Теги → атаки
Быстрый переход

Интенсивность атак на веб-приложения банков и торговых площадок выросла

Компания Positive Technologies опубликовала результаты анализа активности киберпреступников в четвёртом квартале минувшего года.

Отмечается, что сетевые злоумышленники всё чаще атакуют веб-приложения банков и электронных торговых площадок. Связано это с тем, что успешные взломы приносят ощутимую финансовую выгоду. Кроме того, информацию, полученную в результате компрометации торговых площадок, можно выгодно продать другим участникам торгов и компаниям-конкурентам.

По результатам исследования отмечено незначительное увеличение интенсивности атак в дневные и вечерние часы. При этом основная часть атак направлена на пользователей веб-ресурсов, которые в это время особенно активны.

Что касается атак в ночные и утренние часы, то злоумышленники проводят их с расчётом, что службы безопасности компаний не смогут своевременно обнаружить атаку и отреагировать должным образом.

Половина зарегистрированных компанией Positive Technologies атак на веб-ресурсы в прошлом квартале производилась с российских IP-адресов. В рейтинг стран — источников атак также вошли США (11,6 %), Китай (4,3 %), Франция (4,3 %) и Германия (2,5 %).

В целом, как отмечается, абсолютно любое веб-приложение вне зависимости от функциональных особенностей может стать мишенью для злоумышленников. После публикации информации о новой уязвимости злоумышленники в кратчайшие сроки разрабатывают эксплойты и начинают тестировать их на веб-приложениях. Для автоматизации атак нарушители могут использовать не только общедоступные готовые эксплойты и утилиты, но и целые ботнеты. 

Интенсивность атак мобильных троянов-вымогателей за год удвоилась

«Лаборатория Касперского» опубликовала подробный отчёт об эволюции вредоносных программ и развитии киберугроз в мобильной сфере.

Сообщается, что интенсивность атак на владельцев устройств под управлением операционных систем Android за минувший год выросла в 1,2 раза. При этом наибольшей угрозой для пользователей на протяжении последних нескольких лет являются трояны-рутовальщики, которые, получая права суперпользователя, выполняют на смартфоне или планшете произвольные вредоносные операции. Такие зловреды отображают большое количество рекламы, загружают и устанавливают различные компоненты и приложения, а также пытаются опустошить счета жертв.

В последнее время широкое распространение получили мобильные зловреды-вымогатели. Количество таких троянов подскочило в 2017 году вдвое по сравнению с предыдущим годом и в 17 раз по сравнению с 2015-м.

Россия в минувшем году заняла первое место по количеству пользователей, атакованных мобильными банковскими троянами. Как отмечается, с такими вредоносными программами в нашей стране сталкивался каждый 40-й пользователь Android-устройств.

В 2017 году были обнаружены несколько модульных троянов, один из способов монетизации деятельности которых — кража денег посредством WAP-подписок. Некоторые зловреды также имели модули для майнинга криптовалют: рост цен на цифровые деньги делает майнинг более выгодным делом, хотя производительность мобильных устройств не такая уж и высокая. 

Каждая вторая кибератака направлена на инфраструктуру компаний

Компания Positive Technologies обнародовала развёрнутый отчёт, освещающий ситуацию с безопасностью в Интернете и основные направления развития угроз в киберпространстве.

Исследование показало, что в прошлом году семь из каждых 10 атак были совершены с целью получения прямой финансовой выгоды — скажем, за счёт вывода денег с банковских счетов жертвы. Ещё 23 % нападений были произведены с целью кражи той или иной информации.

Практически каждая вторая — 47 % — кибератака была направлена на инфраструктуру компаний. В 26 % случаев пострадали веб-ресурсы. В течение всего 2017 года росло и количество жертв среди обычных пользователей.

В 2017 году злоумышленники продолжили совершенствовать методы социальной инженерии. Наиболее часто они использовали фишинговые сайты и фишинговые рассылки для целевых атак на организации. Чтобы письма выглядели правдоподобно, они подделывали адреса отправителей, регистрировали домены, похожие на доверенные, и даже взламывали контрагентов, чтобы отправлять письма от их имён в обход спам-фильтров.

Поднявшийся в 2017 году ажиотаж вокруг криптовалют и существенный рост популярности ICO привлекли злоумышленников, направивших атаки на криптовалютные биржи, кошельки частных лиц и ICO. И пока одни регистрировали криптокошельки и переводили на них деньги, другие опустошали эти кошельки, например, путём подбора учётных данных.

