Поддержка Вид

LiveInternetLiveInternet

Аватар

сменить

Авось из (+ сутки) дневников

Записи Друзья Комментарии

rss drweb viruses rss drweb viruses

Аватар rss_drweb_viruses

-Поиск по дневнику

-Подписка по e-mail

-Постоянные читатели

sgg

-Статистика

Создан: 30.09.2009
Записей: 711
Комментариев: 1
Написано: 1

Отчеты:
Посетители
Поисковые фразы

О вирусах

Новости компании "Доктор Веб" - О вирусах

Добавить любой RSS - источник (включая журнал LiveJournal) в свою ленту друзей вы можете на странице синдикации.

Исходная информация - http://news.drweb.com/news/.
Данный дневник сформирован из открытого RSS-источника по адресу http://feeds.feedburner.com/drweb/viruses, и дополняется в соответствии с дополнением данного источника. Он может не соответствовать содержимому оригинальной страницы. Трансляция создана автоматически по запросу читателей этой RSS ленты.
По всем вопросам о работе данного сервиса обращаться со страницы контактной информации.

[Обновить трансляцию]

Комментарии (0)

<a href="https://www.liveinternet.ru/users/rss_drweb_viruses/post510286921/">В«Р”РѕРєС‚РѕСЂ Р’РµР±В»: РѕР±Р·РѕСЂ РІРёСЂСѓСЃРЅРѕР№ Р°РєС‚РёРІРЅРѕСЃС‚Рё РІ I РєРІР°СЂС‚Р°Р»Рµ 2025 РіРѕРґР°</a>

27 РјР°СЂС‚Р° 2025 РіРѕРґР°

РЎРѕРіР»Р°СЃРЅРѕ СЃС‚Р°С‚РёСЃС‚РёРєРµ РґРµС‚РµРєС‚РёСЂРѕРІР°РЅРёР№ Р°РЅС‚РёРІРёСЂСѓСЃР° Dr.Web, РІ I РєРІР°СЂС‚Р°Р»Рµ 2025 РіРѕРґР° РѕР±С‰РµРµ С‡РёСЃР»Рѕ РѕР±РЅР°СЂСѓР¶РµРЅРЅС‹С… СѓРіСЂРѕР· СѓРІРµР»РёС‡РёР»РѕСЃСЊ РЅР° 7,23% РїРѕ СЃСЂР°РІРЅРµРЅРёСЋ СЃ IV РєРІР°СЂС‚Р°Р»РѕРј 2024. Р’ С‚Рѕ Р¶Рµ РІСЂРµРјСЏ С‡РёСЃР»Рѕ СѓРЅРёРєР°Р»СЊРЅС‹С… СѓРіСЂРѕР· СЃРѕРєСЂР°С‚РёР»РѕСЃСЊ РїРѕС‡С‚Рё РЅР° С‚СЂРµС‚СЊ вЂ” РЅР° 27,59%. РС‚Рѕ РіРѕРІРѕСЂРёС‚ Рѕ С‚РѕРј, С‡С‚Рѕ Р·Р»РѕСѓРјС‹С€Р»РµРЅРЅРёРєРё, РЅРµСЃРєРѕР»СЊРєРѕ СѓРІРµР»РёС‡РёРІ РёРЅС‚РµРЅСЃРёРІРЅРѕСЃС‚СЊ Р°С‚Р°Рє, С‡Р°С‰Рµ Р·Р°РґРµР№СЃС‚РІРѕРІР°Р»Рё РІ РЅРёС… РѕРґРЅРё Рё С‚Рµ Р¶Рµ РІСЂРµРґРѕРЅРѕСЃРЅС‹Рµ Рё РЅРµР¶РµР»Р°С‚РµР»СЊРЅС‹Рµ РїСЂРѕРіСЂР°РјРјС‹. РќР°РёР±РѕР»СЊС€РµРµ СЂР°СЃРїСЂРѕСЃС‚СЂР°РЅРµРЅРёРµ РїРѕР»СѓС‡РёР»Рё РІСЂРµРґРѕРЅРѕСЃРЅС‹Рµ СЃРєСЂРёРїС‚С‹ СЂР°Р·Р»РёС‡РЅРѕР№ С„СѓРЅРєС†РёРѕРЅР°Р»СЊРЅРѕСЃС‚Рё, Р° С‚Р°РєР¶Рµ СЂРµРєР»Р°РјРЅС‹Рµ С‚СЂРѕСЏРЅС‹ Рё СЂРµРєР»Р°РјРЅРѕРµ РџРћ.
 
 Р’ РїРѕС‡С‚РѕРІРѕРј С‚СЂР°С„РёРєРµ С‡Р°С‰Рµ РІСЃРµРіРѕ РѕР±РЅР°СЂСѓР¶РёРІР°Р»РёСЃСЊ С‚... <a href="https://www.liveinternet.ru/users/rss_drweb_viruses/post510286921/">Р§РёС‚Р°С‚СЊ РґР°Р»РµРµ...</a>

«Доктор Веб»: обзор вирусной активности в I квартале 2025 года

Четверг, 27 Марта 2025 г. 03:00 + в цитатник

27 марта 2025 года

Согласно статистике детектирований антивируса Dr.Web, в I квартале 2025 года общее число обнаруженных угроз увеличилось на 7,23% по сравнению с IV кварталом 2024. В то же время число уникальных угроз сократилось почти на треть — на 27,59%. Это говорит о том, что злоумышленники, несколько увеличив интенсивность атак, чаще задействовали в них одни и те же вредоносные и нежелательные программы. Наибольшее распространение получили вредоносные скрипты различной функциональности, а также рекламные трояны и рекламное ПО.

В почтовом трафике чаще всего обнаруживались трояны-дропперы и загрузчики, рекламное ПО, вредоносные скрипты, а также трояны, предназначенные для запуска различных угроз на атакуемых компьютерах.

Пользователи, чьи файлы были затронуты троянами-шифровальщиками, чаще всего сталкивались с энкодерами Trojan.Encoder.35534, Trojan.Encoder.35209 и Trojan.Encoder.35067.

В январе вирусная лаборатория «Доктор Веб» выявила активную кампанию по добыче криптовалюты Monero, организованную с использованием множества различных вредоносных программ. Для маскировки некоторых из них злоумышленники применили стеганографию — прием, позволяющий скрывать одни данные среди других (например, в изображениях).

Вместе с тем в течение I квартала наши интернет-аналитики фиксировали увеличение числа мошеннических сайтов, направленных на кражу учетных записей пользователей мессенджера Telegram.

В сегменте мобильных угроз наблюдался рост активности рекламных троянов и некоторых семейств банковских троянов для ОС Android. При этом специалисты компании «Доктор Веб» выявили десятки новых вредоносных приложений в каталоге Google Play.

Главные тенденции I квартала

Рост числа угроз, выявленных на защищаемых устройствах
Снижение числа уникальных угроз, задействованных в атаках
Увеличение числа фишинговых сайтов, созданных для кражи учетных записей Telegram
Рост активности ряда распространенных семейств рекламных и банковских троянов для ОС Android
Появление новых вредоносных программ в Google Play

По данным сервиса статистики «Доктор Веб»

Наиболее распространенные угрозы I квартала 2025 года:

VBS.KeySender.6: Вредоносный скрипт, который в бесконечном цикле ищет окна с текстом mode extensions, разработчика и розробника и шлет им событие нажатия кнопки Escape, принудительно закрывая их.
Adware.Downware.20091: Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.
Trojan.BPlug.4242: Детектирование вредоносного компонента браузерного расширения WinSafe. Этот компонент представляет собой сценарий JavaScript, который демонстрирует навязчивую рекламу в браузерах.
JS.Siggen5.44590: Вредоносный код, добавленный в публичную JavaScript-библиотеку es5-ext-main. Демонстрирует определенное сообщение, если пакет установлен на сервер с часовым поясом российских городов.
Trojan.Siggen30.53926: Хост-процесс модифицированного злоумышленниками фреймворка Electron, мимикрирующий под компонент приложения Steam (Steam Client WebHelper) и загружающий JavaScript-бэкдор.

Статистика вредоносных программ в почтовом трафике

JS.Siggen5.44590: Вредоносный код, добавленный в публичную JavaScript-библиотеку es5-ext-main. Демонстрирует определенное сообщение, если пакет установлен на сервер с часовым поясом российских городов.
JS.Inject: Семейство вредоносных сценариев, написанных на языке JavaScript. Они встраивают вредоносный скрипт в HTML-код веб-страниц.
Trojan.AVKill.63950: Дроппер, устанавливающий бэкдор JS.BackDoor.42 на компьютеры под управлением ОС Windows.
Trojan.Inject5.13806: Вредоносная программа для компьютеров с ОС Windows, созданная с использованием скриптового языка AutoIt. Она запускает несколько системных процессов и инжектирует в них трояна-шпиона Trojan.Fbng, которого атакующие могут использовать в том числе в качестве банковского трояна.

Шифровальщики

В I квартале 2025 года число запросов на расшифровку файлов, затронутых троянскими программами-шифровальщиками, снизилось на 9,34% по сравнению с IV кварталом минувшего года.

Динамика поступления запросов на расшифровку в службу технической поддержки «Доктор Веб»:

Наиболее распространенные энкодеры I квартала 2025 года:

Trojan.Encoder.35534 — 11.89% обращений пользователей
Trojan.Encoder.35209 — 5.95% обращений пользователей
Trojan.Encoder. 35067 — 3.57% обращений пользователей
Trojan.Encoder.38200 — 2.38% обращений пользователей
Trojan.Encoder.37369 — 1.98% обращений пользователей

Сетевое мошенничество

В I квартале 2025 года интернет-аналитики компании «Доктор Веб» отметили появление множества новых фишинговых сайтов для кражи учетных записей мессенджера Telegram. Среди часто встречавшихся вариантов были поддельные страницы авторизации и страницы поддержки, сообщающие о якобы возникших проблемах в связи с неким нарушением условий использования сервиса.

Распространение вновь получили поддельные сайты интернет-магазинов, на которых злоумышленники предлагали потенциальным жертвам войти в их учетную запись.

Фишинговая форма авторизации на поддельном сайте одного из российских интернет-магазинов

Наши специалисты продолжили фиксировались мошеннические сайты со всевозможными «выгодными предложениями», такими как доступ к легкому или быстрому заработку, получение тех или иных подарков, участие в акциях и т. п. Например, одна из схем была рассчитана на жителей Великобритании. Им предлагалось получить транспортные карты «ограниченного выпуска», которые якобы приурочены к юбилею того или иного перевозчика и позволят длительное время бесплатно пользоваться услугами общественного транспорта.

Мошеннические сайты, предлагающие шанс получить «акционные» транспортные карты First Essex и Oyster для бесплатного пользования общественным транспортом

Пользователи должны были ответить на несколько вопросов, а затем сыграть в игру, открывая виртуальные коробки с подарками («выигрыш» в подобных сценариях прописан заранее). После «победы» от них требовалось указать персональные данные и заплатить lb2 для «получения» обещанной карты. Личная информация жертв и деньги в итоге оказывались у злоумышленников.

Потенциальная жертва якобы успешно обнаружила карту в одной из игровых коробок и для ее получения должна указать персональные данные, а также заплатить lb2

Форма ввода реквизитов банковской карты для оплаты несуществующей акционной транспортной карты

Злоумышленники продолжают завлекать потенциальных жертв всевозможными торговыми платформами с «уникальными» алгоритмами, в том числе якобы на основе технологий искусственного интеллекта. При этом мошенники используют имена известных личностей и прикрываются настоящими компаниями и сервисами, утверждая о том, что связаны с ними. Одним из актуальных сценариев остается обещание заработать при помощи неких специализированных сервисов от Telegram, WhatsApp и других компаний.

Так, некоторые сайты рекламировали всевозможные ИИ-платформы, такие как Telegram AI и WHATSAPP AI — они якобы могли принести от €14 000 в месяц за счет применения «автоматизированной торговой системы»:

Другие варианты эксплуатировали тематику торговых ботов, которые часто преподносятся как инструменты, созданные непосредственно владельцами мессенджеров. Например, один из сайтов обещал, что «бот Павла Дурова» Telegram.AI позволит ежемесячно зарабатывать от €2500, а другой для получения до €500 в день предлагал воспользоваться ботом WhatsApp Bot, якобы созданным Марком Цукербергом.

Еще один мошеннический сайт предлагал зарегистрироваться на «платформе Telegram», которая, как утверждалось, запускается непосредственно из браузера смартфона, автоматически торгует акциями мировых компаний и приносит €10 000 в месяц:

Другой обещал «каждому жителю Европы» доход от €5000 в месяц с помощью неких алгоритмов компании WhatsApp на базе искусственного интеллекта:

Распространенной вариацией мошеннической схемы с фиктивной торговой системой на основе ИИ является скам-платформа «Формула богатства», якобы совершающая торговые операции за доли секунды с учетом анализа огромного объема данных. Всевозможные сайты этой несуществующей системы предлагают посетителям ознакомиться с информационным роликом и зарегистрироваться для консультации в «офисе противокризисных решений». Мошенников интересуют преимущественно европейские — в частности, чешские — пользователи, которым обещают доходность €1000 в день «в течение всей жизни». Для доступа к системе от потенциальных жертв требуется внести минимальный депозит €250.

Популярными остаются и другие похожие сценарии — например, получение дохода с помощью того или иного специализированного ПО. Так, один из сайтов приглашал чешских пользователей зарабатывать десятки тысяч крон в день благодаря «самому интеллектуальному криптографическому программному обеспечению в мире»:

Другой мошеннический портал сулил заработок более 4,7 миллионов крон ежемесячно при использовании некоего торгового ПО «10K EVERY DAY APP»:

Вместе с тем пользователи продолжили сталкиваться и с фиктивными сайтами инвестиционной тематики, целью которых становятся жители различных стран. Например, для аудитории из Казахстана мошенники приготовили очередную платформу для пассивного заработка через торговлю нефтью и газом:

Множество других сайтов предлагали «заработать как можно больше» на торговле акциями Казахстана, России, Китая и прочих государств:

С похожими сайтами сталкивались жители России и Киргизии — они якобы могли заработать на торговле нефтью и газом:

А один из мошеннических интернет-ресурсов предлагал румынским пользователям присоединиться к проекту газопровода BRUA и сулил 3000 леев в неделю в качестве пассивного заработка:

Приманкой для потенциальных жертв остаются сайты, обещающие государственную поддержку населению в виде пособий, социальных выплат и т. п. Так, злоумышленники пытались заманить российских пользователей на очередные подделки портала Госуслуг. На одном из таких сайтов предлагалось указать персональные данные якобы для участия в программе выплат от нефтегазовой компании, а также получения бонусов от правительства:

Другой мошеннический сайт обещал помощь каждому жителю Казахстана в виде денежных выплат якобы от имени крупного банка «для избежания проблем и бедствия»:

Не теряют актуальность и поддельные сайты инвестиционных сервисов — в частности, российских кредитных организаций. Многие из них мимикрируют под настоящие веб-порталы банков, чтобы максимально запутать потенциальных жертв.

Примеры поддельных сайтов российских банков, предлагающих получить доступ к «инвестиционным услугам»

Узнайте больше о нерекомендуемых Dr.Web сайтах

Вредоносное и нежелательное ПО для мобильных устройств

Согласно данным статистики детектирований Dr.Web Security Space для мобильных устройств, в I квартале 2025 года наиболее распространенными Android-угрозами стали рекламные трояны Android.HiddenAds и Android.MobiDash, а также вредоносные программы-подделки Android.FakeApp. По сравнению IV кварталом минувшего года их активность возросла. Кроме того, пользователи чаще сталкивались с банковскими троянами Android.BankBot и Android.Banker. Трояны-шпионы Android.SpyMax, число атак с применением которых в 2024 году увеличивалось практически каждый месяц, напротив, детектировались на защищаемых устройствах реже.

Наши специалисты вновь выявили множество угроз в каталоге Google Play. Среди них — трояны, используемые в разнообразных мошеннических схемах, вредоносные программы для похищения криптовалют, а также рекламные трояны.

Наиболее заметные события, связанные с «мобильной» безопасностью в I квартале:

Рост активности рекламных троянов Android.HiddenAds и Android.MobiDash
Рост активности банковских троянов Android.BankBot и Android.Banker
Снижение числа атак троянов-шпионов Android.SpyMax
Обнаружение новых угроз в каталоге Google Play

Более подробно о вирусной обстановке для мобильных устройств в I квартале 2025 года читайте в нашем обзоре.

Узнайте больше с Dr.Web

«Антивирусная правда»

Обучающие курсы

Просветительские проекты

Брошюры

https://news.drweb.ru/show/?i=14992&lng=ru&c=9

Комментарии (0)

<a href="https://www.liveinternet.ru/users/rss_drweb_viruses/post509314363/">В«Р”РѕРєС‚РѕСЂ Р’РµР±В»: РѕР±Р·РѕСЂ РІРёСЂСѓСЃРЅРѕР№ Р°РєС‚РёРІРЅРѕСЃС‚Рё РґР»СЏ РјРѕР±РёР»СЊРЅС‹С… СѓСЃС‚СЂРѕР№СЃС‚РІ Р·Р° 2024 РіРѕРґ</a>

30 СЏРЅРІР°СЂСЏ 2025 РіРѕРґР°

Р’ 2024 РіРѕРґСѓ СЃР°РјС‹РјРё СЂР°СЃРїСЂРѕСЃС‚СЂР°РЅРµРЅРЅС‹РјРё Android-СѓРіСЂРѕР·Р°РјРё РІРЅРѕРІСЊ СЃС‚Р°Р»Рё СЂРµРєР»Р°РјРЅС‹Рµ С‚СЂРѕСЏРЅС‹. РџСЂРё СЌС‚РѕРј РїРѕ СЃСЂР°РІРЅРµРЅРёСЋ СЃ РіРѕРґРѕРј СЂР°РЅРµРµ РІРѕР·СЂРѕСЃР»Р° Р°РєС‚РёРІРЅРѕСЃС‚СЊ РјРѕС€РµРЅРЅРёС‡РµСЃРєРѕРіРѕ РџРћ, С‚СЂРѕСЏРЅРѕРІ-РІС‹РјРѕРіР°С‚РµР»РµР№, РєР»РёРєРµСЂРѕРІ Рё Р±Р°РЅРєРѕРІСЃРєРёС… С‚СЂРѕСЏРЅРѕРІ. РЎСЂРµРґРё РїРѕСЃР»РµРґРЅРёС… Р±РѕР»СЊС€РµРµ СЂР°СЃРїСЂРѕСЃС‚СЂР°РЅРµРЅРёРµ РїРѕ СЃСЂР°РІРЅРµРЅРёСЋ СЃ 2023 РіРѕРґРѕРј РїРѕР»СѓС‡РёР»Рё Р±РѕР»РµРµ РїСЂРѕСЃС‚С‹Рµ Р±Р°РЅРєРѕРІСЃРєРёРµ С‚СЂРѕСЏРЅС‹, РєРѕС‚РѕСЂС‹Рµ РїРѕС…РёС‰Р°СЋС‚ С‚РѕР»СЊРєРѕ СѓС‡РµС‚РЅС‹Рµ РґР°РЅРЅС‹Рµ РґР»СЏ РІС…РѕРґР° РІ РѕРЅР»Р°Р№РЅ-Р±Р°РЅРє Рё РєРѕРґС‹ РїРѕРґС‚РІРµСЂР¶РґРµРЅРёР№ РёР· РЎРњРЎ.
 
