Теги → трояны
Быстрый переход

Пользователям YouTube угрожает опасный троян

«Доктор Веб» предупреждает о том, что сетевые злоумышленники используют популярный видеохостинг YouTube с целью распространения опасной вредоносной программы, инфицирующей компьютеры под управлением операционных систем Windows.

Зловред, получивший обозначение Trojan.PWS.Stealer.23012, написан на языке Python. Злоумышленники публикуют ссылки на вредоносную программу в комментариях к видеороликам на YouTube. Многие из таких роликов посвящены использованию жульнических методов прохождения игр с применением специальных приложений. Как раз за такие программы и другие полезные утилиты злоумышленники и выдают трояна.

При попытке перейти по указанной ссылке на компьютер жертвы загружается самораспаковывающийся RAR-архив с вредоносным кодом. После его запуска происходит инфицирование ПК, и зловред приступает к работе.

Главной задачей трояна является сбор конфиденциальной информации. Вредоносная программа похищает сохранённые логины/пароли из браузеров, копирует файлы с рабочего стола, делает снимки экрана.

Полученная таким образом информация упаковывается в архив spam.zip, который вместе с данными о расположении заражённого устройства отправляется на сервер злоумышленников. В результате, преступники могут получить доступ к учётным записям жертвы в социальных сетях и различных веб-сервисах, а также завладеть сведениями персонального характера. 

Интенсивность атак мобильных троянов-вымогателей за год удвоилась

«Лаборатория Касперского» опубликовала подробный отчёт об эволюции вредоносных программ и развитии киберугроз в мобильной сфере.

Сообщается, что интенсивность атак на владельцев устройств под управлением операционных систем Android за минувший год выросла в 1,2 раза. При этом наибольшей угрозой для пользователей на протяжении последних нескольких лет являются трояны-рутовальщики, которые, получая права суперпользователя, выполняют на смартфоне или планшете произвольные вредоносные операции. Такие зловреды отображают большое количество рекламы, загружают и устанавливают различные компоненты и приложения, а также пытаются опустошить счета жертв.

В последнее время широкое распространение получили мобильные зловреды-вымогатели. Количество таких троянов подскочило в 2017 году вдвое по сравнению с предыдущим годом и в 17 раз по сравнению с 2015-м.

Россия в минувшем году заняла первое место по количеству пользователей, атакованных мобильными банковскими троянами. Как отмечается, с такими вредоносными программами в нашей стране сталкивался каждый 40-й пользователь Android-устройств.

В 2017 году были обнаружены несколько модульных троянов, один из способов монетизации деятельности которых — кража денег посредством WAP-подписок. Некоторые зловреды также имели модули для майнинга криптовалют: рост цен на цифровые деньги делает майнинг более выгодным делом, хотя производительность мобильных устройств не такая уж и высокая. 

Трояны-майнеры приносят киберпреступникам миллионы долларов

«Лаборатория Касперского» обнаружила хакерские группировки, использующие методы и техники сложных целевых атак для распространения троянов, предназначенных для скрытой добычи криптовалют.

Бум цифровых денег привёл к тому, что пользователи Интернета всё чаще подвергаются атакам программ-майнеров. По оценкам, интенсивность таких нападений в прошлом году выросла практически в полтора раза по сравнению с 2016 годом.

Для распространения зловредов с функциями добычи цифровых денег используются разные методы. Такие трояны могут скрываться в различных приложениях или играх. Кроме того, пользователи становятся жертвами рекламного ПО.

Злоумышленники также начали прибегать к сложным техникам заражения — целевым атакам. Схема подобных нападений выглядит следующим образом. Жертву вынуждают скачать и установить некую программу со скрытым майнером. Установщик работает как легитимная утилита для Windows, а его главная цель — скачать сам майнер с удалённого сервера. После начала исполнения программы запускается легитимный процесс, а его код изменяется на вредоносный.