От DDoS-атак в 2017 году преимущественно страдали государственные компании, онлайн-сервисы и финансовые организации. Кроме того, отмечен рост количества атак в сегменте Интернета вещей.

В целом, кибератаки становятся всё более запутанными и сложными, в том числе из-за использования взломанных веб-приложений в качестве инструментов атаки, а также многоэтапных кампаний, затрагивающих не только целевую организацию, но и её партнёров.  

Positive Technologies: каждая атака по перехвату SMS-сообщений оказывается успешной

Компания Positive Technologies обнародовала результаты комплексного исследования, в ходе которого изучалась защищённость современных сотовых сетей.

Сообщается, что безопасность систем мобильной связи всё ещё находится на низком уровне, что подтверждается результатами работ по анализу защищённости сетей SS7 (Signaling System 7). Стандарт SS7 используется для обмена служебной информацией между сетевыми устройствами в телекоммуникационных сетях. В то время, когда разрабатывался этот стандарт, доступ к сети SS7 имели лишь операторы фиксированной связи, поэтому безопасность не была приоритетной задачей.

Сегодня сигнальная сеть уже не является в той же степени изолированной, поэтому злоумышленник, тем или иным путём получивший к ней доступ, имеет возможность эксплуатировать недостатки безопасности для того, чтобы прослушивать голосовые вызовы абонентов, читать SMS, похищать деньги со счетов, обходить системы тарификации или влиять на функционирование мобильной сети.

Исследование показало, что все сотовые сети подвержены атакам злоумышленников. Они, в частности, содержат опасные уязвимости, которые позволяют нарушить доступность сервисов для абонентов.

Практически в каждой сети можно прослушать разговор абонента или прочитать входящие SMS, а мошеннические операции можно успешно проводить в 78 % сетей.

Более того, успешными для злоумышленников являются 100 % атак, направленных на перехват SMS-сообщений. При этом кража передаваемых таким образом одноразовых кодов чревата компрометацией систем дистанционного банковского обслуживания, мобильных банков, интернет-магазинов, порталов государственных услуг и множества других сервисов.

Другой вид атак — отказ в обслуживании — представляет угрозу для электронных устройств Интернета вещей. Сегодня к сетям мобильной связи подключены не только отдельные устройства пользователей, но и элементы инфраструктуры «умных» городов, современные промышленные предприятия, транспортные, энергетические и иные компании.

Более подробно с отчётом Positive Technologies можно ознакомиться здесь

Уязвимость «нулевого дня» в Telegram использовалась для многоцелевых атак

«Лаборатория Касперского» сообщает о том, что в популярном в России мессенджере Telegram довольно долго присутствовала так называемая уязвимость «нулевого дня» (0-day), которую злоумышленники использовали для осуществления многоцелевых атак.

Проблема была выявлена в Windows-клиенте Telegram. Схема нападения заключается в использовании классической модели Right-to-Left Override (RLO) при отправке файлов собеседнику. Специальный непечатный символ RLO служит для изменения порядка следующих за ним в строке знаков на обратный. В таблице Unicode он представлен как «U+202E».

Легитимной областью использования RLO, в частности, является набор текста на арабском языке. В случае кибератак применение символа позволяет ввести жертву в заблуждение за счёт «переворачивания» имени файла и (или) его расширения.

В ходе атак на пользователей Telegram злоумышленники рассылали файлы с обработанным специальным образом названием. К примеру, JS-файл мог быть отправлен под именем photo_high_re*U+202E*gnp.js. В этом случае символ RLO заставит мессенджер перевернуть символы gnp.js. В результате, получателю придёт файл photo_high_resj.png, то есть PNG-картинка. При попытке просмотра такого «изображения» может быть выполнен вредоносный код.

Отмечается, что злоумышленники использовали несколько сценариев эксплуатации уязвимости. Это, в частности, атаки с целью получения контроля над системой жертвы и нападения с целью внедрения майнингового ПО. Подробности можно найти здесь.

«Лаборатория Касперского» говорит, что об уязвимости было известно, похоже, только злоумышленникам из России, так как все обнаруженные случаи эксплуатации происходили именно в нашей стране.

«Мы не обладаем точной информацией о том, как долго и в каких версиях была открыта уязвимость, но, со своей стороны, можем отметить, что случаи эксплуатации начались в марте 2017 года. Мы уведомили разработчиков о проблеме, и на сегодняшний день уязвимость не проявляется в продуктах Telegram», — отмечается в сообщении. 