 РЎСЂРµРґРё РЅРµР¶РµР»Р°С‚РµР»СЊРЅС‹С… РїСЂРѕРіСЂР°РјРј РЅР°РёР±РѕР»СЊС€СѓСЋ Р°РєС‚РёРІРЅРѕСЃС‚СЊ РїСЂРѕСЏРІРёР»Рё РїСЂРёР»РѕР¶РµРЅРёСЏ, РїСЂРµРґР»Р°РіР°СЋС‰РёРµ РїРѕР»СЊР·РѕРІР°С‚РµР»СЏРј РІС‹РїРѕР»РЅСЏС‚СЊ СЂР°Р·Р»РёС‡РЅС‹Рµ Р·Р°РґР°РЅРёСЏ 
 Р·Р° РІРёСЂС‚СѓР°Р»СЊ... <a href="https://www.liveinternet.ru/users/rss_drweb_viruses/post509314363/">Р§РёС‚Р°С‚СЊ РґР°Р»РµРµ...</a>

«Доктор Веб»: обзор вирусной активности для мобильных устройств за 2024 год

Четверг, 30 Января 2025 г. 03:00 + в цитатник

30 января 2025 года

В 2024 году самыми распространенными Android-угрозами вновь стали рекламные трояны. При этом по сравнению с годом ранее возросла активность мошеннического ПО, троянов-вымогателей, кликеров и банковских троянов. Среди последних большее распространение по сравнению с 2023 годом получили более простые банковские трояны, которые похищают только учетные данные для входа в онлайн-банк и коды подтверждений из СМС.

Среди нежелательных программ наибольшую активность проявили приложения, предлагающие пользователям выполнять различные задания за виртуальные вознаграждения, которые затем якобы можно перевести в реальные деньги. Самыми детектируемыми потенциально опасными программами стали утилиты, позволяющие запускать Android-приложения без их установки. А наиболее активным рекламным ПО оказались специальным образом модифицированные версии мессенджера WhatsApp, в функции которых внедрен код для загрузки рекламных ссылок.

В течение года вирусные аналитики компании «Доктор Веб» обнаружили сотни новых угроз в каталоге Google Play, которые суммарно были загружены свыше 26 700 000 раз. Среди них были вредоносные программы, в том числе троян-шпион, а также нежелательные и рекламные приложения.

Наши специалисты также выявили новую атаку на ТВ-приставки на базе Android — около 1 300 000 устройств пострадали от бэкдора, который заражал системную область и по команде злоумышленников мог скачивать и устанавливать стороннее ПО.

Кроме того, вирусные аналитики «Доктор Веб» отмечали рост популярности ряда техник, направленных на усложнение анализа вредоносных Android-программ и обхода их детектирования антивирусами. Они включали различные манипуляции с форматом ZIP-архивов (формат ZIP является основой для APK-файлов Android-приложений), манипуляции с файлом конфигурации программ AndroidManifest.xml и другие. Чаще всего эти приемы встречались в банковских троянах.

ТЕНДЕНЦИИ ПРОШЕДШЕГО ГОДА

Демонстрирующие рекламу вредоносные программы остались наиболее распространенными угрозами
Рост активности банковских троянов
Киберпреступники стали чаще использовать простые банковские трояны Android.Banker, которые похищают только данные для входа в учетные записи онлайн-банка, а также проверочные коды из СМС
Злоумышленники стали чаще прибегать к манипуляции форматом APK-приложений и их структурных компонентов для обхода детектирования и усложнения анализа вредоносных программ
Рост числа детектирований троянов-вымогателей Android.Locker и троянов-кликеров Android.Click
Появление множества новых угроз в каталоге Google Play

Наиболее интересные события 2024 года

В мае прошлого года эксперты компании «Доктор Веб» рассказали о трояне-кликере Android.Click.414.origin, найденном в приложении для управления секс-игрушками и в ПО для отслеживания физической активности. Обе программы распространялись через каталог Google Play и суммарно были установлены более 1 500 000 раз. Android.Click.414.origin имел модульную архитектуру и с помощью своих компонентов выполнял определенные задачи. Так, троян незаметно открывал рекламные сайты и совершал на них различные действия. Например, он мог прокручивать содержимое страниц, вводить текст в формы, отключать звук на веб-страницах и создавать их скриншоты для анализа содержимого и последующего выполнения кликов на нужных областях. Кроме того, Android.Click.414.origin передавал на управляющий сервер подробную информацию о зараженном устройстве. При этом кликер целенаправленно не атаковал определенных пользователей — он не запускался на устройствах, где был установлен китайский язык интерфейса.

Некоторые версии программ Love Spouse и QRunning скрывали трояна Android.Click.414.origin

В сентябре наши специалисты раскрыли детали анализа случаев заражения ТВ-приставок на базе Android бэкдором Android.Vo1d. Эта модульная вредоносная программа проникла почти на 1 300 000 устройств пользователей из 197 стран. Она помещала свои компоненты в системную область и по команде злоумышленников могла скрытно загружать и устанавливать стороннее ПО.

Страны с наибольшим числом выявленных ТВ-приставок, зараженных бэкдором Android.Vo1d

Уже в ноябре наши вирусные аналитики на примере трояна Android.FakeApp.1669 рассказали о том, как злоумышленники используют DNS-протокол для скрытой связи вредоносных программ с управляющими серверами. Android.FakeApp.1669 является довольно примитивным трояном, задача которого сводится к загрузке заданных сайтов. От большинства похожих угроз он отличается тем, что адрес целевых сайтов он получает из TXT-записи вредоносного DNS-сервера, для чего использует модифицированный код открытой библиотеки dnsjava. При этом Android.FakeApp.1669 проявляет себя только при подключении к интернету через определенных провайдеров — в остальных случаях он работает как безобидное ПО.

Пример TXT-записи целевого домена, которую DNS-сервер отдал при запросе через Linux-утилиту dig при анализе одной из модификаций Android.FakeApp.1669

Статистика

По данным статистики детектирований Dr.Web Security Space для мобильных устройств, в 2024 году наиболее распространенными угрозами стали вредоносные программы, на долю которых пришлось 74,67% всех случаев обнаружения. За ними расположились рекламные приложения с долей 10,96%. Третье место с показателем 10,55% заняли потенциально опасные программы. Четвертыми по распространенности стали нежелательные программы — пользователи сталкивались с ними в 3,82% случаев.

Вредоносные приложения

Самыми распространенными вредоносными программами для Android вновь стали рекламные трояны семейства Android.HiddenAds. За прошедший год их доля в общем объеме выявленных антивирусом Dr.Web вредоносных приложений увеличилась на 0,34 п. п. и составила 31,95% детектирований.

Среди представителей этого семейства наибольшую активность проявил Android.HiddenAds.3956 (15,10% детектирований семейства и 4,84% от общего числа детектирований вредоносного ПО). Это один из множества вариантов вредоносной программы Android.HiddenAds.1994, с которой пользователи сталкиваются на протяжении уже нескольких лет. Версия Android.HiddenAds.3956 наряду с другими модификациями появилась в 2023 году и по нашим прогнозам могла занять лидирующие позиции в семействе, что в итоге и произошло. В 2024 также получили распространение его новые варианты Android.HiddenAds.3980, Android.HiddenAds.3989, Android.HiddenAds.3994, Android.HiddenAds.655.origin, Android.HiddenAds.657.origin и ряд других.

При этом заметным также стало подсемейство троянов Android.HiddenAds.Aegis. В отличие от большинства других вредоносных программ Android.HiddenAds, представители этой группы обладают способностью автозапуска и некоторыми другими особенностями. Чаще всего на защищаемых антивирусом Dr.Web устройствах обнаруживались модификации Android.HiddenAds.Aegis.1, Android.HiddenAds.Aegis.4.origin, Android.HiddenAds.Aegis.7.origin и Android.HiddenAds.Aegis.1.origin.

Вторыми наиболее распространенными вредоносными программами стали трояны семейства Android.FakeApp, которые злоумышленники применяют при реализации различных мошеннических схем. В минувшем году на них пришлось 18,28% всех детектирований вредоносного ПО, что на 16,45 п. п. больше, чем годом ранее. Чаще всего такие трояны загружают нежелательные сайты, предназначенные для фишинг-атак и онлайн-мошенничества.

На третьем месте с долей 11,52% (снижение на 16,7 п. п. по сравнению с 2023 годом) расположились трояны Android.Spy, которые обладают шпионской функциональностью. Как и годом ранее, самым распространенным представителем семейства стал Android.Spy.5106 — на него пришлось 5,95% детектирований вредоносных программ.

В 2024 году наблюдалась разнонаправленная тенденция в распространении вредоносного ПО, которое предназначено для загрузки и установки других программ и способно выполнять произвольный код. Так, по сравнению с годом ранее доля загрузчиков Android.DownLoader сократилась на 0,49 п. п. до 1,69%, доля троянов Android.Mobifun снизилась на 0,15 п. п. до 0,10%, а троянов Android.Xiny — на 0,14 п. п. до 0,13%. При этом чаще детектировались трояны Android.Triada (2,74% случаев, рост на 0,6 п. п.) и Android.RemoteCode (3,78% случаев, рост на 0,95 п. п.).

Доля защищенных программными упаковщиками вредоносных приложений Android.Packed снизилась с 7,98% до 5,49%, практически вернувшись к показателю 2022 года. Также с 10,06% до 5,38% снизилось количество атак с участием рекламных троянов Android.MobiDash. В то же время несколько увеличилось число детектирований троянов-вымогателей Android.Locker (с 1,15% до 1,60%) и троянов Android.Proxy (с 0,57% до 0,81%). Последние позволяют использовать зараженные Android-устройства для перенаправления через них сетевого трафика злоумышленников. Кроме того, заметно возросла активность вредоносных программ Android.Click, способных открывать рекламные сайты и выполнять клики на веб-страницах (рост с 0,82% до 3,56%).

Десять наиболее часто детектируемых вредоносных приложений в 2024 году:

Android.FakeApp.1600: Троянская программа, которая загружает указанный в ее настройках веб-сайт. Известные модификации этого вредоносного приложения загружают сайт онлайн-казино.
Android.Spy.5106: Детектирование одного из вариантов троянской программы, представляющей собой видоизмененные версии неофициальных модификаций приложения WhatsApp. Она может похищать содержимое уведомлений, предлагать установку программ из неизвестных источников, а во время использования мессенджера — демонстрировать диалоговые окна с дистанционно настраиваемым содержимым.
Android.HiddenAds.3956
Android.HiddenAds.3851
Android.HiddenAds.655.origin
Android.HiddenAds.3994
Android.HiddenAds.657.origin: Троянские программы для показа навязчивой рекламы. Представители этого семейства часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.
Android.Click.1751: Троян, встраиваемый в модификации мессенджера WhatsApp и маскирующийся под классы библиотек от Google. Во время использования приложения-носителя Android.Click.1751 делает запросы к одному из управляющих серверов. В ответ троян получает две ссылки, одна из которых предназначена для русскоязычных пользователей, а другая - для всех остальных. Затем он демонстрирует диалоговое окно с полученным от сервера содержимым и после нажатия пользователем на кнопку подтверждения загружает соответствующую ссылку в браузере.
Android.HiddenAds.Aegis.1: Троянская программа, которая скрывает свое присутствие на Android-устройствах и показывает надоедливую рекламу. Она относится к подсемейству, которое отличается от других представителей семейства Android.HiddenAds рядом признаков. Например, такие трояны способны самостоятельно запускаться после установки. Кроме того, в них реализован механизм, позволяющий их сервисам оставаться постоянно запущенными. В ряде случаев в них также могут быть задействованы скрытые функции ОС Android.
Android.MobiDash.7815: Троянская программа, показывающая надоедливую рекламу. Она представляет собой программный модуль, который разработчики ПО встраивают в приложения.

Нежелательное ПО

Самой часто детектируемой нежелательной программой в 2024 году стала Program.FakeMoney.11. На нее пришлось более половины — 52,10% — от общего числа выявленного на защищаемых устройствах нежелательного ПО. Она принадлежит к классу приложений, которые предлагают пользователям заработать на выполнении различных заданий, но в итоге не выплачивают никаких реальных вознаграждений.

Программы, которые антивирус Dr.Web детектирует как Program.CloudInject.1, расположились на втором месте с долей 19,21% (рост на 9,75 п. п. по сравнению с годом ранее). Такие приложения проходят модификацию через облачный сервис CloudInject — к ним добавляются опасные разрешения и обфусцированный код, назначение которого нельзя проконтролировать.

Приложения Program.FakeAntiVirus.1 второй год подряд снижают активность — они стали третьими по распространенности с показателем 10,07%, что на 9,35 п. п. меньше, чем в 2023. Эти программы имитируют работу антивирусов, обнаруживают несуществующие угрозы и предлагают владельцам Android-устройств купить полную версию для «исправления» якобы выявленных проблем.

В течение года пользователи сталкивались с различными программами для наблюдения и контроля активности. Такое ПО может использоваться для сбора данных как с согласия владельцев устройств, так и без их ведома — во втором случае они фактически превращаются в шпионские инструменты. Наиболее часто на защищаемых Dr.Web устройствах обнаруживались программы для мониторинга Program.TrackView.1.origin (2,40% случаев), Program.SecretVideoRecorder.1.origin (2,03% случаев), Program.wSpy.3.origin (0,98% случаев), Program.SecretVideoRecorder.2.origin (0,90% случаев), Program.Reptilicus.8.origin (0,64% случаев), Program.wSpy.1.origin (0,39% случаев) и Program.MonitorMinor.11 (0,38% случаев).

Кроме того, распространение получили Android-программы Program.Opensite.2.origin, задачей которых является загрузка заданных сайтов и демонстрация рекламы. Их доля составила 0,60% детектирований нежелательного ПО.

Десять наиболее часто детектируемых нежелательных приложений в 2024 году:

Program.FakeMoney.11
Program.FakeMoney.7: Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Эти программы имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Обычно в них имеется список популярных платежных систем и банков, через которые якобы возможно перевести награды. Но даже когда пользователям удается накопить достаточную для вывода сумму, обещанные выплаты им не поступают. Этой записью также детектируется другое нежелательное ПО, основанное на коде таких программ.
Program.CloudInject.1: Детектирование Android-приложений, модифицированных при помощи облачного сервиса CloudInject и одноименной Android-утилиты (добавлена в вирусную базу Dr.Web как Tool.CloudInject). Такие программы модифицируются на удаленном сервере, при этом заинтересованный в их изменении пользователь (моддер) не контролирует, что именно будет в них встроено. Кроме того, приложения получают набор опасных разрешений. После модификации программ у моддера появляется возможность дистанционно управлять ими — блокировать, показывать настраиваемые диалоги, отслеживать факт установки и удаления другого ПО и т. д.
Program.FakeAntiVirus.1: Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.
Program.TrackView.1.origin: Детектирование приложения, позволяющего вести наблюдение за пользователями через Android-устройства. С помощью этой программы злоумышленники могут определять местоположение целевых устройств, использовать камеру для записи видео и создания фотографий, выполнять прослушивание через микрофон, создавать аудиозаписи и т. д.
Program.SecretVideoRecorder.1.origin
Program.SecretVideoRecorder.2.origin: Детектирование различных версий приложения для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.
Program.wSpy.3.origin: Коммерческая программа-шпион для скрытого наблюдения за владельцами Android-устройств. Она позволяет злоумышленникам читать переписку (сообщения в популярных мессенджерах и СМС), прослушивать окружение, отслеживать местоположение устройства, следить за историей веб-браузера, получать доступ к телефонной книге и контактам, фотографиям и видео, делать скриншоты экрана и фотографии через камеру устройства, а также имеет функцию кейлоггера.
Program.Reptilicus.8.origin: Приложение, позволяющее следить за владельцами Android-устройств. Оно способно контролировать местоположение устройства, собирать данные об СМС-переписке и беседах в социальных сетях, прослушивать телефонные звонки и окружение, создавать снимки экрана, отслеживать вводимую на клавиатуре информацию, копировать файлы с устройства и выполнять другие действия.
Program.Opensite.2.origin: Детектирование однотипных Android-программ, задачей которых является загрузка заданных сайтов и демонстрация рекламы. Такие приложения часто маскируются под другое ПО. Например, существуют модификации, которые распространяются под видом видеоплеера YouTube. Они загружают настоящий сайт сервиса и отображают рекламные баннеры с помощью подключенных рекламных SDK.

Потенциально опасные программы

Утилиты Tool.SilentInstaller, которые позволяют запускать Android-приложения без их установки, в минувшем году сохранили лидирующие позиции по числу детектирований потенциально опасного ПО. Суммарно на них пришлось более трети всех выявленных программ этого типа. Чаще всего на устройствах встречались модификации Tool.SilentInstaller.17.origin (16,17%), Tool.SilentInstaller.14.origin (9,80%), Tool.SilentInstaller.7.origin (3,25%) и Tool.SilentInstaller.6.origin (2,99%).

Другими распространенными потенциально опасными программами стали приложения, модифицированные при помощи утилиты NP Manager. Эта утилита встраивает в целевое ПО специальный модуль, который позволяет обходить проверку цифровой подписи после выполненной модификации. Антивирус Dr.Web детектирует такие программы как различные варианты семейства Tool.NPMod. Среди них наиболее часто выявлялись вариации Tool.NPMod.1. За год они значительно укрепили свои позиции: на их долю пришлось 16,49% детектирований потенциально опасных приложений, что на 11,68 п. п. большое, чем в 2023. При этом доля модифицированного утилитой NP Manager ПО, которое детектируется другой вирусной записью — Tool.NPMod.2, — составила 7,92%. В результате суммарно представители этого семейства были ответственны почти за четверть всех детектирований потенциально опасных программ.

Среди лидеров также оказались приложения, защищенные упаковщиком Tool.Packer.1.origin — они обнаруживались в 13,17% случаев, что на 12,38 п. п. больше по сравнению с годом ранее. Кроме того, с 3,10% до 3,93% возросло количество детектирований Tool.Androlua.1.origin. Это фреймворк, позволяющий модифицировать установленные Android-программы и исполнять Lua-скрипты, которые потенциально могут быть вредоносными.

Вместе с тем активность одного из лидеров 2023 года, семейства утилит Tool.LuckyPatcher, наоборот, несколько снизилась — с 14,02% до 8,16%. Эти утилиты позволяют модифицировать Android-программы с добавлением в них загружаемых из интернета скриптов. Реже встречались и программы, защищенные утилитой-обфускатором Tool.Obfuscapk (снижение с 3,22% до 1,05%), а также упаковщиком Tool.ApkProtector (снижение с 10,14% до 3,39%).

Десять наиболее распространенных потенциально опасных приложений, обнаруженных на Android-устройствах в 2024 году:

Tool.NPMod.1
Tool.NPMod.2: Детектирование Android-приложений, модифицированных при помощи утилиты NP Manager. В такие программы внедрен специальный модуль, который позволяет обойти проверку цифровой подписи после их модификации.
Tool.SilentInstaller.17.origin
Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin
Tool.SilentInstaller.6.origin: Потенциально опасные программные платформы, которые позволяют приложениям запускать APK-файлы без их установки. Они создают виртуальную среду исполнения, которая не затрагивает основную операционную систему.
Tool.Packer.1.origin: Специализированная утилита-упаковщик для защиты Android-приложений от модификации и обратного инжиниринга. Она не является вредоносной, но может использоваться для защиты как безобидных, так и троянских программ.
Tool.LuckyPatcher.1.origin: Утилита, позволяющая модифицировать установленные Android-приложения (создавать для них патчи) с целью изменения логики их работы или обхода тех или иных ограничений. Например, с ее помощью пользователи могут попытаться отключить проверку root-доступа в банковских программах или получить неограниченные ресурсы в играх. Для создания патчей утилита загружает из интернета специально подготовленные скрипты, которые могут создавать и добавлять в общую базу все желающие. Функциональность таких скриптов может оказаться в том числе и вредоносной, поэтому создаваемые патчи могут представлять потенциальную опасность.
Tool.Androlua.1.origin: Детектирование ряда потенциально опасных версий специализированного фреймворка для разработки Android-программ на скриптовом языке программирования Lua. Основная логика Lua-приложений расположена в соответствующих скриптах, которые зашифрованы и расшифровываются интерпретатором перед выполнением. Часто данный фреймворк по умолчанию запрашивает доступ ко множеству системных разрешений для работы. В результате исполняемые через него Lua-скрипты способны выполнять различные вредоносные действия в соответствии с полученными разрешениями.
Tool.Packer.3.origin: Детектирование Android-программ, код которых зашифрован и обфусцирован утилитой NP Manager.