Рост количества атак троянов-майнеров

Рост количества атак троянов-майнеров

В результате троян работает под прикрытием легитимного процесса, поэтому пользователь не может распознать заражение. К тому же хакеры делают так, что отменить задачу становится невозможно: при попытке остановить операцию система перезагружается. В результате преступники обеспечивают своё присутствие на компьютере на продолжительное время.

Исследование «Лаборатории Касперского» показало, что трояны-майнеры приносят злоумышленникам огромные деньги. Только за последние шесть месяцев 2017 года преступники получили таким образом несколько миллионов долларов США. Подробнее о проблеме можно узнать здесь

Новый Android-троян атакует клиентов российских банков

«Доктор Веб» предупреждает о появлении новой вредоносной программы, атакующей пользователей мобильных устройств под управлением операционной системы Android.

Зловред, получивший название Android.BankBot.344.origin, представляет угрозу для клиентов российских банков. Троян замаскирован под приложение, якобы предоставляющее онлайн-доступ к финансовым услугам сразу нескольких кредитных организаций. Однако на деле программа имеет совершенно иную функциональность.

После установки на смартфон или планшет зловред предлагает пользователям либо войти в уже существующую учётную запись мобильного банкинга, используя имеющиеся логин и пароль, либо зарегистрироваться, введя информацию о банковской карте. Полученные данные сразу же передаются злоумышленникам, что позволяет им украсть деньги обманутых владельцев мобильных устройств.

Троян способен перехватывать входящие SMS. Таким образом, жертва даже не подозревает, что у неё снимают деньги, даже если подключена функция SMS-оповещений о списаниях.

Зловред был обнаружен в приложении «ВСЕБАНКИ — Все банки в одном месте», которое распространялось через магазин Google Play. Сейчас это приложение удалено, но ничто не мешает злоумышленникам интегрировать вредоносный код в другие программы. 

Сбербанк не считает вирусы основной киберугрозой для клиентов

Сбербанк выделил из целого ряда киберугроз для клиентов основную. Как оказалось, это не компьютерные вирусы или хакерские атаки, а социальная инженерия, на которую приходится порядка 80 % атак на клиентов.

«Для нас сейчас технические вопросы перестали быть актуальными, мы научились бороться с вирусами, компьютерными атаками, развиваем наш антифрод, у него достаточно высокая эффективность. Сейчас для нас основная проблема — социальная инженерия, которая составляет 80 % всех атак на наших клиентов», — сообщил руководитель службы информационной безопасности банка Сергей Лебедь на форуме по борьбе с кибермошенничеством Antifraud Russia 2017.

Каждый день Сбербанк фиксирует около 2 тыс. обращений клиентов, связанных с мошенничеством. Но попытки заручиться поддержкой правоохранительных органов пока не находят надлежащего отклика.

«В год в наших блэк-листах мы накапливаем около 50 тыс. записей о мошенниках по физическим лицам и несколько тыс. по юридическим лицам. Вопрос: почему эта информация не востребована правоохранительной системой, почему ей никто не занимается?», — задаёт вопрос глава службы информбезопасности Сбербанка. По его словам, в силовых структурах пока нет на сегодняшний день понимания, что этим нужно заниматься.

Сергей Лебедь отметил, что операторы связи тоже фиксируют случаи банковского мошенничества. Его слова подтвердил руководитель департамента по гарантированию доходов и управлению фродом «МегаФона» Сергей Хренов, рассказавший, что операторы связи видят банковские «трояны». В ходе одной из хакерских атак оператором за неделю было заблокировано 30 млн СМС со ссылкой на загрузку «трояна».

Россия лидирует по количеству атак мобильных банковских троянов

«Лаборатория Касперского» рассказала о развитии киберугроз в мобильном сегменте в третьем квартале нынешнего года.

Сообщается, что по сравнению со второй четвертью 2017-го количество вредоносных установочных пакетов, нацеленных на смартфоны и планшеты, увеличилось в 1,2 раза. Страной с самым большим процентом атакованных мобильных пользователей в третьем квартале остался Иран (35,12 %) — эту позицию он занимает с начала года. На второй и третьей строках находятся Бангладеш (28,3 %) и Китай (27,38 %), только они поменялись местами по сравнению с предыдущим кварталом. Россия в рейтинге находится на 35 месте (8,68 %).