NVIDIA начала выпускать драйверы GeForce с защитой от уязвимости Spectre

Как выяснилось, проблема уязвимостей, связанных со спекулятивным исполнением команд, затрагивает не только центральные, но и косвенно — графические процессоры. Ускорители NVIDIA не имеют алгоритма предсказания ветвлений, но драйверы исполняются на CPU и, соответственно, тоже подвержены атакам, которые были выявлены специалистами по безопасности в прошлом году, а на днях стали известны публике и, как следствие, злоумышленникам.

Итак, напомним: имеется три основных варианта уязвимостей. CVE-2017-5754, для удобства названная Meltdown, затрагивает наиболее фундаментальное разделение между пользовательскими процессами и ядром операционной системы. Она относительно проста в применении, но и успешно закрывается заплатками. NVIDIA сообщает, что её GPU-драйвер не подвержен этой уязвимости.

С «призрачной» и более сложной в применении Spectre всё сложнее: на данный момент надёжного способа полностью защититься от неё нет. Но производители выпускают обновления, уменьшающие вероятность успешной атаки. Согласно анализу специалистов NVIDIA, её драйверы могут быть потенциально подвержены варианту Spectre CVE-2017-5715, но пока исправлений нет — компания работает над проблемой с другими партнёрами из экосистемы.

А вот для варианта Spectre CVE-2017-5753 производитель ускорителей GeForce уже начал вносить в свои драйверы первые коррективы (в будущем обещаны и другие, более надёжные). Для Windows-систем выпущен драйвер 390.65: для продуктов серий Quadro, NVS — GeForce и Tesla начнут получать аналогичные драйверы в ближайшие дни. Для Linux компания уже представила драйверы 390.12 и 384.111: для ускорителей GeForce, Quadro, NVS — Tesla получат исправленные драйверы в ближайшее время.

Стоит отметить, что заплатки могут повлиять на исполнение вычислительных инструкций CPU за такт и несколько снизить эффективность работы драйвера. Но насколько это отразится на реальной производительности видеокарт в играх или приложениях, активно использующих преимущества GPGPU, ещё предстоит выяснить. Вполне возможно, ощутимых «проседаний» не будет.

Практически каждая вторая атака на веб-приложения нацелена на доступ к данным

Компания Positive Technologies обнародовала результаты исследования, в ходе которого изучались атаки на веб-приложения в третьем квартале нынешнего года.

Сообщается, что веб-приложения вне зависимости от функциональных особенностей по-прежнему остаются привлекательной мишенью для злоумышленников. В прошлом квартале число атак в сутки в среднем варьировалось от 500 до 700 и крайне редко опускалось ниже 200. Максимальное количество зафиксированных атак в день составило 4321.

Практически каждое второе кибернападение нацелено на доступ к данным, а 30 % атак направлены на пользователей. Отмечается увеличение интенсивности инцидентов в дневные и вечерние часы; при этом отдельные пики количества атак могут быть зафиксированы в любое время суток.

В прошлом квартале самой распространённой была атака «Внедрение SQL-кода» — доля таких инцидентов составила 25,5 %: в случае успешной реализации нападения злоумышленник может получить несанкционированный доступ к чувствительной информации или выполнить команды ОС.

На втором месте в рейтинге самых распространённых среди киберпреступников схем находится атака на пользователей веб-приложения «Межсайтовое выполнение сценариев» с результатом 22,7 %.

Ещё около 10 % пришлось на атаки типа «Подключение локальных файлов», направленные на выполнение произвольного кода на сервере. Примерно 8,2 % составили нападения класса «Удалённое выполнение кода и команд ОС», с помощью которых злоумышленник может получить полный контроль над сервером с веб-приложением.

Отмечается, что атаки на веб-ресурсы регионального значения происходят в гораздо больших объёмах, нежели на муниципальные, поскольку последние посещают меньше пользователей, которые могут стать потенциальными жертвами злоумышленников. Более подробно с результатами исследования можно ознакомиться здесь

Россия входит в десятку стран с наибольшим количеством DDoS-атак

«Лаборатория Касперского» рассказала о тенденциях развития DDoS-атак (распределённых атак типа «отказ в обслуживании») во втором квартале текущего года.