Рекламные приложения

Наиболее распространенным рекламным ПО в 2024 году стало новое семейство программ Adware.ModAd — на него пришлось 47,45% детектирований. Лидеры предыдущего года, представители семейства Adware.Adpush, оказались на втором месте с долей 14,76% (снижение числа детектирований на 21,06 п. п.). На третьем месте с показателем 8,68% расположилось еще одного новое семейство рекламных приложений Adware.Basement.

Распространение также получили семейства Adware.Airpush (доля снизилась с 8,59% до 4,35%), Adware.Fictus (снижение с 4,41% до 3,29%), Adware.Leadbolt (снижение с 4,37% до 2,26%), Adware.ShareInstall (снижение с 5,04% до 1,71%). Занимавшие в 2023 году второе место рекламные программы Adware.MagicPush значительно снизили активность и не попали в первую десятку, переместившись сразу на одиннадцатую позицию с показателем 1,19% (снижение на 8,39 п. п.).

Десять наиболее распространенных рекламных приложений, обнаруженных на Android-устройствах в 2024 году:

Adware.ModAd.1: Детектирование некоторых модифицированных версий (модов) мессенджера WhatsApp, в функции которых внедрен код для загрузки заданных ссылок через веб-отображение во время работы с мессенджером. С этих интернет-адресов выполняется перенаправление на рекламируемые сайты — например, онлайн-казино и букмекеров, сайты для взрослых.
Adware.Basement.1: Приложения, демонстрирующие нежелательную рекламу, которая часто ведет на вредоносные и мошеннические сайты. Они имеют общую кодовую базу с нежелательными программами Program.FakeMoney.11.
Adware.Fictus.1
Adware.Fictus.1.origin: Рекламный модуль, который злоумышленники встраивают в версии-клоны популярных Android-игр и программ. Его интеграция в программы происходит при помощи специализированного упаковщика net2share. Созданные таким образом копии ПО распространяются через различные каталоги приложений и после установки демонстрируют нежелательную рекламу.
Adware.Adpush.21846
Adware.AdPush.39.origin: Рекламные модули, которые могут быть интегрированы в Android-программы. Они демонстрируют рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут напоминать сообщения от операционной системы. Кроме того, эти модули собирают ряд конфиденциальных данных, а также способны загружать другие приложения и инициировать их установку.
Adware.Airpush.7.origin: Программные модули, встраиваемые в Android-приложения и демонстрирующие разнообразную рекламу. В зависимости от версии и модификации это могут быть рекламные уведомления, всплывающие окна или баннеры. С помощью данных модулей злоумышленники часто распространяют вредоносные программы, предлагая установить то или иное ПО. Кроме того, такие модули передают на удаленный сервер различную конфиденциальную информацию.
Adware.ShareInstall.1.origin: Рекламный модуль, который может быть интегрирован в Android-программы. Он демонстрирует рекламные уведомления на экране блокировки ОС Android.
Adware.Youmi.4: Детектирование нежелательного рекламного модуля, который размещает рекламные ярлыки на главном экране Android-устройств.
Adware.Inmobi.1: Детектирование некоторых версий рекламного SDK Inmobi, способных совершать телефонные звонки и добавлять события в календарь Android-устройств.

Угрозы в Google Play

В 2024 году вирусные аналитики компании «Доктор Веб» выявили в каталоге Google Play свыше 200 угроз с более чем 26 700 000 суммарных загрузок. Помимо трояна Android.Click.414.origin среди них было множество других — например, рекламные трояны Android.HiddenAds. Они распространялись под видом самого разнообразного ПО: фоторедакторов, сканеров штрих-кодов, сборников картинок и даже «противоугонной» сигнализации для защиты смартфона от чужих рук. Такие трояны скрывают свои значки после установки и начинают показывать агрессивную рекламу, которая перекрывает интерфейс системы и других программ и мешает нормально пользоваться устройством.

Примеры рекламных троянов, обнаруженных в Google Play в 2024 году. Android.HiddenAds.4013 скрывался в фоторедакторе Cool Fix Photo Enhancer, Android.HiddenAds.4034 — в сборнике изображений Cool Darkness Wallpaper, Android.HiddenAds.4025 — в программе для распознавания штрих-кодов QR Code Assistant, а Android.HiddenAds.656.origin — в программе-сигнализации Warning Sound GBD

Наши специалисты также выявили различные троянские программы, которые злоумышленники защитили сложным программным упаковщиком.

В приложении Lie Detector Fun Prank скрывался троян Android.Packed.57156, а в программе Speaker Dust and Water Cleaner — троян Android.Packed.57159, защищенные упаковщиком

Другими найденными вредоносными программами стали представители семейства Android.FakeApp, которые используются в различных мошеннических схемах. Основная задача большинства таких троянов — открыть заданную ссылку, при этом при определенных условиях они также могут работать и как заявленное ПО. Многие из них распространялись под видом различных финансовых программ (например, справочников и обучающих пособий, калькуляторов доходности, приложений для доступа к биржевой торговле, инструментов для ведения домашней бухгалтерии), записных книжек, дневников, программ для участия в викторинах и опросах и прочих. Они загружали мошеннические сайты инвестиционной тематики.

Примеры троянов Android.FakeApp, которые загружали ссылки на мошеннические сайты: Android.FakeApp.1681 (SenseStrategy), Android.FakeApp.1708 (QuntFinanzas)

Часть программ-подделок Android.FakeApp распространялись под видом всевозможных игр. Многие из них также могли предоставлять заявленную функциональность, но их главной задачей была загрузка сайтов онлайн-казино и букмекеров.

Примеры выдаваемых за игры троянов Android.FakeApp, которые загружали ссылки на сайты букмекеров и онлайн-казино: Android.FakeApp.1622 (3D Card Merge Game), Android.FakeApp.1630 (Crazy Lucky Candy)

Некоторые трояны этого семейства были вновь замаскированы под приложения для поиска работы. Такие программы-подделки загружают поддельные списки вакансий и предлагают пользователям составить «резюме», предоставив персональные данные. В других случаях трояны могут предложить потенциальным жертвам связаться с «работодателем» через мессенджер. На самом деле потенциальные жертвы напишут преступникам, которые попытаются заманить их в ту или иную мошенническую схему.

Примеры троянов Android.FakeApp, которые мошенники выдавали за программы для поиска работы: Android.FakeApp.1627 (Aimer), Android.FakeApp.1703 (FreeEarn)

Кроме того, в Google Play были обнаружены очередные троянские приложения, подписывающие пользователей на платные услуги. Одним из них был Android.Subscription.22 — он распространялся под видом фоторедактора InstaPhoto Editor.

Троян Android.Subscription.22, предназначенный для подписки пользователей на платные услуги

Другими такими троянами были представители родственных семейств Android.Joker и Android.Harly, имеющих модульную архитектуру. Первые способны скачивать вспомогательные компоненты из интернета, а вторые отличаются тем, что обычно хранят необходимые модули в зашифрованном виде среде своих ресурсов.

Примеры программ, которые подписывали жертв на платные услуги. Android.Joker.2280 скрывался в приложении с гороскопами My Horoscope, а Android.Harly.87 — в игре BlockBuster

Помимо вредоносных программ специалисты «Доктор Веб» обнаружили в Google Play новое нежелательное ПО, среди которого были различные модификации Program.FakeMoney.11 и Program.FakeMoney.14. Эти программы относятся к семейству приложений, которые предлагают пользователям за виртуальные вознаграждения выполнять различные задания (зачастую просматривать рекламу). Вознаграждения в дальнейшем якобы можно конвертировать в настоящие деньги или призы, но для вывода «заработанного» от пользователя требуется накопить определенную сумму. Однако даже в случае успеха реальных выплат он в итоге не получает.

Один из вариантов Program.FakeMoney.11 распространялся в виде игры Copper Boom, а Program.FakeMoney.14 был представлен игрой Merge Party

Кроме того, в течение года в Google Play наши вирусные аналитики выявляли новые рекламные программы. В их числе были приложения и игры со встроенным рекламным модулем Adware.StrawAd, способным демонстрировать объявления от различных поставщиков услуг.

Примеры игр с рекламным модулем Adware.StrawAd: Crazy Sandwich Runner (Adware.StrawAd.1), Poppy Punch Playtime (Adware.StrawAd.3), Finger Heart Matching (Adware.StrawAd.6), Toimon Battle Playground (Adware.StrawAd.9)

В Google Play также распространялись рекламные приложения Adware.Basement, объявления от которых часто ведут на вредоносные и мошеннические сайты. Примечательно, что это семейство имеет общую кодовую базу с нежелательными программами Program.FakeMoney.11.

Примеры нежелательных рекламных программ Adware.Basement: Lie Detector: Lie Prank Test, TapAlarm:Don't touch my phone и Magic Voice Changer — Adware.Basement.1, Auto Clicker:Tap Auto — Adware.Basement.2

Банковские трояны

По данным статистики детектирований Dr.Web Security Space для мобильных устройств в 2024 году доля банковских троянов от общего числа зафиксированных вредоносных программ составила 6,29%, что на 2,71 п. п. больше, чем годом ранее. С января их активность планомерно снижалась, но c середины весны количество атак вновь стало расти. В течение III квартала их активность оставалась практически неизменной, после чего продолжила увеличиваться, достигнув годового максимума в ноябре.

В 2024 году широкое распространение вновь получили известные семейства банковских троянов. Среди них — вредоносные программы Coper, Hydra (Android.BankBot.1048.origin, Android.BankBot.563.origin), Ermac (Android.BankBot.1015.origin, Android.BankBot.15017), Alien (Android.BankBot.745.origin, Android.BankBot.1078.origin), Anubis (Android.BankBot.670.origin). Кроме того, наблюдались атаки с использованием семейств Cerberus (Android.BankBot.11404), GodFather (Android.BankBot.GodFather.3, Android.BankBot.GodFather.14.origin) и Zanubis (Android.BankBot.Zanubis.7.origin).

В течение года злоумышленники активно распространяли троянов-шпионов Android.SpyMax, которые обладают широким набором вредоносных функций, в том числе возможностью удаленно управлять зараженными устройствами. Они широко применяются и в качестве банковских троянов. Это семейство изначально включало многофункционального RAT-трояна SpyNote (RAT — Remote Administration Trojan, троян удаленного доступа). Однако после утечки его исходного кода на его основе стали появляться всевозможные модификации — например, CraxsRAT и G700 RAT. Статистика детектирований Dr.Web Security Space для мобильных устройств показывает, что представители этого семейства активизировались во второй половине 2023 года, и с тех пор число их детектирований продолжало расти практически каждый месяц. Данная тенденция пока сохраняется.

Трояны Android.SpyMax нацелены на пользователей по всему миру. В минувшем году они были замечены в том числе в многочисленных атаках на российских пользователей — 46,23% детектирований семейства пришлось именно на данную аудиторию. Также эти вредоносные программы наиболее активно распространялись среди бразильских (35,46% детектирований) и турецких (5,80% детектирований) владельцев Android-устройств.

Примечательно, что распространение этих вредоносных программ в России в основном происходит не при помощи спама или классических вариантов фишинга, а в ходе одного из этапов телефонного мошенничества. Вначале звонящие поте

Комментарии (0)

<a href="https://www.liveinternet.ru/users/rss_drweb_viruses/post509242371/">Р”РѕРєС‚РѕСЂ, РѕС‚РєСѓРґР° Сѓ РІР°СЃ С‚Р°РєРёРµ РєР°СЂС‚РёРЅРєРё? РСЃРїРѕР»СЊР·РѕРІР°РЅРёРµ СЃС‚РµРіР°РЅРѕРіСЂР°С„РёРё РїСЂРё РґРѕР±С‹С‡Рµ РєСЂРёРїС‚РѕРІР°Р»СЋС‚С‹</a> 24 СЏРЅРІР°СЂСЏ 2025 РіРѕРґР°
Р’ С…РѕРґРµ Р°РЅР°Р»РёР·Р° РґР°РЅРЅС‹С… С‚РµР»РµРјРµС‚СЂРёРё СЃРїРµС†РёР°Р»РёСЃС‚С‹ РІРёСЂСѓСЃРЅРѕР№ Р»Р°Р±РѕСЂР°С‚РѕСЂРёРё В«Р”РѕРєС‚РѕСЂ Р’РµР±В» РІС‹СЏРІРёР»Рё РѕР±СЂР°Р·С†С‹ РІСЂРµРґРѕРЅРѕСЃРЅРѕРіРѕ РџРћ, РєРѕС‚РѕСЂС‹Рµ РїСЂРё Р±Р»РёР¶Р°Р№С€РµРј СЂР°СЃСЃРјРѕС‚СЂРµРЅРёРё РѕРєР°Р·Р°Р»РёСЃСЊ РєРѕРјРїРѕРЅРµРЅС‚Р°РјРё Р°РєС‚РёРІРЅРѕР№ РєР°РјРїР°РЅРёРё РїРѕ РјР°Р№РЅРёРЅРіСѓ РєСЂРёРїС‚РѕРІР°Р»СЋС‚С‹ Monero. РС‚Р° РєР°РјРїР°РЅРёСЏ РїСЂРёРјРµС‡Р°С‚РµР»СЊРЅР° С‚РµРј, С‡С‚Рѕ СЂРµР°Р»РёР·РѕРІР°РЅР° РІ РІРёРґРµ СЂСЏРґР° РІСЂРµРґРѕРЅРѕСЃРЅС‹С… С†РµРїРѕС‡РµРє, РґРІРµ РёР· РєРѕС‚РѕСЂС‹С… РїРѕСЃС‚СЂРѕРµРЅС‹ РЅР° Р·Р°РїСѓСЃРєРµ СЃРєСЂРёРїС‚РѕРІ, РёР·РІР»РµРєР°СЋС‰РёС… РІСЂРµРґРѕРЅРѕСЃРЅСѓСЋ РЅР°РіСЂСѓР·РєСѓ РёР· С„Р°Р№Р»РѕРІ РёР·РѕР±СЂР°Р¶РµРЅРёР№ РІ С„РѕСЂРјР°С‚Рµ BMP.

РќР°С‡Р°Р»Рѕ РєР°РјРїР°РЅРёРё Р±С‹Р»Рѕ РїРѕР»РѕР¶РµРЅРѕ, РІРµСЂРѕСЏС‚РЅРѕ, РІ 2022 РіРѕРґСѓ, РєРѕРіРґР° Р±С‹Р» РѕР±РЅР°СЂСѓР¶РµРЅ РёСЃРїРѕР»РЅСЏРµРјС‹Р№ С„Р°Р№Р» Services.exe, СЏРІР»СЏСЋС‰РёР№СЃСЏ .NET-РїСЂРёР»РѕР¶РµРЅРёРµРј, Р·Р°РїСѓСЃРєР°СЋС‰РёРј СЃС†РµРЅР°СЂРёР№ VBscri... <a href="https://www.liveinternet.ru/users/rss_drweb_viruses/post509242371/">Р§РёС‚Р°С‚СЊ РґР°Р»РµРµ...</a>

Доктор, откуда у вас такие картинки? Использование стеганографии при добыче криптовалюты

Пятница, 24 Января 2025 г. 16:00 + в цитатник

24 января 2025 года

В ходе анализа данных телеметрии специалисты вирусной лаборатории «Доктор Веб» выявили образцы вредоносного ПО, которые при ближайшем рассмотрении оказались компонентами активной кампании по майнингу криптовалюты Monero. Эта кампания примечательна тем, что реализована в виде ряда вредоносных цепочек, две из которых построены на запуске скриптов, извлекающих вредоносную нагрузку из файлов изображений в формате BMP.

Начало кампании было положено, вероятно, в 2022 году, когда был обнаружен исполняемый файл Services.exe, являющийся .NET-приложением, запускающим сценарий VBscript. Этот сценарий реализует функции бэкдора, связываясь с сервером злоумышленников и выполняя скрипты и файлы, присланные в ответ. Так, на компьютер жертвы скачивался вредоносный файл ubr.txt, являвшийся скриптом для интерпретатора PowerShell, у которого было изменено расширение с ps1 на txt.

Скрипт ubr.txt проверяет наличие майнеров, которые могли быть уже установлены на скомпрометированной машине, и заменяет их на необходимые злоумышленникам версии. Устанавливаемые скриптом файлы представляют собой майнер SilentCryptoMiner и его настройки, с помощью которого хакеры добывали криптовалюту Monero.

Мы уже неоднократно писали об использовании этого майнера злоумышленниками, для которых привлекательна его простота конфигурации, расширенные возможности по добыче различных типов криптовалют и маскировке от диагностических утилит, а также поддержка удаленного управления всеми майнерами в ботнете посредством веб-панели.

В рамках этой кампании файлы майнера маскируются под различное ПО, в частности для проведения видеозвонков в Zoom (ZoomE.exe и ZoomX.exe) или службы Windows (Service32.exe и Service64.exe) и т. д. Несмотря на то, что существует несколько наборов вредоносных файлов, имеющих разные имена, все они выполняют одинаковые задачи — удаление других майнеров, установка нового майнера и доставка обновлений для него.

PowerShell-скрипт ubr.txt

Дополнительно майнер обращается к домену getcert[.]net, на котором расположен файл m.txt с настройками добычи криптовалюты. Этот ресурс также задействован и в других цепочках.

Файл m.txt, содержащий настройки майнера

В дальнейшем мошенники видоизменили методологию атаки, сделав её значительно более интересной и подключив средства стеганографии.

Стеганография — метод сокрытия одной информации внутри другой. В отличие от криптографии, когда зашифрованные данные могут привлечь внимание, стеганография позволяет незаметно скрыть информацию, например, в изображении. Многие эксперты по кибербезопасности полагают, что популярность использования стеганографии для обхода средств защиты будет набирать обороты.

Изображение слева (автор исходного фото: Marek Piwnicki) содержит в себе скрытое изображение с логотипом компании «Доктор Веб»

Вторая, более новая, цепочка реализована посредством трояна Amadey, который запускает PowerShell-скрипт Async.ps1, скачивающий изображения в формате BMP с легитимного хостинга изображений imghippo.com. С помощью стеганографических алгоритмов из изображений извлекаются два исполняемых файла: стилер Trojan.PackedNET.2429 и полезная нагрузка, которая:

отключает запрос UAC на повышение прав для администраторов,
вносит множество исключений во встроенный антивирус Windows Defender,
отключает уведомления в Windows,
создает новую задачу по пути \Microsoft\Windows\WindowsBackup\ с именем 'User'.

