anunak.142. Троянец может выполнять на зараженном компьютере следующие действия:
Подробнее об этой вредоносной программе рассказано в новостном материале, опубликованном на нашем сайте.
В декабре в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих модификаций троянцев-шифровальщиков:
В течение декабря 2017 года в базу нерекомендуемых и вредоносных сайтов было добавлено 241 274 интернет-адреса
| ноябрь 2017 | декабрь 2017 | Динамика |
|---|---|---|
| +331 895 | +241 274 | -27,3% |
Троянец Linux.ProxyM известен вирусным аналитикам еще с мая 2017 года. Это довольно-таки простая вредоносная программа, запускающая на инфицированном устройстве SOCKS-прокси-сервер. С ее помощью злоумышленники рассылали до 400 спам-сообщений с каждого зараженного узла, а вскоре стали распространять фишинговые письма, в частности от имени сервиса DocuSign, позволяющего работать с электронными документами. Таким образом киберпреступники собирали учетные данные его пользователей.
В декабре, используя для анонимности реализованный в троянце прокси-сервер, злоумышленники стали предпринимать многочисленные попытки взлома веб-сайтов. Для этого использовались SQL-инъекции (внедрение в запрос к базе данных сайта вредоносного SQL-кода), XSS (Cross-Site Scripting) – метод атаки, заключающийся в добавлении в страницу вредоносного сценария, который выполняется на компьютере при открытии этой страницы, и Local File Inclusion (LFI) — метод атаки, позволяющий злоумышленникам удаленно читать файлы на атакуемом сервере с помощью специально сформированных команд. Подробности об этом инциденте рассказаны в опубликованном нами новостном материале.
В декабре в каталоге Google Play были выявлены банковские троянцы Android.BankBot.243.origin и Android.BankBot.255.origin, которые похищали логины и пароли для доступа к учетным записям клиентов кредитных организаций. Кроме того, похожий троянец распространялся и вне официального каталога ПО мобильной платформы Android. Он получил имя Android.Packed.15893. Также в декабре в вирусную базу Dr.Web был добавлена вредоносная программа Android.Spy.410.origin, которая шпионила за итальянскими пользователями.
Наиболее заметные события, связанные с «мобильной» безопасностью в декабре:
Более подробно о вирусной обстановке для мобильных устройств в декабре читайте в нашем обзоре.
http://feedproxy.google.com/~r/drweb/viruses/~3/YKsnaOYSHL4/
|
|
«Доктор Веб» исследовал новый бэкдор для Windows |
22 декабря 2017 года
Троянец, получивший имя BackDoor.Anunak.142, обменивается информацией со своим управляющим сервером, формируя зашифрованные пакеты. При этом заголовок каждого пакета и блок передаваемых данных шифруются по отдельности. Эта версия бэкдора способна заражать устройства, работающие под управлением 64-разрядных версий Windows. Существует и 32-разрядная модификация данного троянца – она получила порядковый номер 124.
BackDoor.Anunak.142 может выполнять на зараженном устройстве следующие действия:
Запись для BackDoor.Anunak.142 добавлена в вирусные базы Dr.Web, поэтому троянец не представляет опасности для наших пользователей.
| Подробнее о троянце |
http://feedproxy.google.com/~r/drweb/viruses/~3/n5DJJJ74FUs/
|
|
«Доктор Веб» предупреждает: злоумышленники взламывают сайты с помощью «Интернета вещей» |
7 декабря 2017 года
Linux.ProxyM — это вредоносная программа для ОС семейства Linux, запускающая на инфицированном устройстве SOCKS-прокси-сервер. С его помощью киберпреступники могут анонимно совершать различные деструктивные действия. Известны сборки этого троянца для устройств с архитектурой x86, MIPS, MIPSEL, PowerPC, ARM, Superh, Motorola 68000 и SPARC. Это означает, что Linux.ProxyM может заразить практически любое устройство под управлением Linux, включая роутеры, телевизионные приставки и другое подобное оборудование.
В сентябре аналитикам «Доктор Веб» стало известно, что злоумышленники рассылали с использованием Linux.ProxyM более 400 спам-сообщений в сутки с каждого инфицированного устройства. Письма рекламировали ресурсы «для взрослых» и сомнительные финансовые услуги. Вскоре киберпреступники стали использовать «Интернет вещей» для распространения фишинговых сообщений. Подобные послания отправлялись якобы от имени DocuSign — сервиса, позволяющего загружать, просматривать, подписывать и отслеживать статус электронных документов.
Если пользователь переходил по ссылке в письме, он попадал на поддельный сайт DocuSign с формой авторизации. После ввода пароля жертва мошенников перенаправлялась на настоящую страницу авторизации DocuSign, а содержимое фишинговой формы отправлялось злоумышленникам.
В декабре киберпреступники нашли новое применение зараженным Linux.ProxyM устройствам: используя реализованный в троянце прокси-сервер для сохранения анонимности, они стали предпринимать многочисленные попытки взлома веб-сайтов. Злоумышленники используют несколько различных методов взлома: это SQL-инъекции (внедрение в запрос к базе данных сайта вредоносного SQL-кода), XSS (Cross-Site Scripting) – метод атаки, заключающийся в добавлении в страницу вредоносного сценария, который выполняется на компьютере при открытии этой страницы, и Local File Inclusion (LFI). Этот вид атаки позволяет злоумышленникам удаленно читать файлы на атакуемом сервере с помощью специальным образом сформированных команд. Среди подвергшихся атакам веб-сайтов замечены игровые серверы, форумы, а также ресурсы другой тематической направленности, в том числе российские.
Специалисты «Доктор Веб» продолжают следить за активностью ботнета Linux.ProxyM. График количества зафиксированных атак этого троянца представлен ниже.
Несмотря на то, что в Linux.ProxyM реализована всего лишь одна функция – прокси-сервер, – злоумышленники находят новые возможности его использования в своей противозаконной деятельности и проявляют все более настойчивый интерес к «Интернету вещей».
http://feedproxy.google.com/~r/drweb/viruses/~3/wglK53cqm9g/
|
|