В период с апреля по июнь DDoS-нападения были зафиксированы по целям из 86 стран мира, что на 14 больше, чем в предыдущем квартале. Наибольшая часть атак пришлась на Китай — 58,07 %. На втором месте находится Южная Корея (14,17 %), а замыкают тройку Соединённые Штаты (14,03 %). Россия с результатом в 1,23 % оказалась на шестой позиции.

Распределение DDoS-атак по странам

Распределение DDoS-атак по странам

Во втором квартале 2017 года количество атак в день менялось от 131 (17 апреля) до 904 (13 апреля). При этом распределение по операционным системам почти сбалансировалось: доля Linux-ботнетов составила 51,23 %, а Windows — 48,77 %.

В прошлом квартале в глобальный арсенал киберпреступников вернулись длительные DDoS-атаки. Рекордная продолжительность составила 277 часов, что на 131 % больше, чем в первом квартале (120 часов), и почти достигает рекорда второго квартала 2016 года (291 час).

Динамика числа DDoS-атак

Динамика числа DDoS-атак

Другой особенностью квартала стало увеличения количества DDoS-атак, осуществляемых с целью вымогательства. Такой подход получил название Ransom DDoS, или RDoS. Злоумышленники посылают компании-жертве сообщение с требованием выкупа, который может составлять от 5 до 200 биткоинов. В случае неуплаты они обещают организовать DDoS-атаку на критически важный онлайн-ресурс жертвы. Сообщения зачастую сопровождаются кратковременными атаками в качестве демонстрации силы.

Во втором квартале 2017 года самым «тихим» в отношении DDoS днём остался понедельник (11,74 % атак), а вот наиболее напряженным стало воскресенье (15,57 %), за счёт снизившейся субботней активности (с 16,05 % в первом квартале до 14,39 %). Вторым по активности днём является четверг (15,39 %). 

Интенсивность кибератак на банкоматы растёт

Компания Positive Technologies сообщает о том, что количество логических атак на банкоматы с применением вредоносного программного обеспечения в Европе в 2016 году выросло на 287 % по сравнению с предыдущим годом.

Обнародованные данные были получены в ходе исследования зловреда GreenDispenser. Об этом трояне впервые стало известно в 2015 году после атак на банкоматы в Мексике. Затем кражи с применением данной программы были зафиксированы в странах Восточной Европы.

Расследование показало, что злоумышленники получали доступ в сервисную зону банкомата для установки GreenDispenser. После этого преступники при помощи трояна снимали с банкомата деньги. GreenDispenser рассчитан только на выдачу денег, а не на кражу данных банковских карт, поэтому, чтобы обычные держатели карт не сняли деньги до прихода мошенника, на экране отображалось сообщение о том, что банкомат временно не работает. Ущерб от деятельности GreenDispenser в 2015–2016 годах составил как минимум 180 тысяч долларов США.

Эксперты отмечают, что ущерб только от одной логической атаки на банкомат в Европе в среднем составляет 8434 долларов. В нынешнем году, по прогнозам специалистов, количество атак на банкоматы и собственно банки вырастет на 30 %.

«Из-за сходства устройства банкоматов злоумышленники могут использовать одно и то же вредоносное ПО для атак на банкоматы по всему миру. В последнее время мы наблюдаем уже нескрываемый интерес у участников киберпреступных форумов к теме ATM, в том числе к технологиям, используемым в разработке троянов. В связи с этим мы прогнозируем всплеск разработок новых вредоносных программ для атак на банкоматы и инфраструктуру управления банкоматами», — сообщает Positive Technologies. 

Кибергруппировка Cobalt с российскими корнями атаковала 250 организаций по всему миру

Хакерская группировка Cobalt, год назад атаковавшая банкоматы на Тайване и в Таиланде, существенно расширила сферу деятельности. Об этом сообщает РБК, ссылаясь на данные Positive Technologies.

Отмечается, что в течение первой половины нынешнего года злоумышленники атаковали более 250 компаний и организаций в 12 странах мира. Нападения, в частности, зафиксированы в СНГ, странах Восточной Европы и Юго-Восточной Азии, в Северной Америке, Западной Европе и Южной Америке.

Схема атаки сводится к рассылке фишинговых электронных писем с вредоносными вложениями. Злоумышленники атакуют банки, биржи, страховые компании, инвестиционные фонды и другие организации. Причём, прежде чем совершить нападение, группировка Cobalt предварительно взламывает инфраструктуру партнёров жертв — четверть всех атак приходится на госорганизации, промышленные и телекоммуникационные компании, а также на предприятия из сферы медицины.