Содержимое скрипта Async1.ps

В ходе выполнения задачи происходит обращение к доменам злоумышленников, в записи DNS TXT которых содержится адрес хранения последующей полезной нагрузки. После ее скачивания происходит распаковка архива с изображениями в формате BMP и запуск следующих файлов:

Cleaner.txt — PowerShell-скрипт, удаляющий любые другие майнеры,
m.txt — PowerShell-скрипт, извлекающий полезную нагрузку из изображений m.bmp и IV.bmp. Нагрузка внутри изображений является майнером SilentCryptoMiner и запускающим его инжектором,
Net.txt — скрипт, который читает запись DNS TXT у доменов windowscdn[.]site и buyclients[.]xyz. В этой записи находится ссылка на полезную нагрузку, ведущая на сервис raw.githack[.]com.

Запись DNS TXT представляет собой расширение стандартной записи DNS и содержит текст, который в легитимных целях используется для верификации домена. Тем не менее, владелец домена может внести туда произвольные данные — например, как в данном случае, ссылку на полезную нагрузку.

Содержимое архива с вредоносными изображениями

Модули майнера постоянно развиваются. В последнее время авторы перешли к использованию легитимных ресурсов для размещения вредоносных изображений и платформу GitHub для хранения полезной нагрузки. Кроме того, были найдены модули, проверяющие факт запуска в песочницах и на виртуальных машинах.

Модуль, проверяющий имена запущенных приложений на соответствие названиям популярных инструментов, используемых исследователями кибербезопасности

Один из кошельков, указанный в настройках майнера, был создан в мае 2022 года, и к сегодняшнему дню на него было перечислено 340 XMR. Однако курс данной криптовалюты переживает период существенной волатильности, так что прибыль мошенников может составлять от 6 до 7,5 миллионов рублей. Судя по волнообразности хешрейта, что свидетельствует о регулярном включении и выключении компьютеров, в данной майнинговой кампании участвуют в основном рядовые пользователи, находящиеся в одной группе часовых поясов. В среднем хешрейт составляет 3,3 млн хешей в секунду, что позволяет скомпрометированным машинам приносить злоумышленникам по 1 XMR в 40 часов.

Эта кампания — лишь верхушка айсберга в мире киберугроз, построенных на средствах стеганографии, и она подчеркивает, насколько важно быть бдительными в цифровом пространстве. Рекомендации компании «Доктор Веб» остаются неизменными: устанавливайте программное обеспечение только из надёжных источников, не открывайте подозрительные ссылки и не отключайте антивирусную защиту при скачивании файлов из интернета.

Схема атаки

Индикаторы компрометации

Подробнее о SilentCryptoMiner

Подробнее о PowerShell.Starter.98

Подробнее о PowerShell.DownLoader.1640

Подробнее о Trojan.PackedNET.2429

Подробнее о VBS.DownLoader.2822

https://news.drweb.ru/show/?i=14976&lng=ru&c=9

Комментарии (0)

<a href="https://www.liveinternet.ru/users/rss_drweb_viruses/post508849424/">В«Р”РѕРєС‚РѕСЂ Р’РµР±В»: РѕР±Р·РѕСЂ РІРёСЂСѓСЃРЅРѕР№ Р°РєС‚РёРІРЅРѕСЃС‚Рё РІ IV РєРІР°СЂС‚Р°Р»Рµ 2024 РіРѕРґР°</a>

26 РґРµРєР°Р±СЂСЏ 2024 РіРѕРґР°

РЎРѕРіР»Р°СЃРЅРѕ СЃС‚Р°С‚РёСЃС‚РёРєРµ РґРµС‚РµРєС‚РёСЂРѕРІР°РЅРёР№ Р°РЅС‚РёРІРёСЂСѓСЃР° Dr.Web, РІ IV РєРІР°СЂС‚Р°Р»Рµ 2024 РіРѕРґР° РѕР±С‰РµРµ С‡РёСЃР»Рѕ РѕР±РЅР°СЂСѓР¶РµРЅРЅС‹С… СѓРіСЂРѕР· СЃРЅРёР·РёР»РѕСЃСЊ РЅР° 1,53% РїРѕ СЃСЂР°РІРЅРµРЅРёСЋ СЃ III РєРІР°СЂС‚Р°Р»РѕРј. РџСЂРё СЌС‚РѕРј С‡РёСЃР»Рѕ СѓРЅРёРєР°Р»СЊРЅС‹С… СѓРіСЂРѕР· СѓРІРµР»РёС‡РёР»РѕСЃСЊ РЅР° 94,43%. Р§Р°С‰Рµ РІСЃРµРіРѕ РґРµС‚РµРєС‚РёСЂРѕРІР°Р»РёСЃСЊ СЂРµРєР»Р°РјРЅС‹Рµ РїСЂРёР»РѕР¶РµРЅРёСЏ Рё СЂРµРєР»Р°РјРЅС‹Рµ С‚СЂРѕСЏРЅС‹, РІСЂРµРґРѕРЅРѕСЃРЅС‹Рµ СЃРєСЂРёРїС‚С‹, Р° С‚Р°РєР¶Рµ С‚СЂРѕСЏРЅС‹, СЂР°СЃРїСЂРѕСЃС‚СЂР°РЅСЏСЋС‰РёРµСЃСЏ РІ СЃРѕСЃС‚Р°РІРµ РґСЂСѓРіРёС… РІСЂРµРґРѕРЅРѕСЃРЅС‹С… РїСЂРёР»РѕР¶РµРЅРёР№ Рё РїСЂРёРјРµРЅСЏСЋС‰РёРµСЃСЏ РґР»СЏ Р·Р°С‚СЂСѓРґРЅРµРЅРёСЏ РёС… РѕР±РЅР°СЂСѓР¶РµРЅРёСЏ. Р’ РїРѕС‡С‚РѕРІРѕРј С‚СЂР°С„РёРєРµ РЅР°РёР±РѕР»РµРµ С‡Р°СЃС‚Рѕ РІС‹СЏРІР»СЏР»РёСЃСЊ РІСЂРµРґРѕРЅРѕСЃРЅС‹Рµ СЃРєСЂРёРїС‚С‹, СЂРµРєР»Р°РјРЅС‹Рµ С‚СЂРѕСЏРЅС‹ Рё С‚СЂРѕСЏРЅС‹-РјР°Р№РЅРµСЂС‹. РљСЂРѕРјРµ С‚РѕРіРѕ, РѕС‚РјРµС‡Р°Р»Р°СЃСЊ РїРѕРІС‹С€РµРЅРЅР°СЏ Р°РєС‚РёРІРЅРѕСЃС‚СЊ РІ... <a href="https://www.liveinternet.ru/users/rss_drweb_viruses/post508849424/">Р§РёС‚Р°С‚СЊ РґР°Р»РµРµ...</a>

«Доктор Веб»: обзор вирусной активности в IV квартале 2024 года

Четверг, 26 Декабря 2024 г. 22:00 + в цитатник

26 декабря 2024 года

Согласно статистике детектирований антивируса Dr.Web, в IV квартале 2024 года общее число обнаруженных угроз снизилось на 1,53% по сравнению с III кварталом. При этом число уникальных угроз увеличилось на 94,43%. Чаще всего детектировались рекламные приложения и рекламные трояны, вредоносные скрипты, а также трояны, распространяющиеся в составе других вредоносных приложений и применяющиеся для затруднения их обнаружения. В почтовом трафике наиболее часто выявлялись вредоносные скрипты, рекламные трояны и трояны-майнеры. Кроме того, отмечалась повышенная активность вредоносных программ со шпионской функциональностью.

Пользователи, чьи файлы были затронуты троянами-шифровальщиками, чаще всего сталкивались с энкодерами Trojan.Encoder.35534, Trojan.Encoder.35067 и Trojan.Encoder.26996.

На Anroid-устройствах самыми распространенными угрозами вновь стали рекламные трояны Android.HiddenAds. В то же время наши вирусные аналитики выявили в каталоге Google Play множество новых вредоносных программ.

Главные тенденции IV квартала

Рекламные приложения и рекламные трояны остались лидерами по числу детектирований
Уникальных угроз по сравнению с предыдущим кварталом стало больше
Повышенная активность троянских программ-шпионов в почтовом трафике
Распространение множества троянских программ через Google Play

По данным сервиса статистики «Доктор Веб»

Наиболее распространенные угрозы IV квартала:

Adware.Downware.20091: Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.
VBS.KeySender.6: Вредоносный скрипт, который в бесконечном цикле ищет окна с текстом mode extensions, разработчика и розробника и шлет им событие нажатия кнопки Escape, принудительно закрывая их.
JS.Siggen5.44590: Вредоносный код, добавленный в публичную JavaScript-библиотеку es5-ext-main. Демонстрирует определенное сообщение, если пакет установлен на сервер с часовым поясом российских городов.
Trojan.BPlug.4210: Детектирование вредоносного компонента браузерного расширения WinSafe. Этот компонент представляет собой сценарий JavaScript, который демонстрирует навязчивую рекламу в браузерах.
Trojan.Starter.8242: Вредоносная программа, обеспечивающая запуск трояна-майнера.

Статистика вредоносных программ в почтовом трафике

JS.Siggen5.44590: Вредоносный код, добавленный в публичную JavaScript-библиотеку es5-ext-main. Демонстрирует определенное сообщение, если пакет установлен на сервер с часовым поясом российских городов.
JS.Inject: Семейство вредоносных сценариев, написанных на языке JavaScript. Они встраивают вредоносный скрипт в HTML-код веб-страниц.
LNK.Starter.56: Детектирование специальным образом сформированного ярлыка, который распространяется через съемные накопители и для введения пользователей в заблуждение имеет значок диска. При его открытии происходит запуск вредоносных VBS-скриптов из скрытого каталога, расположенного на том же носителе, что и сам ярлык.
Win32.HLLW.Rendoc.3: Сетевой червь, распространяющийся в том числе через съемные носители информации.
Trojan.Fbng.123: Троянская программа-шпион, также известная как Formbook. Предназначена для кражи различных данных с зараженных устройств. Она похищает сохраненные пароли в браузерах, email-клиентах, онлайн-мессенджерах и другом ПО, перехватывает вводимые данные в веб-формах, отслеживает нажатия на клавиатуре (реализует функцию кейлоггера), создает скриншоты. Кроме того, она способна загружать и запускать другие программы, а также выполнять различные команды злоумышленников, работая как бэкдор.

Шифровальщики

В IV квартале 2024 года число запросов на расшифровку файлов, затронутых троянскими программами-шифровальщиками, снизилось на 18,96% по сравнению с III кварталом.

Динамика поступления запросов на расшифровку в службу технической поддержки «Доктор Веб»:

Наиболее распространенные энкодеры IV квартала:

Trojan.Encoder.35534 — 22.63% обращений пользователей
Trojan.Encoder. 35067 — 3.91% обращений пользователей
Trojan.Encoder.26996 — 3.35% обращений пользователей
Trojan.Encoder.35209 — 3.07% обращений пользователей
Trojan.Encoder.38200 — 3.07% обращений пользователей

Сетевое мошенничество

В IV квартале 2024 года актуальной осталась мошенническая схема, в которой злоумышленники на специально созданных сайтах предлагали потенциальным жертвам заработать с помощью различных инвестиций. Для «доступа» к инвестиционным сервисам у пользователей запрашивается регистрация с указанием персональных данных, которые затем оказываются в руках мошенников. С такими сайтами сталкивались жители различных стран.

Мошеннический сайт, якобы имеющий отношение к Всемирному банку, обещает европейцам дивиденды за инвестирование в перспективные секторы экономики

Мошеннический сайт предлагает словацким пользователям «заработать более $192 460 в месяц» с помощью некоего инвестиционного сервиса

Мошенники выдают себя за крупные банки и нефтегазовые компании и предлагают пользователям из Армении и Молдовы «заработать на акциях»

Поддельный сайт азербайджанской нефтегазовой компании, где посетителям обещают заработок от 1000 манат в месяц

Сайт «новой инвестиционной платформы от Google» предлагает пройти опрос и получить доступ к сервису, якобы позволяющему зарабатывать от €1000

Один из мошеннических сайтов обещает российским пользователям «безопасный пассивный доход» от 150 000 рублей в месяц

Специалисты «Доктор Веб» отметили и сезонное изменение содержимого подобных сайтов. Так, в преддверии новогодних праздников мошенники стали чаще прибегать к тематике подарков якобы от имени банков, нефтегазовых компаний, криптобирж и других организаций. Например, на одном из поддельных интернет-ресурсов российские пользователи якобы могли получить денежные выплаты от криптобиржи в соответствии с некими «списками». А для проверки доступности такой выплаты от них требовалось пройти опрос и указать персональные данные.

Поддельный сайт криптобиржи предлагает российским пользователям получить «новогодние выплаты»

Другой поддельный сайт сообщал о некоем «новогоднем предложении» от нефтегазовой компании, в рамках которого многие пользователи из Казахстана в честь Дня независимости страны якобы могли начать получать от 200 000 до 1 000 000 тенге в месяц. Для «получения» выплат потенциальные жертвы должны были подать «заявку», указав свои персональные данные на сайте.

Мошеннический сайт обещает казахстанским пользователям крупные выплаты в честь Дня независимости в рамках «новогоднего предложения»

Вместе с тем наши интернет-аналитики зафиксировали появление поддельных сайтов российских банков, где потенциальным жертвам предлагается принять участие в опросе о качестве обслуживания и якобы получить за это денежное вознаграждение. Для этого у пользователей запрашиваются персональные данные, такие как имя, фамилия и отчество, привязанный к учетной записи банка номер мобильного телефона, а также номер банковской карты.

Пример поддельного сайта банка, который копирует оформление настоящего сайта кредитной организации и предлагает потенциальным жертвам пройти опрос за вознаграждение

Для «участия» в опросе пользователь должен заполнить форму, предоставив свои данные

Кроме того, были выявлены мошеннические сайты, предлагающие пройти онлайн-обучение — например, программированию. Заинтересовавшимся посетителям предлагалось оставить контактные данные для «получения консультации».

Сайт, предлагающий онлайн-курсы по программированию. Для «получения консультации» пользователи должны указать персональные данные.

Интернет-мошенники не оставляют попыток похитить учетные записи Telegram. Так, в IV квартале 2024 года были обнаружены очередные фишинговые сайты, замаскированные под различные онлайн-голосования — например, в «конкурсах детских рисунков». Для «подтверждения» голоса пользователи должны указать номер мобильного телефона, на который поступит проверочный код. Однако, указав этот код на поддельном сайте, они открывают мошенникам доступ к своим учетным записям.

Сайт мошенников, на котором посетителям предлагается проголосовать в детском конкурсе рисунков

«Система учета голосов» требует номер мобильного телефона для «подтверждения голоса» и отправки одноразового кода

При вводе полученного кода жертвы предоставляют мошенникам доступ к своим учетным записям Telegram

Узнайте больше о нерекомендуемых Dr.Web сайтах

Вредоносное и нежелательное ПО для мобильных устройств

Согласно данным статистики детектирований Dr.Web Security Space для мобильных устройств, в IV квартале 2024 года пользователи чаще всего сталкивались с рекламными троянами Android.HiddenAds, вредоносными приложениями Android.FakeApp и Android.Siggen. Вместе с тем за прошедший период специалисты компании «Доктор Веб» обнаружили множество новых угроз в каталоге Google Play.

Наиболее заметные события, связанные с «мобильной» безопасностью в IV квартале:

высокая активность рекламных троянов Android.HiddenAds и мошеннических вредоносных программ Android.FakeApp,
появление новых вредоносных приложений в каталоге Google Play.

Более подробно о вирусной обстановке для мобильных устройств в IV квартале 2024 года читайте в нашем обзоре.

https://news.drweb.ru/show/?i=14959&lng=ru&c=9

Комментарии (0)

<a href="https://www.liveinternet.ru/users/rss_drweb_viruses/post508849423/">В«Р”РѕРєС‚РѕСЂ Р’РµР±В»: РѕР±Р·РѕСЂ РІРёСЂСѓСЃРЅРѕР№ Р°РєС‚РёРІРЅРѕСЃС‚Рё РґР»СЏ РјРѕР±РёР»СЊРЅС‹С… СѓСЃС‚СЂРѕР№СЃС‚РІ РІ IV РєРІР°СЂС‚Р°Р»Рµ 2024 РіРѕРґР°</a>

26 РґРµРєР°Р±СЂСЏ 2024 РіРѕРґР°

РЎРѕРіР»Р°СЃРЅРѕ РґР°РЅРЅС‹Рј СЃС‚Р°С‚РёСЃС‚РёРєРё РґРµС‚РµРєС‚РёСЂРѕРІР°РЅРёР№ Dr.Web Security Space РґР»СЏ РјРѕР±РёР»СЊРЅС‹С… СѓСЃС‚СЂРѕР№СЃС‚РІ, РІ IV РєРІР°СЂС‚Р°Р»Рµ 2024 РіРѕРґР° РЅР°РёР±РѕР»РµРµ СЂР°СЃРїСЂРѕСЃС‚СЂР°РЅРµРЅРЅС‹РјРё РІСЂРµРґРѕРЅРѕСЃРЅС‹РјРё РїСЂРѕРіСЂР°РјРјР°РјРё СЃС‚Р°Р»Рё СЂРµРєР»Р°РјРЅС‹Рµ С‚СЂРѕСЏРЅС‹ Android.HiddenAds. Р—Р° РЅРёРјРё СЂР°СЃРїРѕР»РѕР¶РёР»РёСЃСЊ РёСЃРїРѕР»СЊР·СѓРµРјС‹Рµ РІ РјРѕС€РµРЅРЅРёС‡РµСЃРєРёС… С†РµР»СЏС… РІСЂРµРґРѕРЅРѕСЃРЅС‹Рµ РїСЂРёР»РѕР¶РµРЅРёСЏ Android.FakeApp. РўСЂРѕР№РєСѓ Р»РёРґРµСЂРѕРІ Р·Р°РјС‹РєР°Р»Рё С‚СЂРѕСЏРЅС‹ Android.Siggen СЃ СЂР°Р·Р»РёС‡РЅРѕР№ РІСЂРµРґРѕРЅРѕСЃРЅРѕР№ С„СѓРЅРєС†РёРѕРЅР°Р»СЊРЅРѕСЃС‚СЊСЋ.
 Р’ С‚РµС‡РµРЅРёРµ РєРІР°СЂС‚Р°Р»Р° РІРёСЂСѓСЃРЅС‹Рµ Р°РЅР°Р»РёС‚РёРєРё РєРѕРјРїР°РЅРёРё В«Р”РѕРєС‚РѕСЂ Р’РµР±В» РІС‹СЏРІРёР»Рё РјРЅРѕР¶РµСЃС‚РІРѕ СѓРіСЂРѕР· РІ РєР°С‚Р°Р»РѕРіРµ Google Play. РЎСЂРµРґРё РЅРёС… Р±С‹Р»Рё РјРЅРѕРіРѕС‡РёСЃР»РµРЅРЅС‹Рµ С‚СЂРѕСЏРЅС‹ Android.FakeApp, Р° С‚Р°РєР¶Рµ РІСЂРµРґРѕРЅРѕ... <a href="https://www.liveinternet.ru/users/rss_drweb_viruses/post508849423/">Р§РёС‚Р°С‚СЊ РґР°Р»РµРµ...</a>

«Доктор Веб»: обзор вирусной активности для мобильных устройств в IV квартале 2024 года

Четверг, 26 Декабря 2024 г. 04:00 + в цитатник

26 декабря 2024 года

Согласно данным статистики детектирований Dr.Web Security Space для мобильных устройств, в IV квартале 2024 года наиболее распространенными вредоносными программами стали рекламные трояны Android.HiddenAds. За ними расположились используемые в мошеннических целях вредоносные приложения Android.FakeApp. Тройку лидеров замыкали трояны Android.Siggen с различной вредоносной функциональностью.

В течение квартала вирусные аналитики компании «Доктор Веб» выявили множество угроз в каталоге Google Play. Среди них были многочисленные трояны Android.FakeApp, а также вредоносные программы семейств Android.Subscription и Android.Joker, которые подписывали пользователей на платные услуги. Были зафиксированы очередные рекламные трояны Android.HiddenAds. Кроме того, злоумышленники распространяли вредоносные приложения, защищенные сложным упаковщиком.

ГЛАВНЫЕ ТЕНДЕНЦИИ IV КВАРТАЛА

Высокая активность рекламных троянов Android.HiddenAds и мошеннических программ Android.FakeApp
Распространение множества вредоносных приложений через каталог Google Play

По данным Dr.Web Security Space для мобильных устройств

Android.FakeApp.1600: Троянская программа, которая загружает указанный в ее настройках веб-сайт. Известные модификации этого вредоносного приложения загружают сайт онлайн-казино.
Android.HiddenAds.655.origin
Android.HiddenAds.657.origin: Троянские программы для показа навязчивой рекламы. Представители семейства Android.HiddenAds часто распространяются под видом безобидных приложений и в некоторых случаях устанавливаются в системный каталог другим вредоносным ПО. Попадая на Android-устройства, такие рекламные трояны обычно скрывают от пользователя свое присутствие в системе — например, «прячут» значок приложения из меню главного экрана.
Android.Packed.57083: Детектирование вредоносных приложений, защищенных программным упаковщиком ApkProtector. Среди них встречаются банковские трояны, шпионское и другое вредоносное ПО.
Android.Click.1751: Троян, встраиваемый в модификации мессенджера WhatsApp и маскирующийся под классы библиотек от Google. Во время использования приложения-носителя Android.Click.1751 делает запросы к одному из управляющих серверов. В ответ троян получает две ссылки, одна из которых предназначена для русскоязычных пользователей, а другая - для всех остальных. Затем он демонстрирует диалоговое окно с полученным от сервера содержимым и после нажатия пользователем на кнопку подтверждения загружает соответствующую ссылку в браузере.

Program.FakeMoney.11: Детектирование приложений, якобы позволяющих зарабатывать на выполнении тех или иных действий или заданий. Эти программы имитируют начисление вознаграждений, причем для вывода «заработанных» денег требуется накопить определенную сумму. Обычно в них имеется список популярных платежных систем и банков, через которые якобы возможно перевести награды. Но даже когда пользователям удается накопить достаточную для вывода сумму, обещанные выплаты не поступают. Этой записью также детектируется другое нежелательное ПО, основанное на коде таких программ.
Program.FakeAntiVirus.1: Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.
Program.CloudInject.1: Детектирование Android-приложений, модифицированных при помощи облачного сервиса CloudInject и одноименной Android-утилиты (добавлена в вирусную базу Dr.Web как Tool.CloudInject). Такие программы модифицируются на удаленном сервере, при этом заинтересованный в их изменении пользователь (моддер) не контролирует, что именно будет в них встроено. Кроме того, приложения получают набор опасных разрешений. После модификации программ у моддера появляется возможность дистанционно управлять ими — блокировать, показывать настраиваемые диалоги, отслеживать факт установки и удаления другого ПО и т. д.
Program.TrackView.1.origin: Детектирование приложения, позволяющего вести наблюдение за пользователями через Android-устройства. С помощью этой программы злоумышленники могут определять местоположение целевых устройств, использовать камеру для записи видео и создания фотографий, выполнять прослушивание через микрофон, создавать аудиозаписи и т. д.
Program.SecretVideoRecorder.1.origin: Детектирование различных версий приложения для фоновой фото- и видеосъемки через встроенные камеры Android-устройств. Эта программа может работать незаметно, позволяя отключить уведомления о записи, а также изменять значок и описание приложения на фальшивые. Такая функциональность делает ее потенциально опасной.

Tool.NPMod.1: Детектирование Android-приложений, модифицированных при помощи утилиты NP Manager. В такие программы внедрен специальный модуль, который позволяет обойти проверку цифровой подписи после их модификации.
Tool.SilentInstaller.14.origin: Потенциально опасная программная платформа, которая позволяет приложениям запускать APK-файлы без их установки. Эта платформа создает виртуальную среду исполнения в контексте приложений, в которые они встроены. Запускаемые с их помощью APK-файлы могут работать так, как будто являются частью таких программ, и автоматически получать те же разрешения.
Tool.LuckyPatcher.1.origin: Утилита, позволяющая модифицировать установленные Android-приложения (создавать для них патчи) с целью изменения логики их работы или обхода тех или иных ограничений. Например, с ее помощью пользователи могут попытаться отключить проверку root-доступа в банковских программах или получить неограниченные ресурсы в играх. Для создания патчей утилита загружает из интернета специально подготовленные скрипты, которые могут создавать и добавлять в общую базу все желающие. Функциональность таких скриптов может оказаться в том числе и вредоносной, поэтому создаваемые патчи могут представлять потенциальную опасность.
Tool.Packer.1.origin: Специализированная утилита-упаковщик для защиты Android-приложений от модификации и обратного инжиниринга. Она не является вредоносной, но может использоваться для защиты как безобидных, так и троянских программ.
Tool.Androlua.1.origin: Детектирование ряда потенциально опасных версий специализированного фреймворка для разработки Android-программ на скриптовом языке программирования Lua. Основная логика Lua-приложений расположена в соответствующих скриптах, которые зашифрованы и расшифровываются интерпретатором перед выполнением. Часто данный фреймворк по умолчанию запрашивает доступ ко множеству системных разрешений для работы. В результате исполняемые через него Lua-скрипты способны выполнять различные вредоносные действия в соответствии с полученными разрешениями.

Adware.ModAd.1: Детектирование некоторых модифицированных версий (модов) мессенджера WhatsApp, в функции которого внедрен код для загрузки заданных ссылок через веб-отображение во время работы с мессенджером. С этих интернет-адресов выполняется перенаправление на рекламируемые сайты — например, онлайн-казино и букмекеров, сайты для взрослых.
Adware.Basement.1: Приложения, демонстрирующие нежелательную рекламу, которая часто ведет на вредоносные и мошеннические сайты. Они имеют общую кодовую базу с нежелательными программами Program.FakeMoney.11.
Adware.Fictus.1.origin: Рекламный модуль, который злоумышленники встраивают в версии-клоны популярных Android-игр и программ. Его интеграция в программы происходит при помощи специализированного упаковщика net2share. Созданные таким образом копии ПО распространяются через различные каталоги приложений и после установки демонстрируют нежелательную рекламу.
Adware.AdPush.3.origin
Adware.Adpush.21846: Рекламные модули, которые могут быть интегрированы в Android-программы. Они демонстрируют рекламные уведомления, вводящие пользователей в заблуждение. Например, такие уведомления могут напоминать сообщения от операционной системы. Кроме того, эти модули собирают ряд конфиденциальных данных, а также способны загружать другие приложения и инициировать их установку.

Угрозы в Google Play

В IV квартале 2024 года вирусные аналитики компании «Доктор Веб» выявили в каталоге Google Play свыше 60 различных вредоносных приложений, большинство из которых — трояны семейства Android.FakeApp. Часть из них распространялась под видом программ финансовой тематики, справочников и обучающих пособий, а также прочего ПО — дневников, записных книжек и т. п. Их основной задачей была загрузка мошеннических сайтов.

Программы QuntFinanzas и Trading News, которые в числе прочих многочисленных троянов Android.FakeApp загружали мошеннические сайты

Другие трояны Android.FakeApp злоумышленники выдавали за игры. Они могли загружать сайты онлайн-казино и букмекеров.

Bowl Water и Playful Petal Pursuit — примеры игр с троянской функциональностью

Вместе с тем наши специалисты обнаружили новые варианты трояна Android.FakeApp.1669, который скрывался под маской разнообразных приложений и также мог загружать сайты онлайн-казино. Android.FakeApp.1669 интересен тем, что получает адрес целевого сайта из TXT-файла вредоносного DNS-сервера. При этом он проявляет себя только при подключении к интернету через определенных провайдеров.

Примеры новых модификаций трояна Android.FakeApp.1669. Программу WordCount мошенники выдавали за текстовую утилиту, а программа Split it: Checks and Tips должна была помочь посетителям кафе и ресторанов с оплатой счетов и расчетом чаевых.

Среди найденных в Google Play угроз было несколько новых представителей семейства рекламных троянов Android.HiddenAds, которые скрывают свое присутствие на зараженных устройствах.

Фоторедактор Cool Fix Photo Enhancer скрывал рекламного трояна Android.HiddenAds.4013

Кроме того, были зафиксированы трояны, защищенные сложным программным упаковщиком — например, Android.Packed.57156, Android.Packed.57157 и Android.Packed.57159.

Приложения Lie Detector Fun Prank и Speaker Dust and Water Cleaner — трояны, защищенные упаковщиком

Также наши специалисты обнаружили вредоносную программу Android.Subscription.22, предназначенную для подписки пользователей на платные услуги.

Вместо редактирования фотографий приложение InstaPhoto Editor подписывало пользователей на платную услугу

При этом злоумышленники вновь распространяли троянов семейства Android.Joker, которые тоже подписывали жертв на платные сервисы.

СМС-мессенджер Smart Messages и сторонняя клавиатура Cool Keyboard пытались незаметно подписать жертв на платную услугу

Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.

Индикаторы компрометации

https://news.drweb.ru/show/?i=14950&lng=ru&c=9

Комментарии (0)

<a href="https://www.liveinternet.ru/users/rss_drweb_viruses/post508630959/">РџРѕРїСѓР»СЏСЂРёР·Р°С†РёСЏ С‚РµС…РЅРѕР»РѕРіРёРё eBPF Рё РґСЂСѓРіРёРµ С‚СЂРµРЅРґС‹ РІ С‚СЂРѕСЏРЅРѕСЃС‚СЂРѕРµРЅРёРё</a> 10 РґРµРєР°Р±СЂСЏ 2024 РіРѕРґР°
РСЃСЃР»РµРґРѕРІР°РЅРёРµ РѕС‡РµСЂРµРґРЅРѕРіРѕ РєРёР±РµСЂРёРЅС†РёРґРµРЅС‚Р° РїРѕР·РІРѕР»РёР»Рѕ РІРёСЂСѓСЃРЅС‹Рј Р°РЅР°Р»РёС‚РёРєР°Рј В«Р”РѕРєС‚РѕСЂ Р’РµР±В» РІС‹СЏРІРёС‚СЊ РёРґСѓС‰СѓСЋ С…Р°РєРµСЂСЃРєСѓСЋ РєР°РјРїР°РЅРёСЋ, РІ С…РѕРґРµ РєРѕС‚РѕСЂРѕР№ РїСЂРѕСЏРІРёР»РёСЃСЊ РјРЅРѕРіРёРµ СЃРѕРІСЂРµРјРµРЅРЅС‹Рµ С‚РµРЅРґРµРЅС†РёРё, РїСЂРёРјРµРЅСЏРµРјС‹Рµ Р·Р»РѕСѓРјС‹С€Р»РµРЅРЅРёРєР°РјРё.
Р’ РєРѕРјРїР°РЅРёСЋ В«Р”РѕРєС‚РѕСЂ Р’РµР±В» РѕР±СЂР°С‚РёР»СЃСЏ РєР»РёРµРЅС‚, РєРѕС‚РѕСЂС‹Р№ Р·Р°РїРѕРґРѕР·СЂРёР» С„Р°РєС‚ РІР·Р»РѕРјР° СЃРІРѕРµР№ РєРѕРјРїСЊСЋС‚РµСЂРЅРѕР№ РёРЅС„СЂР°СЃС‚СЂСѓРєС‚СѓСЂС‹. Р’С‹РїРѕР»РЅСЏСЏ Р°РЅР°Р»РёР· РїРѕР»СѓС‡РµРЅРЅС‹С… РґР°РЅРЅС‹С…, РЅР°С€Рё РІРёСЂСѓСЃРЅС‹Рµ Р°РЅР°Р»РёС‚РёРєРё РІС‹СЏРІРёР»Рё СЂСЏРґ Р°РЅР°Р»РѕРіРёС‡РЅС‹С… СЃР»СѓС‡Р°РµРІ Р·Р°СЂР°Р¶РµРЅРёСЏ, С‡С‚Рѕ РїРѕР·РІРѕР»РёР»Рѕ СЃРґРµР»Р°С‚СЊ РІС‹РІРѕРґ Рѕ РїСЂРѕРІРµРґРµРЅРёРё Р°РєС‚РёРІРЅРѕР№ РєР°РјРїР°РЅРёРё. РЈСЃРёР»РёСЏ С…Р°РєРµСЂРѕРІ РІ РѕСЃРЅРѕРІРЅРѕРј СЃРѕСЃСЂРµРґРѕС‚РѕС‡РµРЅС‹ РЅР° СЂРµРіРёРѕРЅРµ Р®РіРѕ-Р’РѕСЃС‚РѕС‡РЅРѕР№ РђР·РёРё. Р’ С…РѕРґРµ Р°С‚Р°Рє РѕРЅРё РїСЂРёРјРµРЅСЏСЋС‚ С†РµР»С‹Р№ РєРѕРј... <a href="https://www.liveinternet.ru/users/rss_drweb_viruses/post508630959/">Р§РёС‚Р°С‚СЊ РґР°Р»РµРµ...</a>

Популяризация технологии eBPF и другие тренды в трояностроении

Вторник, 10 Декабря 2024 г. 13:26 + в цитатник

10 декабря 2024 года

Исследование очередного киберинцидента позволило вирусным аналитикам «Доктор Веб» выявить идущую хакерскую кампанию, в ходе которой проявились многие современные тенденции, применяемые злоумышленниками.

В компанию «Доктор Веб» обратился клиент, который заподозрил факт взлома своей компьютерной инфраструктуры. Выполняя анализ полученных данных, наши вирусные аналитики выявили ряд аналогичных случаев заражения, что позволило сделать вывод о проведении активной кампании. Усилия хакеров в основном сосредоточены на регионе Юго-Восточной Азии. В ходе атак они применяют целый комплекс вредоносного ПО, которое задействуется на разных этапах. К сожалению, нам не удалось однозначно определить то, как был получен изначальный доступ к скомпрометированным машинам. Однако мы смогли восстановить всю дальнейшую картину атаки. Наиболее примечательна эксплуатация злоумышленниками технологии eBPF (extended Berkeley Packet Filter).

Технология eBPF была разработана с целью расширения возможностей контроля над сетевой подсистемой ОС Linux и работой процессов. Она продемонстрировала довольно большой потенциал, что привлекло внимание крупных IT-компаний: практически с самого момента ее появления в фонд eBPF Foundation вошли такие гиганты как Google, Huawei, Intel и Netflix, принявшие участие в ее дальнейшей разработке. Однако еBPF заинтересовались и хакеры.

Предоставляя обширные низкоуровневые возможности, EBPF может использоваться злоумышленниками для сокрытия сетевой активности и процессов, сбора конфиденциальной информации, а также обхода сетевых экранов и систем обнаружения вторжений. Высокая сложность детектирования такого вредоносного ПО позволяет использовать его в рамках целевых АРТ-атак и в течение долгого времени маскировать активность хакеров.

Именно такими возможностями и решили воспользоваться злоумышленники, загрузив на скомпрометированную машину сразу два руткита. Первым устанавливался eBPF-руткит, который скрывал факт работы другого руткита, выполненного в виде модуля ядра, а тот, в свою очередь, подготавливал систему к установке трояна удаленного доступа. Особенностью трояна является поддержка ряда технологий туннелирования трафика, что позволяет ему связываться со злоумышленниками из приватных сегментов сети и маскировать передачу команд.

Использование вредоносного eBPF ПО набирает обороты с 2023 года. Об этом свидетельствует появление на свет нескольких семейств вредоносного ПО, основанных на данной технологии, среди которых можно отметить Boopkit, BPFDoor и Symbiote. А регулярное выявление уязвимостей лишь усугубляет ситуацию. Так, на сегодняшний день известны 217 уязвимостей BPF, причем около 100 из них датированы 2024 годом.

Следующей необычной особенностью кампании является довольно креативный подход к хранению настроек трояна. Если раньше для подобных нужд чаще всего использовались выделенные серверы, то теперь все чаще можно встретить случаи, когда конфигурация вредоносного ПО хранится в открытом доступе на публичных площадках. Так, исследуемое ПО обращалось к платформам Github и даже к страницам одного китайского блога. Такая особенность позволяет меньше привлекать внимание к трафику скомпрометированной машины — ведь та взаимодействует с безопасным узлом сети, — а также не заботиться о поддержании доступа к управляющему серверу с настройками. В целом идея использования публично-доступных сервисов в качестве управляющей инфраструктуры не нова, и ранее хакеры уже применяли для этой цели Dropbox, Google Drive, OneDrive и даже Discord. Однако региональные блокировки этих сервисов в ряде стран, в первую очередь в Китае, делают их менее привлекательными с точки зрения доступности. При этом доступ к Github сохраняется у большинства провайдеров, что делает его предпочтительным в глазах взломщиков.

Настройки, хранящиеся на Gitlab и в блоге, посвященном безопасности. Курьезно, что во втором случае взломщик просит помощи в расшифровке стороннего кода, который в дальнейшем будет отправляться трояну в качестве аргумента одной из команд

Ещё одной особенностью данной кампании стало применение трояна в составе фреймворка для постэксплуатации, то есть комплекса ПО, применяемого на дальнейших этапах атаки после получения доступа к компьютеру. Сами по себе такие фреймворки не являются чем-то запрещённым — их используют компании, официально предоставляющие услуги по аудиту безопасности. Наиболее популярными инструментами являются Cobalt Strike и Metasploit, которые позволяют автоматизировать большое количество проверок и имеют встроенную базу уязвимостей.

Пример карты сети, построенной Cobalt Strike (источник: сайт разработчика)

Конечно, такие возможности высоко ценятся и в среде хакеров. В 2022 году широкому кругу лиц стала доступна взломанная версия ПО Cobalt Strike, что обеспечило всплеск хакерской активности. Значительная часть инфраструктуры Cobalt Strike размещена в Китае. Отметим, что разработчик предпринимает усилия по отслеживанию установок фреймворка, а серверы со взломанными версиями регулярно блокируются органами правопорядка. Поэтому в настоящее время наблюдается устойчивый тренд перехода к использованию фреймворков с открытым исходным кодом, которые изначально поддерживают возможность расширения и видоизменения сетевой активности между зараженным устройством и сервером управления. Такая стратегия является предпочтительной, так как позволяет не привлекать дополнительное внимание к инфраструктуре взломщиков.

По результатам расследования все выявленные угрозы были добавлены в наши базы вредоносного ПО, дополнительно в алгоритмы эвристика были внесены признаки вредоносных eBPF-программ.