Такой подход позволяет киберпреступникам рассылать фишинговые сообщения от имени официальных структур или партнёров атакуемых компаний. В результате, существенно повышаются шансы на успех атаки.

Группировка массово отправляет вредоносные письма с поддельных доменов, имитирующие сообщения от Visa, MasterCard, центра реагирования на кибератаки в финансовой сфере Центрального банка России (FinCERT) и пр. Количество получателей таких сообщений исчисляется тысячами.

По имеющимся данным, группировка Cobalt имеет российские корни. В «Лаборатории Касперского» полагают, что участники Cobalt — это выходцы из другой опасной группировки, Carbanak, первые атаки которой были зафиксированы ещё в 2013 году.

«Лаборатория Касперского» проанализировала фишинговые атаки на промышленные компании

«Лаборатория Касперского» зафиксировала рост интенсивности фишинговых атак на промышленные компании со стороны нигерийских злоумышленников.

Центр реагирования на инциденты информационной безопасности промышленных инфраструктур (Kaspersky Lab ICS CERT) за три месяца идентифицировал более 500 атакованных предприятий в более чем 50 странах мира. Причём доля индустриальных компаний среди них превысила 80 %.

Схема нападения выглядит следующим образом. Потенциальной жертве отправляется составленное специальным образом письмо: злоумышленники прилагают максимум усилий для того, чтобы получатель счёл такое послание легитимным и открыл вложение. Разумеется, прикреплённый файл в данном случае содержит вредоносный код, который выполняет ту или иную последовательность действий.

Специалисты «Лаборатории Касперского» выяснили, что в ходе проведённых атак письма рассылались в том числе от имени компаний — контрагентов потенциальных жертв: поставщиков, заказчиков, коммерческих организаций и служб доставки. В них получателям предлагалось срочно проверить информацию по счёту, уточнить расценки на продукцию или получить груз по накладной. При этом во всех письмах содержались вредоносные вложения, предназначенные для кражи конфиденциальных данных, а также установки скрытых средств удалённого администрирования систем.

Оказалось, что основная часть доменов, используемых для командных серверов вредоносного ПО, была зарегистрирована на лиц, проживающих в Нигерии.

Результатом фишинговых атак на индустриальные компании могут быть не только финансовые потери последних. Киберпреступники получают возможность проникнуть в промышленную сеть, а это чревато самыми непредсказуемыми последствиями. Теоретически при этом может быть нарушена нормальная работа целых отраслей. 

Интенсивность кибератак на информационные ресурсы РФ выросла втрое

Российские информационные ресурсы всё чаще подвергаются кибератакам. Об этом, как сообщает ресурс Searchengines.ru, рассказал заместитель секретаря Совбеза РФ Олег Храмов в ходе сессии «Глобальные киберугрозы: возможно ли безопасное развитие цифровой инфраструктуры?» в рамках Петербургского международного экономического форума (ПМЭФ).

По словам господина Храмова, в 2016 году на информационные ресурсы России было совершено более 50 млн кибернападений. Интенсивность хакерских атак по сравнению с 2015 годом подскочила втрое. Причём более 60 % из них осуществлялось из других стран.

Для защиты критической информационной инфраструктуры России формируется специальная государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак.

«Работоспособность любого элемента критически важной инфраструктуры может быть нарушена компьютерными атаками с использованием многочисленного и разнообразного пользовательского оборудования связи. Это и мобильные телефоны, и компьютеры, и телеприемники, и многие другие "умные" бытовые электронные устройства. Такое деструктивное воздействие может быть осуществлено не только в криминальных, но и в террористических и даже в военных целях. Государство должно быть готово к противодействию таким угрозам», — заявлял ранее Олег Храмов в интервью газете «Коммерсантъ».

По оценкам Ассоциации Электронных Коммуникаций (РАЭК), сейчас в разных странах мира работают не менее 40 млн киберпреступников. Примерный ущерб от их действий оценивается в 500 млрд долларов США.

Эксперты также указывают на стремительный рост числа вредоносных программ. Каждый месяц специалисты обнаруживают почти 12 млн новых вариантов зловредов. За последние два года было зафиксировано больше новых вредоносных кодов, чем за всё прошлое десятилетие. 

Yahoo! предупреждает пользователей своих сервисов о новой волне хакерских атак

Компания Yahoo! начала рассылать своим пользователям уведомления о том, что злоумышленники могли получить несанкционированный доступ к их аккаунтам.