Подробнее об Trojan.Siggen28.58279

Индикаторы компрометации

https://news.drweb.ru/show/?i=14955&lng=ru&c=9

Комментарии (0)

<a href="https://www.liveinternet.ru/users/rss_drweb_viruses/post507852949/">Р’ С…РѕРґРµ РєР°РјРїР°РЅРёРё РїРѕ СЂР°СЃРїСЂРѕСЃС‚СЂР°РЅРµРЅРёСЋ С‚СЂРѕСЏРЅР° РґР»СЏ РґРѕР±С‹С‡Рё Рё РєСЂР°Р¶Рё РєСЂРёРїС‚РѕРІР°Р»СЋС‚С‹ РїРѕСЃС‚СЂР°РґР°Р»Рё Р±РѕР»РµРµ 28 С‚С‹СЃСЏС‡ РїРѕР»СЊР·РѕРІР°С‚РµР»РµР№</a> 8 РѕРєС‚СЏР±СЂСЏ 2024 РіРѕРґР°
Р’РёСЂСѓСЃРЅС‹Рµ Р°РЅР°Р»РёС‚РёРєРё РєРѕРјРїР°РЅРёРё В«Р”РѕРєС‚РѕСЂ Р’РµР±В» РІС‹СЏРІРёР»Рё РёРґСѓС‰СѓСЋ РјР°СЃС€С‚Р°Р±РЅСѓСЋ РєР°РјРїР°РЅРёСЋ РїРѕ СЂР°СЃРїСЂРѕСЃС‚СЂР°РЅРµРЅРёСЋ РІСЂРµРґРѕРЅРѕСЃРЅРѕРіРѕ РџРћ РґР»СЏ РґРѕР±С‹С‡Рё Рё РєСЂР°Р¶Рё РєСЂРёРїС‚РѕРІР°Р»СЋС‚С‹, РІ СЂР°РјРєР°С… РєРѕС‚РѕСЂРѕР№ С‚СЂРѕСЏРЅС‹ РґРѕСЃС‚Р°РІР»СЏР»РёСЃСЊ РЅР° РјР°С€РёРЅС‹ Р¶РµСЂС‚РІ РїРѕРґ РІРёРґРѕРј РѕС„РёСЃРЅС‹С… РїСЂРѕРіСЂР°РјРј, С‡РёС‚РѕРІ РґР»СЏ РёРіСЂ Рё Р±РѕС‚РѕРІ РґР»СЏ РѕРЅР»Р°Р№РЅ-С‚СЂРµР№РґРёРЅРіР°.

Р’ С…РѕРґРµ СЂСѓС‚РёРЅРЅРѕРіРѕ Р°РЅР°Р»РёР·Р° РѕР±Р»Р°С‡РЅРѕР№ С‚РµР»РµРјРµС‚СЂРёРё, РїРѕСЃС‚СѓРїР°СЋС‰РµР№ РѕС‚ РЅР°С€РёС… РїРѕР»СЊР·РѕРІР°С‚РµР»РµР№, СЃРїРµС†РёР°Р»РёСЃС‚С‹ РІРёСЂСѓСЃРЅРѕР№ Р»Р°Р±РѕСЂР°С‚РѕСЂРёРё Р”РѕРєС‚РѕСЂ Р’РµР± РІС‹СЏРІРёР»Рё РїРѕРґРѕР·СЂРёС‚РµР»СЊРЅСѓСЋ Р°РєС‚РёРІРЅРѕСЃС‚СЊ РїСЂРѕРіСЂР°РјРјС‹, Р·Р°РјР°СЃРєРёСЂРѕРІР°РЅРЅРѕР№ РїРѕРґ РєРѕРјРїРѕРЅРµРЅС‚ РћРЎ Windows (StartMenuExperienceHost.exe, Р»РµРіРёС‚РёРјРЅС‹Р№ РїСЂРѕС†РµСЃСЃ СЃ С‚Р°РєРёРј РёРјРµРЅРµРј РѕС‚РІРµС‡Р°РµС‚ Р·Р° СѓРїСЂР°РІР»РµРЅРёРµ РјРµРЅСЋ РџСѓСЃРє).... <a href="https://www.liveinternet.ru/users/rss_drweb_viruses/post507852949/">Р§РёС‚Р°С‚СЊ РґР°Р»РµРµ...</a>

В ходе кампании по распространению трояна для добычи и кражи криптовалюты пострадали более 28 тысяч пользователей

Вторник, 08 Октября 2024 г. 16:41 + в цитатник

8 октября 2024 года

Вирусные аналитики компании «Доктор Веб» выявили идущую масштабную кампанию по распространению вредоносного ПО для добычи и кражи криптовалюты, в рамках которой трояны доставлялись на машины жертв под видом офисных программ, читов для игр и ботов для онлайн-трейдинга.

В ходе рутинного анализа облачной телеметрии, поступающей от наших пользователей, специалисты вирусной лаборатории Доктор Веб выявили подозрительную активность программы, замаскированной под компонент ОС Windows (StartMenuExperienceHost.exe, легитимный процесс с таким именем отвечает за управление меню Пуск). Эта программа связывалась с удаленным сетевым узлом и ждала подключения извне для того, чтобы сразу же запустить интерпретатор командной строки cmd.exe.

Замаскированной под системный компонент была сетевая утилита Ncat, которая используется в правомерных целях для передачи данных по сети посредством командной строки. Именно эта находка помогла восстановить последовательность событий безопасности, среди которых были попытки заражения компьютеров вредоносным ПО, предотвращенные антивирусом Dr.Web.

Источником заражения являются мошеннические сайты, которые злоумышленники создают на платформе GitHub (оговоримся, что такая деятельность запрещена правилами платформы), и запуск скачанных оттуда программ. Альтернативно, ссылки на вредоносное ПО могут быть закреплены в описаниях под видео на хостинге Youtube. При клике по ссылке скачивается самораспаковывающийся зашифрованный архив, защищенный паролем, что предотвращает его автоматическое сканирование антивирусами. После ввода пароля, который хакеры указывают на странице скачивания, на компьютере жертвы в папку %ALLUSERSPROFILE%\jedist распаковывается следующий набор временных файлов:

UnRar.exe — распаковщик архивов RAR;
WaR.rar — архив RAR;
Iun.bat — сценарий, который создает задачу на выполнение скрипта Uun.bat, инициирует перезагрузку компьютера и удаляет себя;
Uun.bat — обфусцированный скрипт, который распаковывает файл WaR.rar, запускает находящиеся в нем файлы ShellExt.dll и UTShellExt.dll, после чего удаляет задачу, созданную Iun.bat и папку jedist вместе с ее содержимым.

Файл ShellExt.dll представляет собой интерпретатор языка AutoIt и сам по себе не является вредоносным. Однако, это не его настоящее имя. Злоумышленники переименовали исходный файл с именем AutoIt3.exe в ShellExt.dll для маскировки под библиотеку программы WinRAR, которая отвечает за интеграцию функций архиватора в контекстное меню Windows. После своего запуска интерпретатор в свою очередь загружает файл UTShellExt.dll, который был позаимствован мошенниками у утилиты Uninstall Tool. К этой библиотеке, подписанной действительной цифровой подписью, они «пришили» вредоносный AutoIt скрипт. После его выполнения происходит распаковка полезной нагрузки, все файлы которой сильно обфусцированы.

Язык AutoIt является языком программирования для создания скриптов автоматизации и утилит для ОС Windows. Простота освоения и широкая функциональность сделали его популярным среди разных категорий пользователей, в том числе и вирусописателей. Некоторые антивирусные программы детектируют любой скомпилированный скрипт AutoIt как вредоносный.

Файл UTShellExt.dll выполняет следующие действия:

Ищет запущенное отладочное ПО в списке процессов. В скрипте содержатся названия примерно 50 различных утилит, используемых для отладки, и при выявлении хотя бы одного процесса из этого списка, скрипт завершает свою работу
Если отладочное ПО не найдено, в скомпрометированную систему распаковываются файлы, необходимые для продолжения атаки. Часть файлов является «чистой», они необходимы для реализации сетевого взаимодействия, а остальные выполняют вредоносные действия
Создает системные события для обеспечения сетевого доступа с помощью Ncat и загрузки BAT и DLL файлов, а также вносит изменения в реестр для реализации перехвата запуска приложений с использованием техники IFEO
IFEO (Image File Execution Options) — это возможности, предоставляемые ОС Windows для разработчиков ПО, например, автоматический запуск отладчика при старте приложения. Однако злоумышленники могут использовать техники IFEO для закрепления в системе. Для этого они меняют путь до отладчика, указывая вместо него путь до вредоносного файла, таким образом, при каждом запуске легитимного приложения будет также запускаться и вредоносное. В этом случае хакеры «цеплялись» к системным службам ОС Windows, а также к процессам обновления браузеров Google Chrome и Microsoft Edge (MoUsoCoreWorker.exe, svchost.exe, TrustedInstaller.exe, GoogleUpdate.exe и MicrosoftEdgeUpdate.exe).
Запрещает доступ к удалению, записи и изменения для папок и файлов, созданных на этапе 2
Отключает службу восстановления ОС Windows
Отправляет в Telegram злоумышленникам информацию о технических характеристиках зараженного компьютера, его имя, версию ОС и сведения об установленном антивирусном ПО.

Функции скрытого майнинга и кражи криптовалюты выполняют файлы DeviceId.dll и 7zxa.dll. Оба файла встраиваются в процесс explorer.exe (Проводник ОС Windows), используя технику Process Hollowing. Первый файл представляет собой легитимную библиотеку, распространяемую в составе среды разработки .NET, в которую был встроен вредоносный AutoIt скрипт, запускающий майнер SilentCryptoMiner. Этот майнер обладает широкими возможностями по конфигурации и маскировке процесса добычи криптовалюты, а также функцией удаленного управления.

Библиотека 7zxa.dll, замаскированная под компонент архиватора 7-Zip, является так называемым клиппером. Данный тип вредоносного ПО используется для мониторинга данных в буфере обмена, которые он может или подменять, или пересылать злоумышленникам. В данном случае клиппер отслеживает появление в буфере обмена типовых последовательностей символов, характерных для адресов кошельков, и заменяет их на те, которые были указаны злоумышленниками. К моменту публикации достоверно известно, что только благодаря клипперу хакеры смогли обогатиться на более чем 6000 долларов (или 571 тысячу рублей).

Техника Process Hollowing заключается в запуске какого-либо доверенного процесса в приостановленном состоянии, перезаписи его кода в памяти на вредоносный, а затем возобновлении выполнения процесса. Использование такой техники приводит к появлению одноименных копий процесса, так в нашем случае на компьютерах жертв наблюдалось три процесса explorer.exe, что является подозрительным самим по себе, так как в норме этот процесс существует в единственном экземпляре.

Всего от действий киберпреступников пострадало более 28 тысяч человек, превалирующее большинство из которых являются жителями России. Также, значимые цифры заражений наблюдаются в Беларуси, Узбекистане, Казахстане, Украине, Кыргызстане и Турции. Поскольку компрометация компьютеров жертв происходила при установке пиратских версий популярных программ, то основными рекомендациями по профилактике подобных инцидентов являются скачивание ПО из официальных источников, использование программ-аналогов с открытым исходным кодом, а также использование антивирусов. Пользователи продуктов Dr.Web надежно защищены от данной угрозы.

Подробнее о Trojan.AutoIt.1443

Индикаторы компрометации

https://news.drweb.ru/show/?i=14920&lng=ru&c=9

Комментарии (0)

<a href="https://www.liveinternet.ru/users/rss_drweb_viruses/post507777204/">РџСЂРёРјР°РЅРєР° РґР»СЏ Р·Р»РѕСѓРјС‹С€Р»РµРЅРЅРёРєРѕРІ: СЃРµСЂРІРµСЂ СЃ СѓСЏР·РІРёРјРѕР№ РІРµСЂСЃРёРµР№ Р±Р°Р·С‹ РґР°РЅРЅС‹С… Redis РїРѕР·РІРѕР»РёР» РІС‹СЏРІРёС‚СЊ РЅРѕРІСѓСЋ РјРѕРґРёС„РёРєР°С†РёСЋ СЂСѓС‚РєРёС‚Р° РґР»СЏ СЃРѕРєСЂС‹С‚РёСЏ РїСЂРѕС†РµСЃСЃР° РґРѕР±С‹С‡Рё РєСЂРёРїС‚РѕРІР°Р»СЋС‚С‹</a> 3 РѕРєС‚СЏР±СЂСЏ 2024 РіРѕРґР°
Р’РёСЂСѓСЃРЅС‹Рµ Р°РЅР°Р»РёС‚РёРєРё РєРѕРјРїР°РЅРёРё В«Р”РѕРєС‚РѕСЂ Р’РµР±В» РІС‹СЏРІРёР»Рё РЅРѕРІСѓСЋ РјРѕРґРёС„РёРєР°С†РёСЋ СЂСѓС‚РєРёС‚Р°, СѓСЃС‚Р°РЅР°РІР»РёРІР°СЋС‰СѓСЋ РЅР° СЃРєРѕРјРїСЂРѕРјРµС‚РёСЂРѕРІР°РЅРЅС‹Рµ РјР°С€РёРЅС‹ СЃ РћРЎ Linux С‚СЂРѕСЏРЅ-РјР°Р№РЅРµСЂ Skidmap. РС‚РѕС‚ СЂСѓС‚РєРёС‚ РІС‹РїРѕР»РЅРµРЅ РІ РІРёРґРµ РІСЂРµРґРѕРЅРѕСЃРЅРѕРіРѕ РјРѕРґСѓР»СЏ СЏРґСЂР°, РєРѕС‚РѕСЂС‹Р№ СЃРєСЂС‹РІР°РµС‚ РґРµСЏС‚РµР»СЊРЅРѕСЃС‚СЊ РјР°Р№РЅРµСЂР°, РїРѕРґРјРµРЅСЏСЏ РёРЅС„РѕСЂРјР°С†РёСЋ Рѕ Р·Р°РіСЂСѓР·РєРµ РїСЂРѕС†РµСЃСЃРѕСЂР° Рё СЃРµС‚РµРІРѕР№ Р°РєС‚РёРІРЅРѕСЃС‚Рё. Р”Р°РЅРЅР°СЏ Р°С‚Р°РєР° СЏРІР»СЏРµС‚СЃСЏ РјР°СЃСЃРѕРІРѕР№ Рё РЅР°РїСЂР°РІР»РµРЅР° РїСЂРµРёРјСѓС‰РµСЃС‚РІРµРЅРЅРѕ РЅР° РєРѕСЂРїРѕСЂР°С‚РёРІРЅС‹Р№ СЃРµРєС‚РѕСЂ вЂ” РєСЂСѓРїРЅС‹Рµ СЃРµСЂРІРµСЂС‹ Рё РѕР±Р»Р°С‡РЅС‹Рµ СЃСЂРµРґС‹, вЂ” С‚Р°Рє РєР°Рє РёРјРµРЅРЅРѕ СЃ РїРѕРґРѕР±РЅС‹РјРё СЂРµСЃСѓСЂСЃР°РјРё СЌС„С„РµРєС‚РёРІРЅРѕСЃС‚СЊ РјР°Р№РЅРёРЅРіР° Р±СѓРґРµС‚ РјР°РєСЃРёРјР°Р»СЊРЅРѕР№.

РЎРёСЃС‚РµРјР° СѓРїСЂР°РІР»РµРЅРёСЏ Р±Р°Р·Р°РјРё РґР°РЅРЅС‹С… Redis СЏРІР»СЏРµС‚СЃСЏ РѕРґРЅРѕР№ РёР· СЃР°РјС‹С… РїРѕ... <a href="https://www.liveinternet.ru/users/rss_drweb_viruses/post507777204/">Р§РёС‚Р°С‚СЊ РґР°Р»РµРµ...</a>

Приманка для злоумышленников: сервер с уязвимой версией базы данных Redis позволил выявить новую модификацию руткита для сокрытия процесса добычи криптовалюты

Четверг, 03 Октября 2024 г. 06:00 + в цитатник

3 октября 2024 года

Вирусные аналитики компании «Доктор Веб» выявили новую модификацию руткита, устанавливающую на скомпрометированные машины с ОС Linux троян-майнер Skidmap. Этот руткит выполнен в виде вредоносного модуля ядра, который скрывает деятельность майнера, подменяя информацию о загрузке процессора и сетевой активности. Данная атака является массовой и направлена преимущественно на корпоративный сектор — крупные серверы и облачные среды, — так как именно с подобными ресурсами эффективность майнинга будет максимальной.

Система управления базами данных Redis является одной из самых популярных в мире: серверы Redis используются такими крупными компаниями как Х (ранее Twitter), AirBnB, Amazon и др. Преимущества системы очевидны: максимальное быстродействие, минимальные требования к ресурсам, поддержка различных типов данных и языков программирования. Однако у данного продукта есть и минусы: поскольку изначальное применение Redis не предполагало его установку на сетевой периферии, в конфигурации по умолчанию поддерживаются только базовые функции обеспечения безопасности, а в версиях до 6.0 отсутствуют механизмы контроля доступа и шифрования. Кроме того, ежегодно в профильных СМИ появляются сообщения о выявлении в Redis уязвимостей. Например, в 2023 году их было зафиксировано 12, три из которых имели статус «Серьезные». Участившиеся сообщения о компрометации серверов с последующей установкой программ для майнинга заинтересовали специалистов вирусной лаборатории «Доктор Веб», у которых возникло желание непосредственно пронаблюдать за данной атакой. Для этого было принято решение запустить свой сервер Redis с отключенной защитой и ждать непрошеных гостей. В течение года ежемесячно на сервер предпринимались от 10 до 14 тысяч атак, а недавно на сервере было обнаружено присутствие вредоносного ПО Skidmap, на что и рассчитывали наши аналитики. Однако неожиданным стало то, что в этом случае киберпреступники воспользовались новым методом сокрытия активности майнера, а заодно установили сразу четыре бэкдора.

Первые сообщения о трояне Skidmap появились в 2019 году. Данный троян-майнер имеет определенную специализацию и встречается в основном в корпоративных сетях, так как наибольшую отдачу от скрытного майнинга можно получить именно в enterprise-сегменте. Несмотря на то, что с момента появления трояна прошло уже пять лет, принцип его работы остается без изменений: он устанавливается в систему посредством эксплуатации уязвимостей или неправильных настроек ПО. В случае нашего сервера-приманки хакеры добавили в системный планировщик cron задачи, в рамках которых каждые 10 минут запускался скрипт, скачивающий дроппер Linux.MulDrop.142 (или другую его модификацию — Linux.MulDrop.143). Данный исполняемый файл проверяет версию ядра ОС, отключает защитный модуль SELinux, а затем распаковывает в системе файлы руткита Linux.Rootkit.400, майнера Linux.BtcMine.815, а также бэкдоров Linux.BackDoor.Pam.8/9, Linux.BackDoor.SSH.425/426 и трояна Linux.BackDoor.RCTL.2 для удаленного доступа. Отличительной чертой дроппера является то, что он имеет довольно большой размер, так как содержит исполняемые файлы под различные дистрибутивы Linux. В данном случае в тело дроппера были вшито примерно 60 файлов для разных версий дистрибутивов Debian и Red Hat Enterprise Linux, которые наиболее часто устанавливаются на серверы.

После установки руткит перехватывает ряд системных вызовов, что позволяет ему выдавать фейковые сведения в ответ на диагностические команды, вводимые администратором. Среди перехватываемых функций встречаются те, которые сообщают о среднем значении загрузки ЦП, сетевой активности на ряде портов и выводят перечень файлов в папках. Руткит также проверяет все загружаемые модули ядра и запрещает запуск тех, которые могут детектировать его присутствие. Всё это позволяет полностью скрывать все аспекты деятельности майнера по добыче криптовалюты: вычисления, отправку хешей и получение заданий.

Назначение устанавливаемых дроппером бэкдоров в рамках этой атаки заключается в сохранении и отправке злоумышленникам данных обо всех SSH-авторизациях, а также создании мастер-пароля ко всем учетным записям в системе. Отметим, что все пароли при отправке дополнительно шифруются шифром Цезаря со смещением в 4 буквы.

Для расширения возможностей по контролю взломанной системы злоумышленники устанавливают RAT-троян Linux.BackDoor.RCTL.2. Он позволяет отправлять команды на скомпрометированный сервер и получать от него любые данные по зашифрованному соединению, которое троян инициирует самостоятельно.

В качестве майнера устанавливается программа xmrig, позволяющая добывать ряд криптовалют, наиболее известной из которых является Monero, снискавшая популярность в даркнете благодаря своей полной анонимности на уровне транзакций. Следует сказать, что обнаружение прикрытого руткитом майнера в кластере серверов является довольно нетривиальной задачей. В отсутствие достоверных сведений о потреблении ресурсов, единственное, что может натолкнуть на мысль о компрометации — это избыточное энергопотребление и повышенное теплообразование. Злоумышленники также могут изменять настройки майнера таким образом, чтобы обеспечить оптимальный баланс между производительностью майнинга и сохранением быстродействия оборудования, что позволит привлекать меньше внимания к скомпрометированной системе.

Эволюция семейства вредоносного ПО Skidmap проявляется в усложнении схемы атаки: запускаемые программы делают вызовы друг к другу, отключают защитные системы, вмешиваются в работу большого числа системных утилит и служб, загружают руткиты и т. д., что значительно затрудняет действия по реагированию на подобные инциденты.

Перечисленные угрозы внесены в вирусную базу Dr.Web и потому не представляют опасности для пользователей наших продуктов.

Индикаторы компрометации

Подробнее о Linux.MulDrop.142

Подробнее о Linux.MulDrop.143

Подробнее о Linux.MulDrop.144

Подробнее о Linux.Rootkit.400

https://news.drweb.ru/show/?i=14918&lng=ru&c=9

Комментарии (0)

<a href="https://www.liveinternet.ru/users/rss_drweb_viruses/post507750950/">В«Р”РѕРєС‚РѕСЂ Р’РµР±В»: РѕР±Р·РѕСЂ РІРёСЂСѓСЃРЅРѕР№ Р°РєС‚РёРІРЅРѕСЃС‚Рё РІ III РєРІР°СЂС‚Р°Р»Рµ 2024 РіРѕРґР°</a>

1 РѕРєС‚СЏР±СЂСЏ 2024 РіРѕРґР°

РЎРѕРіР»Р°СЃРЅРѕ СЃС‚Р°С‚РёСЃС‚РёРєРµ РґРµС‚РµРєС‚РёСЂРѕРІР°РЅРёР№ Р°РЅС‚РёРІРёСЂСѓСЃР° Dr.Web, РІ III РєРІР°СЂС‚Р°Р»Рµ 2024 РіРѕРґР° РѕР±С‰РµРµ С‡РёСЃР»Рѕ РѕР±РЅР°СЂСѓР¶РµРЅРЅС‹С… СѓРіСЂРѕР· РІРѕР·СЂРѕСЃР»Рѕ РЅР° 10,81% РїРѕ СЃСЂР°РІРЅРµРЅРёСЋ СЃРѕ II РєРІР°СЂС‚Р°Р»РѕРј. Р§РёСЃР»Рѕ СѓРЅРёРєР°Р»СЊРЅС‹С… СѓРіСЂРѕР· СЃРЅРёР·РёР»РѕСЃСЊ РЅР° 4,73%. Р‘РѕР»СЊС€РёРЅСЃС‚РІРѕ РґРµС‚РµРєС‚РёСЂРѕРІР°РЅРёР№ РІРЅРѕРІСЊ РїСЂРёС€Р»РѕСЃСЊ РЅР° СЂРµРєР»Р°РјРЅС‹Рµ РїСЂРёР»РѕР¶РµРЅРёСЏ. Р Р°СЃРїСЂРѕСЃС‚СЂР°РЅРµРЅРёРµ С‚Р°РєР¶Рµ РїРѕР»СѓС‡РёР»Рё РІСЂРµРґРѕРЅРѕСЃРЅС‹Рµ СЃРєСЂРёРїС‚С‹, С‚СЂРѕСЏРЅС‹, РґРµРјРѕРЅСЃС‚СЂРёСЂСѓСЋС‰РёРµ СЂРµРєР»Р°РјСѓ, Рё С‚СЂРѕСЏРЅС‹, РєРѕС‚РѕСЂРѕРµ СЂР°СЃРїСЂРѕСЃС‚СЂР°РЅСЏСЋС‚СЃСЏ РІ СЃРѕСЃС‚Р°РІРµ РґСЂСѓРіРёС… РІСЂРµРґРѕРЅРѕСЃРЅС‹С… РїСЂРёР»РѕР¶РµРЅРёР№ Рё РїСЂРёРјРµРЅСЏСЋС‚СЃСЏ РґР»СЏ Р·Р°С‚СЂСѓРґРЅРµРЅРёСЏ РёС… РѕР±РЅР°СЂСѓР¶РµРЅРёСЏ. Р’ РїРѕС‡С‚РѕРІРѕРј С‚СЂР°С„РёРєРµ С‡Р°С‰Рµ РІСЃРµРіРѕ РІС‹СЏРІР»СЏР»РёСЃСЊ РІСЂРµРґРѕРЅРѕСЃРЅС‹Рµ СЃРєСЂРёРїС‚С‹ Рё РїСЂРёР»РѕР¶РµРЅРёСЏ, СЌРєСЃРїР»СѓР°С‚РёСЂСѓСЋС‰РёРµ СѓСЏР·РІРёРјРѕ... <a href="https://www.liveinternet.ru/users/rss_drweb_viruses/post507750950/">Р§РёС‚Р°С‚СЊ РґР°Р»РµРµ...</a>

«Доктор Веб»: обзор вирусной активности в III квартале 2024 года

Вторник, 01 Октября 2024 г. 07:00 + в цитатник

1 октября 2024 года

Согласно статистике детектирований антивируса Dr.Web, в III квартале 2024 года общее число обнаруженных угроз возросло на 10,81% по сравнению со II кварталом. Число уникальных угроз снизилось на 4,73%. Большинство детектирований вновь пришлось на рекламные приложения. Распространение также получили вредоносные скрипты, трояны, демонстрирующие рекламу, и трояны, которое распространяются в составе других вредоносных приложений и применяются для затруднения их обнаружения. В почтовом трафике чаще всего выявлялись вредоносные скрипты и приложения, эксплуатирующие уязвимости документов Microsoft Office.

На Android-устройствах наиболее распространенными угрозами стали применяемые в мошеннических целях трояны Android.FakeApp, рекламные трояны Android.HiddenAds и обладающие различной функциональностью вредоносные программы Android.Siggen. При этом в августе наши специалисты обнаружили нового трояна Android.Vo1d, который заразил почти 1 300 000 ТВ-приставок, работающих на ОС Android. Кроме того, специалисты вирусной лаборатории «Доктор Веб» в течение III квартала выявили множество новых угроз в каталоге Google Play.

Главные тенденции III квартала

Рекламные приложения оставались наиболее часто детектируемыми угрозами
Во вредоносном почтовом трафике по-прежнему преобладали вредоносные скрипты
Обнаружено заражение более 1 000 000 ТВ-приставок на базе Android бэкдором Android.Vo1d
Были зафиксированы новые угрозы в каталоге Google Play

По данным сервиса статистики «Доктор Веб»

Наиболее распространенные угрозы III квартала:

Adware.Downware.20091
Adware.Downware.20477: Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.
JS.Siggen5.44590: Вредоносный код, добавленный в публичную JavaScript-библиотеку es5-ext-main. Демонстрирует определенное сообщение, если пакет установлен на сервер с часовым поясом российских городов.
Trojan.StartPage1.62722: Вредоносная программа, подменяющая стартовую страницу в настройках браузера.
Adware.Ubar.20: Торрент-клиент, устанавливающий нежелательное ПО на устройство.

Статистика вредоносных программ в почтовом трафике

JS.Siggen5.44590: Вредоносный код, добавленный в публичную JavaScript-библиотеку es5-ext-main. Демонстрирует определенное сообщение, если пакет установлен на сервер с часовым поясом российских городов.
JS.Inject: Семейство вредоносных сценариев, написанных на языке JavaScript. Они встраивают вредоносный скрипт в HTML-код веб-страниц.
LNK.Starter.56: Детектирование специальным образом сформированного ярлыка, который распространяется через съемные накопители и для введения пользователей в заблуждение имеет значок диска. При его открытии происходит запуск вредоносных VBS-скриптов из скрытого каталога, расположенного на том же носителе, что и сам ярлык.
W97M.DownLoader.6154: Семейство троянов-загрузчиков, использующих уязвимости документов Microsoft Office. Они предназначены для загрузки других вредоносных программ на атакуемый компьютер.
Trojan.AutoIt.1410: Детектирование упакованной версии троянской программы Trojan.AutoIt.289, написанной на скриптовом языке AutoIt. Она распространяется в составе группы из нескольких вредоносных приложений - майнера, бэкдора и модуля для самостоятельного распространения. Trojan.AutoIt.289 выполняет различные вредоносные действия, затрудняющие обнаружение основной полезной нагрузки.

Шифровальщики

В III квартале 2024 года число запросов на расшифровку файлов, затронутых троянскими программами-шифровальщиками, снизилось на 15,73% по сравнению со II кварталом.

Динамика поступления запросов на расшифровку в службу технической поддержки «Доктор Веб»:

Наиболее распространенные энкодеры III квартала:

Trojan.Encoder.35534 — 19.38%
Trojan.Encoder.3953 — 9.42%
Trojan.Encoder.38200 — 3.99%
Trojan.Encoder.26996 — 2.89%
Trojan.Encoder.35067 — 2.72%

Сетевое мошенничество

В течение III квартала 2024 года интернет-мошенники продолжили распространять электронные спам-письма со ссылками на различные фишинговые сайты. Например, русскоязычные пользователи вновь сталкивались с сообщениями, якобы отправленными от имени известных интернет-магазинов. В одних им предлагалось принять участие в розыгрыше призов или получить подарок. При переходе по ссылкам из таких писем потенциальные жертвы попадали на мошеннические сайты, где для «получения» того или иного приза или выигрыша от них требовалось оплатить комиссию.

Мошенники якобы от имени онлайн-магазина предлагают потенциальной жертве «получить выигрыш» в размере 208 760 рублей

В других письмах пользователей якобы ждала скидка на покупку товаров в крупном магазине электроники. Ссылки из этих сообщений вели на поддельный сайт, оформленный в стиле настоящего интернет-ресурса площадки. При оформлении «заказа» на нем потенциальные жертвы должны были указать свои персональные данные, а также данные банковской карты.

Мошенническое письмо, предлагающее «активировать промокод» для покупки электроники

Популярным среди мошенников остается спам финансовой тематики. Так, злоумышленники рассылали нежелательные письма для «подтверждения» получения крупных денежных переводов. Пример такого письма, нацеленного на англоязычных пользователей, представлен ниже. Ссылка в нем вела на фишинговую форму входа в учетную запись клиента банка, внешне напоминающую подлинную страницу на сайте кредитной организации.

Пользователю якобы необходимо подтвердить получение $1218,16 США

Фишинговый сайт банка, выдаваемый мошенниками за настоящий

Среди нежелательных писем, предназначенных для японской аудитории, наши специалисты зафиксировали очередные поддельные уведомления кредитных организаций — например, с информацией о расходах по банковской карте за месяц. В одном из таких сообщений мошенники замаскировали ссылку на фишинговый сайт: пользователи в тексте письма видели ссылки на настоящие адреса сайта банка, но те при нажатии вели на мошеннический интернет-ресурс.

Все ссылки в письме на самом деле ведут на фишинговый сайт

Франкоязычные пользователи (в частности, из Бельгии) сталкивались с фишинговыми письмами, которые сообщали о «блокировке» их банковских счетов. Для «разблокировки» им предлагалось перейти по ссылке, которая в действительности вела на сайт мошенников.

Мошенники пугают потенциальную жертву «заблокированным» банковским аккаунтом

А среди российских пользователей вновь активно распространялся почтовый спам, в котором потенциальным жертвам якобы от имени известных банков предлагалось стать инвесторами. Ссылки в таких нежелательных письмах ведут на мошеннические сайты, где у посетителей под видом получения доступа к инвестиционным сервисам запрашиваются персональные данные.

Пользователю якобы от имени банка предлагается пройти тест и стать инвестором

Вместе с тем интернет-аналитики «Доктор Веб» выявили новые фишинговые сайты, нацеленные на владельцев криптовалют. Так, на одном из них посетителям якобы от имени крупной криптобиржи сообщалось о неполученном Bitcoin-переводе. Для «завершения» транзакции потенциальным жертвам предлагалось оплатить «комиссию». Никакой криптовалюты пользователям, конечно же, не поступало — они лишь отдавали мошенникам собственные активы.

Мошеннический сайт сообщает, что у пользователя якобы имеется неполученный Bitcoin-перевод

Кроме того, были обнаружены фишинговые сайты, имитировавшие внешний вид социальной сети «ВКонтакте». Их посетителям предлагалось принять участие в некоем розыгрыше призов, открыв для этого несколько виртуальных коробок с подарками. После того как потенциальные жертвы открывали «правильные» коробки и якобы выигрывали крупную сумму денег, сайт предлагал им заплатить комиссию для получения «выигрыша».

Мошеннический сайт предлагает посетителям «испытать удачу»

Пользователь якобы выиграл приз в размере 194 562 рубля

Узнайте больше о нерекомендуемых Dr.Web сайтах

Вредоносное и нежелательное ПО для мобильных устройств

Согласно данным статистики детектирований Dr.Web Security Space для мобильных устройств, в III квартале 2024 года на защищаемых устройствах чаще всего обнаруживались вредоносные программы Android.FakeApp, которые злоумышленники используют в различных мошеннических схемах. Вторыми по распространенности стали рекламные трояны Android.HiddenAds. На третьем месте расположились трояны Android.Siggen.

За прошедший период наши специалисты выявили множество новых угроз в каталоге Google Play. Среди них — различные варианты троянов Android.FakeApp и Android.HiddenAds. Кроме того, была зафиксирована атака на ТВ-приставки с ОС Android—бэкдор Android.Vo1d заразил около 1 300 000 устройств у пользователей из 197 стран. Он помещал свои компоненты в системную область приставок и по команде злоумышленников мог незаметно скачивать и устанавливать сторонние программы.

Наиболее заметные события, связанные с «мобильной» безопасностью в III квартале:

обнаружение бэкдора Android.Vo1d, заразившего более миллиона ТВ-приставок,
высокая активность вредоносных программ Android.FakeApp,
высокая активность рекламных троянов Android.HiddenAds,
появление новых угроз в каталоге Google Play.

Более подробно о вирусной обстановке для мобильных устройств в III квартале 2024 года читайте в нашем обзоре.

https://news.drweb.ru/show/?i=14915&lng=ru&c=9

Комментарии (0)

<a href="https://www.liveinternet.ru/users/rss_drweb_viruses/post507420656/">РџСѓСЃС‚РѕС‚Р° Р·Р°С…РІР°С‚РёР»Р° Р±РѕР»РµРµ РјРёР»Р»РёРѕРЅР° РўР’-РїСЂРёСЃС‚Р°РІРѕРє РЅР° Android</a> 12 СЃРµРЅС‚СЏР±СЂСЏ 2024 РіРѕРґР°
РЎРїРµС†РёР°Р»РёСЃС‚С‹ В«Р”РѕРєС‚РѕСЂ Р’РµР±В» РІС‹СЏРІРёР»Рё РЅРѕРІС‹Р№ СЃР»СѓС‡Р°Р№ РёРЅС„РёС†РёСЂРѕРІР°РЅРёСЏ РўР’-РїСЂРёСЃС‚Р°РІРѕРє РЅР° Р±Р°Р·Рµ Android. Р’СЂРµРґРѕРЅРѕСЃРЅР°СЏ РїСЂРѕРіСЂР°РјРјР°, РїРѕР»СѓС‡РёРІС€Р°СЏ РёРјСЏ Android.Vo1d, Р·Р°СЂР°Р·РёР»Р° РїРѕС‡С‚Рё 1 300 000 СѓСЃС‚СЂРѕР№СЃС‚РІ Сѓ РїРѕР»СЊР·РѕРІР°С‚РµР»РµР№ РёР· 197 СЃС‚СЂР°РЅ. РС‚Рѕ Р±СЌРєРґРѕСЂ, РєРѕС‚РѕСЂС‹Р№ РїРѕРјРµС‰Р°РµС‚ СЃРІРѕРё РєРѕРјРїРѕРЅРµРЅС‚С‹ РІ СЃРёСЃС‚РµРјРЅСѓСЋ РѕР±Р»Р°СЃС‚СЊ Рё РїРѕ РєРѕРјР°РЅРґРµ Р·Р»РѕСѓРјС‹С€Р»РµРЅРЅРёРєРѕРІ СЃРїРѕСЃРѕР±РµРЅ СЃРєСЂС‹С‚РЅРѕ Р·Р°РіСЂСѓР¶Р°С‚СЊ Рё СѓСЃС‚Р°РЅР°РІР»РёРІР°С‚СЊ СЃС‚РѕСЂРѕРЅРЅРµРµ РџРћ.

Р’ Р°РІРіСѓСЃС‚Рµ 2024 РіРѕРґР° РІ РєРѕРјРїР°РЅРёСЋ В«Р”РѕРєС‚РѕСЂ Р’РµР±В» РѕР±СЂР°С‚РёР»РѕСЃСЊ РЅРµСЃРєРѕР»СЊРєРѕ РїРѕР»СЊР·РѕРІР°С‚РµР»РµР№, РЅР° С‡СЊРёС… СѓСЃС‚СЂРѕР№СЃС‚РІР°С… Р°РЅС‚РёРІРёСЂСѓСЃ Dr.Web Р·Р°С„РёРєСЃРёСЂРѕРІР°Р» РёР·РјРµРЅРµРЅРёСЏ РІ СЃРёСЃС‚РµРјРЅРѕР№ С„Р°Р№Р»РѕРІРѕР№ РѕР±Р»Р°СЃС‚Рё. РС‚Рѕ РїСЂРѕРёР·РѕС€Р»Рѕ СЃРѕ СЃР»РµРґСѓСЋС‰РёРјРё РјРѕРґРµР»СЏРјРё:

... <a href="https://www.liveinternet.ru/users/rss_drweb_viruses/post507420656/">Р§РёС‚Р°С‚СЊ РґР°Р»РµРµ...</a>

Пустота захватила более миллиона ТВ-приставок на Android

Четверг, 12 Сентября 2024 г. 09:00 + в цитатник

12 сентября 2024 года

Специалисты «Доктор Веб» выявили новый случай инфицирования ТВ-приставок на базе Android. Вредоносная программа, получившая имя Android.Vo1d, заразила почти 1 300 000 устройств у пользователей из 197 стран. Это бэкдор, который помещает свои компоненты в системную область и по команде злоумышленников способен скрытно загружать и устанавливать стороннее ПО.

В августе 2024 года в компанию «Доктор Веб» обратилось несколько пользователей, на чьих устройствах антивирус Dr.Web зафиксировал изменения в системной файловой области. Это произошло со следующими моделями:

Модель ТВ-приставки	Заявленная версия прошивки
R4	Android 7.1.2; R4 Build/NHG47K
TV BOX	Android 12.1; TV BOX Build/NHG47K
KJ-SMART4KVIP	Android 10.1; KJ-SMART4KVIP Build/NHG47K

Во всех случаях признаки заражения оказались схожими, поэтому они будут описаны на примере одного из первых обращений. На затронутой трояном ТВ-приставке были изменены следующие объекты:

install-recovery.sh
daemonsu

Кроме того, в ее файловой системе появилось 4 новых файла:

/system/xbin/vo1d
/system/xbin/wd
/system/bin/debuggerd
/system/bin/debuggerd_real

Файлы vo1d и wd — компоненты выявленного нами трояна Android.Vo1d.