В сообщении говорится, что взлом осуществлялся за счёт манипуляций с файлами cookie. Киберпреступники получали доступ к аккаунтам жертв без паролей. Эти атаки осуществлялись в 2015 и 2016 годах, но только сейчас Yahoo! открыто заговорила о проблеме.

Компания связывает новую волну атак на своих пользователей с крупномасштабным взломом, о котором было объявлено в сентябре прошлого года. Тогда сообщалось, что в конце 2014-го злоумышленники получили информацию по меньшей мере о 500 миллионах аккаунтов пользователей.

Таким образом, несанкционированный доступ к аккаунтам, зафиксированный в 2015–2016 гг., может затронуть десятки миллионов подписчиков сервисов Yahoo!.

Нужно также отметить, что в декабре 2016-го Yahoo! призналась в другом грандиозном взломе своих серверов. Этот инцидент произошёл ещё в августе 2013 года. Тогда неизвестной третьей стороне удалось похитить сведения, связанные с более чем 1 миллиардом учётных записей пользователей. 

Хакеры атакуют образовательные учреждения для изменения результатов ЕГЭ

Компания Positive Technologies обнародовала результаты исследования, посвящённого изучению интенсивности кибератак на общедоступные веб-приложения.

Приведённые данные основаны на статистике пилотных проектов внедрения защитного экрана уровня приложений PT Application Firewall в 2016 году. Эксперты отмечают, что атаки на веб-приложения открывают перед злоумышленниками широкие возможности: это доступ к внутренним ресурсам компании, чувствительной информации, нарушение функционирования приложения или обход бизнес-логики. Причём почти любая подобная атака может принести финансовую выгоду для киберпреступников и убытки для жертв.

Итак, сообщается, что наибольшее среднее количество атак в день — приблизительно 3500 инцидентов — зафиксировано в государственных учреждениях. Интернет-магазины занимают вторую строчку в этом рейтинге: в день регистрировалось около 2200 атак. В финансовой сфере отмечено около 1400 атак ежедневно.

Далее следуют IT-сектор и транспортная сфера с одинаковым результатом — около 700 инцидентов в сутки.

На шестом месте рейтинга оказалась сфера образования со 123 атаками в день. И это при том, что из расчётов среднего количества атак в сутки для более сбалансированной статистической картины исключён информационно-аналитический центр, в функции которого входит обработка результатов государственных экзаменов, поскольку время проведения пилотного проекта для него совпало с летним периодом, когда учащиеся школ сдавали ЕГЭ и ГИА. Но специалисты отмечают, что целью атак на информационно-аналитический центр, скорее всего, был доступ к результатам экзаменов и экзаменационным материалам.

Источником более трети атак на веб-приложения университетов в 2016 году стали «внутренние злоумышленники» (в среднем для сферы образования этот показатель равен 8 %). Вероятно, это учащиеся, имеющие доступ к беспроводным сетям образовательного учреждения, а также доступ к локальной сети в учебных аудиториях. 

Эксплойт-кит Stegano атакует посетителей крупных новостных сайтов

Компания ESET предупреждает о волне кибератак на посетителей крупных новостных сайтов с миллионной суточной аудиторией.

Злоумышленники применяют новый эксплойт-кит Stegano: он нацелен на пользователей браузера Microsoft Internet Explorer и уязвимых версий Flash Player. Конечной целью атак является внедрение в систему жертвы вредоносного ПО.

Киберпреступники применяет технику стеганографии: программный код маскируется в изображениях PNG. Атакующие незначительно меняют параметр прозрачности нескольких пикселей — изменения неразличимы визуально, но открывают широкие возможности внедрения кода. Модифицированные PNG-файлы используются в качестве рекламных баннеров.

Stegano рекламирует приложения Browser Defence и Broxu / ESET

Stegano рекламирует приложения Browser Defence и Broxu / ESET

Важно отметить, что инфицирование происходит без какого-либо участия со стороны пользователя. Для заражения достаточно открыть в Internet Explorer сайт, где размещена вредоносная реклама. При посещении такой веб-страницы эксплуатация уязвимостей производится автоматически.

В случае успешной атаки на компьютер загружаются различные вредоносные программы, включая банковские трояны, бекдоры, шпионское ПО и программы для кражи файлов. Эксперты говорят, что в будущем к этим инструментам могут добавиться шифраторы.