Авторы трояна, вероятно, пытались замаскировать один из его компонентов под системную программу /system/bin/vold, назвав его схожим именем «vo1d» (подменив строчную букву «l» цифрой «1»). По имени этого файла вредоносная программа и получила свое наименование. При этом такое написание созвучно со словом «void» (в переводе с английского — пустота).

Файл install-recovery.sh — это скрипт, который присутствует на большинстве Android-устройств. Он запускается при старте операционной системы и содержит данные для автозапуска указанных в нем элементов. Если у какой-либо вредоносной программы есть root-доступ и возможность записи в системный каталог /system, она может закрепиться на инфицированном устройстве, добавив себя в этот скрипт (либо создав его в случае отсутствия в системе). Android.Vo1d прописал в нем автозапуск компонента wd.

Модифицированный файл install-recovery.sh

Файл daemonsu присутствует на многих Android-устройствах с root-доступом. Он запускается системой при загрузке и отвечает за предоставление root-привилегий пользователю. Android.Vo1d прописал себя и в этом файле, также настроив автозапуск модуля wd.

Файл debuggerd является демоном, который обычно применяется для создания отчетов об ошибках. Но при заражении ТВ-приставки этот файл был подменен скриптом, запускающим компонент wd.

Файл debuggerd_real в рассматриваемом случае является копией скрипта, которым был подменен настоящий файл debuggerd. Специалисты «Доктор Веб» полагают, что по задумке авторов трояна исходный debuggerd должен был быть перемещен в debuggerd_real для сохранения его работоспособности. Однако из-за того, что заражение, вероятно, произошло дважды, троян переместил уже подмененный файл (то есть скрипт). В результате на устройстве оказалось два скрипта от трояна и ни одного настоящего файла программы debuggerd.

В то же время у других обратившихся к нам пользователей на зараженных устройствах был несколько иной список файлов:

daemonsu (аналог файла vo1d — Android.Vo1d.1);
wd (Android.Vo1d.3);
debuggerd (аналогичен описанному выше скрипту);
debuggerd_real (оригинальный файл утилиты debuggerd);
install-recovery.sh (скрипт, обеспечивающий загрузку указанных в нем объектов).

Изучение всех этих файлов показало, что для закрепления Android.Vo1d в системе его создатели использовали как минимум три различных метода — модификацию файлов install-recovery.sh и daemonsu, а также подмену программы debuggerd. Вероятно, они рассчитывали, что в инфицируемой системе будет присутствовать хотя бы один из целевых файлов, поскольку манипуляция даже с одним из них обеспечила бы успешный автозапуск трояна при последующих перезагрузках устройства.

Основная функциональность Android.Vo1d скрыта в его компонентах vo1d (Android.Vo1d.1) и wd (Android.Vo1d.3), которые работают в связке. Модуль Android.Vo1d.1 отвечает за запуск Android.Vo1d.3 и контролирует его активность, при необходимости перезапуская процесс. Также по команде управляющего сервера он может скачивать и запускать исполняемые файлы. В свою очередь, модуль Android.Vo1d.3 устанавливает на устройство и запускает зашифрованный в его теле демон (Android.Vo1d.5), который тоже способен скачивать и запускать исполняемые файлы. Кроме того, он отслеживает появление APK-файлов приложений в заданных каталогах и устанавливает их.

Проведенное вирусными аналитиками «Доктор Веб» исследование показало, что бэкдор Android.Vo1d заразил около 1 300 000 устройств, а география его распространения охватила почти 200 стран. Больше всего заражений было выявлено в Бразилии, Марокко, Пакистане, Саудовской Аравии, России, Аргентине, Эквадоре, Тунисе, Малайзии, Алжире и Индонезии.

Страны с наибольшим числом выявленных зараженных устройств

Возможной причиной того, что распространяющие Android.Vo1d злоумышленники выбрали своей целью именно ТВ-приставки, является то, что такие устройства часто работают на базе устаревших версий Android, в которых не закрыты уязвимости и для которых уже не выходят обновления. Например, модели у обратившихся к нам пользователей работают на базе Android 7.1 несмотря на то, что для некоторых из них в конфигурации указаны версии намного новее — Android 10 и Android 12. К сожалению, это нередкая практика, когда производители бюджетных устройств используют старые версии ОС и выдают их за более актуальные, чтобы повысить их привлекательность.

Кроме того, сами пользователи ошибочно могут воспринимать ТВ-приставки как более защищенные устройства по сравнению со смартфонами. Из-за этого они могут реже устанавливать на них антивирус и рискуют столкнуться с вредоносными программами при скачивании сторонних приложений или при установке неофициальных прошивок.

На данный момент источник заражения приставок бэкдором остается неизвестным. Одним из возможных векторов может рассматриваться атака промежуточной вредоносной программы, которая эксплуатирует уязвимости операционной системы для получения root-полномочий. Другим может быть использование неофициальных версий прошивок с root-доступом.

Dr.Web Security Space для мобильных устройств успешно детектирует все известные варианты трояна Android.Vo1d и при наличии root-доступа выполняет лечение зараженных гаджетов.

Индикаторы компрометации

Подробнее об Android.Vo1d.1

Подробнее об Android.Vo1d.3

Подробнее об Android.Vo1d.5

https://news.drweb.ru/show/?i=14900&lng=ru&c=9

Комментарии (0)

<a href="https://www.liveinternet.ru/users/rss_drweb_viruses/post507180411/">РСЃРїРѕР»СЊР·РѕРІР°РЅРёРµ РЇРЅРґРµРєСЃ Р‘СЂР°СѓР·РµСЂР° РґР»СЏ Р·Р°РєСЂРµРїР»РµРЅРёСЏ РІ СЃРєРѕРјРїСЂРѕРјРµС‚РёСЂРѕРІР°РЅРЅРѕР№ СЃРёСЃС‚РµРјРµ. РќРµСЃРѕСЃС‚РѕСЏРІС€Р°СЏСЃСЏ С†РµР»РµРІР°СЏ Р°С‚Р°РєР° РЅР° СЂРѕСЃСЃРёР№СЃРєРѕРіРѕ РѕРїРµСЂР°С‚РѕСЂР° РіСЂСѓР·РѕРІС‹С… Р¶РµР»РµР·РЅРѕРґРѕСЂРѕР¶РЅС‹С… РїРµСЂРµРІРѕР·РѕРє.</a> 
 
 
 РЎРєР°С‡Р°С‚СЊ РІ PDF

4 СЃРµРЅС‚СЏР±СЂСЏ 2024 РіРѕРґР°
РЎРѕС†РёР°Р»СЊРЅР°СЏ РёРЅР¶РµРЅРµСЂРёСЏ вЂ” РєСЂР°Р№РЅРµ СЌС„С„РµРєС‚РёРІРЅС‹Р№ РјРµС‚РѕРґ РјРѕС€РµРЅРЅРёС‡РµСЃС‚РІР°, РєРѕС‚РѕСЂРѕРјСѓ СЃР»РѕР¶РЅРѕ РїСЂРѕС‚РёРІРѕСЃС‚РѕСЏС‚СЊ. РћРїС‹С‚РЅС‹Р№ Р·Р»РѕСѓРјС‹С€Р»РµРЅРЅРёРє СѓРјРµРµС‚ РЅР°Р№С‚Рё РїСЂР°РІРёР»СЊРЅС‹Р№ РїРѕРґС…РѕРґ Рє Р¶РµСЂС‚РІРµ, Р·Р°РїСѓРіР°С‚СЊ РёР»Рё СѓР±РµРґРёС‚СЊ РµРµ РІС‹РїРѕР»РЅРёС‚СЊ РєР°РєРѕРµ-С‚Рѕ РґРµР№СЃС‚РІРёРµ. РќРѕ С‡С‚Рѕ РµСЃР»Рё РґР»СЏ СЂРµР°Р»РёР·Р°С†РёРё Р°С‚Р°РєРё РЅРµ С‚СЂРµР±СѓРµС‚СЃСЏ РєР°РєРёС…-Р»РёР±Рѕ Р·РЅР°С‡РёРјС‹С… РєРѕРјРјСѓРЅРёРєР°С‚РёРІРЅС‹С… СѓСЃРёР»РёР№, Р° РєРѕРјРїСЊСЋС‚РµСЂ РёР· С†РёС„СЂРѕРІРѕРіРѕ РїРѕРјРѕС‰РЅРёРєР° РїСЂРµРІСЂР°С‰Р°РµС‚СЃСЏ РІ РЅРµРІРѕР»СЊРЅРѕРіРѕ СЃРѕСѓС‡Р°СЃС‚РЅРёРєР° РїСЂРµСЃС‚СѓРїР»РµРЅРёСЏ?

Р¦РµР»РµРІРѕР№ С„РёС€РёРЅРі вЂ” РїРѕРїСѓР»СЏСЂРЅС‹Р№ РјРµС‚РѕРґ РґРѕСЃС‚Р°РІРєРё РІСЂРµРґРѕРЅРѕСЃРЅРѕРіРѕ РџРћ РЅР° РєРѕРјРїСЊСЋС‚РµСЂС‹ СЃРѕС‚СЂСѓРґРЅРёРєРѕРІ РєСЂСѓРїРЅС‹С… РєРѕРјРїР°РЅРёР№. РћС‚ РѕР±С‹С‡РЅРѕРіРѕ С„РёС€РёРЅРіР° РѕРЅ РѕС‚Р»РёС‡Р°РµС‚СЃСЏ С‚РµРј, С‡С‚Рѕ Р·Р»РѕСѓРјС‹С€... <a href="https://www.liveinternet.ru/users/rss_drweb_viruses/post507180411/">Р§РёС‚Р°С‚СЊ РґР°Р»РµРµ...</a>

Использование Яндекс Браузера для закрепления в скомпрометированной системе. Несостоявшаяся целевая атака на российского оператора грузовых железнодорожных перевозок.

Среда, 04 Сентября 2024 г. 10:00 + в цитатник

Скачать в PDF

4 сентября 2024 года

Социальная инженерия — крайне эффективный метод мошенничества, которому сложно противостоять. Опытный злоумышленник умеет найти правильный подход к жертве, запугать или убедить ее выполнить какое-то действие. Но что если для реализации атаки не требуется каких-либо значимых коммуникативных усилий, а компьютер из цифрового помощника превращается в невольного соучастника преступления?

Целевой фишинг — популярный метод доставки вредоносного ПО на компьютеры сотрудников крупных компаний. От обычного фишинга он отличается тем, что злоумышленники заранее собирают информацию и персонализируют свое сообщение, побуждая жертву выполнить какое-то действие, которое приведёт к компрометации. Основными целями преступники выбирают или высокопоставленных сотрудников, обладающих доступом к ценной информации, или сотрудников тех отделов, которые по долгу службы контактируют с множеством адресатов. В частности это касается работников отдела кадров: они получают массу писем от ранее незнакомых лиц с вложениями в самых разных форматах. Такой вектор атаки и был избран мошенниками в том случае, о котором мы сейчас вам расскажем.

В марте 2024 года в компанию «Доктор Веб» обратились представители крупного российского предприятия, работающего в отрасли грузовых железнодорожных перевозок. Внимание сотрудников отдела информационной безопасности привлекло подозрительное письмо с прикрепленным к нему вложением. После попытки самостоятельно определить, какую опасность несет приложенный файл, они обратились к нашим специалистам. Ознакомившись с полученным запросом, наши аналитики пришли к выводу, что компания чуть не стала жертвой целевой атаки. Задачами, которые ставили перед собой злоумышленники, был сбор информации о системе и запуск модульного вредоносного ПО на скомпрометированном ПК.

Для реализации атаки киберпреступники отправили на электронный адрес компании фишинговое письмо, замаскированное под резюме соискателя вакансии. К письму был приложен архив, якобы содержащий PDF-файл с анкетой. Этот файл имел «двойное» расширение .pdf.lnk. Сокрытие вредоносных объектов при использовании двойных расширений — довольно частая тактика злоумышленников, которой они пользуются для того, чтобы вводить своих жертв в заблуждение. По умолчанию ОС Windows скрывает расширения файлов для удобства пользователя. А если файл имеет «двойное» расширение, то система скрывает только последнее из них. Таким образом, в данном случае жертва могла видеть первое расширение — .pdf, а расширение .lnk было скрыто. Отметим, что даже при включенном отображении полных имен файлов расширение .lnk всегда скрывается ОС.

Идея компрометации систем посредством lnk-файлов не нова. Наиболее знаковая атака произошла в 2010 году, когда оборудование для обогащения урана в иранском городе Нетенз подверглось беспрецедентному кибервоздействию со стороны злоумышленников. Червь под название Stuxnet атаковал ПЛК, управляющие газовыми центрифугами, выводя последние на запредельную скорость вращения, а затем резко останавливая, из-за чего происходило разрушение их корпусов. Помимо порчи оборудования этот червь инфицировал более 200 000 компьютеров во многих странах мира. Основным вектором атаки был lnk-файл, который попал на управляющий компьютер предприятия на USB-носителе. А для запуска вредоносного достаточно было лишь перейти в папку, содержащую специально сформированный lnk-файл. В рамках атаки было задействовано 4 уязвимости нулевого дня, в частности эксплойт CPLINK, что позволило запустить червя Stuxnet без участия пользователя.

Метаданные, хранящиеся в lnk-файле

Истинное расширение .lnk является расширением ярлыков в ОС Windows. В поле «Объект» (Target) можно указать путь до любого объекта ОС — например, исполняемого файла — и запустить его с требуемыми параметрами. В рамках этой атаки скрытно происходил запуск интерпретатора команд PowerShell, скачивавший с сайта злоумышленников два вредоносных скрипта, каждый из которых запускал свою полезную нагрузку.

Схема атаки

Первая из них представляла собой отвлекающий PDF, а также исполняемый файл с названием YandexUpdater.exe, маскирующийся под компонент для обновления Яндекс Браузера (название реального компонента — service_update.exe). Данный исполняемый файл представляет собой дроппер трояна Trojan.Packed2.46324, который после ряда проверок, направленных на выявление факта запуска в эмулируемом окружении и наличия ПО для отладки, распаковывал в скомпрометированной системе трояна Trojan.Siggen28.53599. Последний имеет возможность удаленного управления, выполняет сбор системной информации и скачивание различных вредоносных модулей. Помимо данных функций троян также обладает возможностями по противодействию отладке. При выявлении процессов антивирусов, виртуальных машин и отладчиков троян перезаписывает свой файл нулями и удаляет его вместе с папкой, в которой он хранился.

Отвлекающий PDF-файл

Вторая полезная нагрузка состояла из отвлекающего PDF-файла и трояна Trojan.Siggen27.11306. Данный троян представляет собой динамическую библиотеку (DLL) с зашифрованной полезной нагрузкой. Особенность данного трояна заключается в том, что он эксплуатирует уязвимость Яндекс Браузера к перехвату порядка поиска DLL (DLL Search Order Hijacking). В ОС Windows DLL-файлы представляют собой библиотеки, которые используются приложениями для хранения функций, переменных и элементов интерфейса. В момент своего запуска приложения выполняют поиск библиотек в различных хранилищах данных в определенном порядке, поэтому злоумышленники могут попытаться «пролезть без очереди» и поместить вредоносную библиотеку в ту папку, где поиск DLL происходит с наибольшим приоритетом.

Упрощенная схема приоритета поиска библиотек

Данный троян сохраняется в скрытую папку %LOCALAPPDATA%\Yandex\YandexBrowser\Application под именем Wldp.dll. Именно в этот каталог устанавливается Яндекс Браузер, и там же браузер будет искать необходимые ему библиотеки при запуске. В свою очередь, легитимная библиотека Wldp.dll, функция которой заключается в обеспечении безопасности запуска приложений, является системной библиотекой ОС и находится в папке %WINDIR%\System32. А так как вредоносная библиотека располагается в папке установки Яндекс Браузера, то первой будет загружаться именно она. При этом она получает все разрешения основного приложения: может выполнять команды и создавать процессы от имени браузера, а также наследовать правила брандмауэра для доступа в интернет.

После запуска браузера вредоносная библиотека Wldp.dll расшифровывает зашитую в нее полезную нагрузку. Следует отметить, что расшифровка выполняется дважды. В первый раз она производится с помощью ключа, создаваемого на основе хеша пути, по которому расположена вредоносная DLL, а затем — с помощью глобального ключа, зашитого в тело трояна. Результатом расшифровки является шелл-код, выполнение которого позволяет злоумышленникам запустить в скомпрометированной системе приложение, написанное на языке .NET. В свою очередь, этот стейджер загружал из сети вредоносное ПО. К сожалению, на момент нашего расследования на сервере, с которым связывался загрузчик, искомый файл был недоступен, и нам не удалось узнать, какой конкретно троян скачивался в данном случае.

Таким образом, мы видим многовекторную и многоступенчатую схему инфицирования одновременно двумя разными троянами, которые доставляются в скомпрометированную систему при открытии файла из фишингового письма. Несмотря на запутанную реализацию, методы профилактики и защиты от таких атак довольно просты. Они изложены ниже.

Повышение осведомленности сотрудников в вопросах информационной безопасности (внимательно проверять ссылки и имена файлов, не открывать подозрительные объекты и т. п.).
Использование программных продуктов, выполняющих фильтрацию писем, для предотвращения доставки вредоносных писем и вложений — например, Dr.Web Mail Security Suite.
Установка на всех узлах сети антивирусного ПО, которое не пропустит опасный файл при работе в интернете или заблокирует подозрительную активность на компьютерах пользователей, если файл был доставлен на USB-носителе — например, Dr.Web Desktop Security Suite и Dr.Web Server Security Suite.
Своевременное обновление ПО, в рамках которого устраняются программные ошибки.

После обнаружения эксплуатации уязвимости в Яндекс Браузере мы передали информацию о ней в компанию Яндекс. Разработчики оперативно отреагировали на наше сообщение, в результате чего была выпущена версия Яндекс Браузера 24.7.1.380 с исправлением, а найденной уязвимости был присвоен идентификатор CVE-2024-6473.

В дальнейшем мы координировали дату публикации этой новости с разработчиками браузера, чтобы дать возможность пользователям получить исправленную версию Яндекс Браузера до обнародования подробностей об этой атаке.

Индикаторы компрометации

https://news.drweb.ru/show/?i=14899&lng=ru&c=9

Страницы: [36] 35 34 .... 1 Календарь

LiveInternet

О проекте

LiveInternetLiveInternet

-Поиск по дневнику

-Подписка по e-mail

-Постоянные читатели

-Статистика

Перейти к полной формеБыстрая запись

Главные тенденции I квартала

По данным сервиса статистики «Доктор Веб»

Статистика вредоносных программ в почтовом трафике

Шифровальщики

Сетевое мошенничество

Вредоносное и нежелательное ПО для мобильных устройств

Узнайте больше с Dr.Web

ТЕНДЕНЦИИ ПРОШЕДШЕГО ГОДА

Наиболее интересные события 2024 года

Статистика

Вредоносные приложения

Нежелательное ПО

Потенциально опасные программы

Рекламные приложения

Угрозы в Google Play

Банковские трояны

Главные тенденции IV квартала

По данным сервиса статистики «Доктор Веб»

Статистика вредоносных программ в почтовом трафике

Шифровальщики

Сетевое мошенничество

Вредоносное и нежелательное ПО для мобильных устройств

ГЛАВНЫЕ ТЕНДЕНЦИИ IV КВАРТАЛА

По данным Dr.Web Security Space для мобильных устройств

Угрозы в Google Play

Главные тенденции III квартала

По данным сервиса статистики «Доктор Веб»

Статистика вредоносных программ в почтовом трафике

Шифровальщики

Сетевое мошенничество

Вредоносное и нежелательное ПО для мобильных устройств