С конца прошлого года наблюдается снижение числа установочных пакетов мобильных банковских троянов. Так, в прошлом квартале их количество сократилось в 1,4 раза по сравнению со второй четвертью текущего года. При этом Россия продолжает лидировать по интенсивности атак зловредов данного типа.

География мобильных банковских угроз в третьем квартале 2017 года (процент атакованных пользователей)

География мобильных банковских угроз в третьем квартале 2017 года (процент атакованных пользователей)

Наблюдается также сокращение числа установочных пакетов мобильных троянов-вымогателей. В течение минувшего квартала их число уменьшилось практически в два раза. Чаще всего мобильные вымогатели атакуют пользователей в Соединённых Штатах.

В третьем квартале отмечен рост активности мобильных вредоносных программ, крадущих деньги пользователей посредством подписок. Такие зловреды могут посещать сайты, позволяющие оплачивать услуги средствами со счёта мобильного телефона пользователя.

Традиционно львиная доля атак в мобильном сегменте направлена на владельцев устройств под управлением операционных систем Android. Более подробно об исследовании можно узнать здесь

Новая версия банковского трояна BankBot атакует Android-пользователей

Компания ESET предупреждает о появлении новой модификации довольно опасной вредоносной программы BankBot, крадущей банковские данные владельцев Android-устройств.

Злоумышленники маскируют зловреда под различные легальные приложения. К примеру, новая версия распространяется под видом игры Jewels Star Classic. Установка такой программы приводит к попаданию на смартфон или планшет вредоносных модулей.

Обнаруженная модификация BankBot получила улучшенную обфускацию (запутывание) кода и сложный механизм заражения, использующий службу специальных возможностей Android Accessibility Service. Через некоторое время после запуска троян отображает сообщение с предложением активировать службу Google Service в меню специальных возможностей Android. Если пользователь соглашается, BankBot получает полную свободу действий на устройстве.

В частности, зловред разрешает установку приложений из неизвестных источников, устанавливает компонент мобильного банкера и запускает его, активирует права администратора для основного модуля и пр.

Главная задача вредоносной программы заключается в краже данных банковских карт жертвы. Когда пользователь запускает Google Play, троян перекрывает экран легального приложения фальшивой формой ввода банковских данных и требует подтвердить правильность сохранённой информации. Полученные сведения затем отсылаются злоумышленникам. 

Check Point рассказала о найденных в Google Play вирусах

Считается, что инсталляция программ из официальных магазинов приложений абсолютно безопасна с точки зрения вероятности подхватить какой-нибудь вирус, но на самом деле даже размещённый в них софт может таить в себе вредоносные функции. Специалисты компании Check Point рассказали, какие угрозы они обнаружили в Google Play за последнее время.

В поле зрения экспертов по вопросам кибербезопасности попала утилита DU Antivirus Security, изначальное назначение которой — обеспечивать конфиденциальность личных данных, хранящихся в мобильном устройстве под управлением операционной системы Android. Однако, как оказалось, приложение само собирает и использует в коммерческих целях информацию о действиях пользователя: кому звонил, сколько длился разговор и т. п. Разумеется, всё это делалось без разрешения владельца гаджета, поэтому, когда стало известно о наличии в программе данной шпионской функции, Google удалила её из каталога Play Маркета. Произошло это ещё 24 августа, но уже 28 августа DU Antivirus Security снова стала доступна для скачивания в обновлённой версии и без функции слежки.

Гораздо больше неприятностей может доставить зловред, который без ведома пользователя отправляет платные SMS и подписывает его аккаунт на платные сервисы. Конечно, чтобы совершить перечисленные действия, трояну нужно получить необходимые для этого разрешения. Но многие пользователи предоставляют их добровольно, не подозревая, что после этого, скорее всего, не досчитаются денег на своём мобильном счёте. По данным Google, подобный вредоносный код содержался в 50 приложениях, которые были скачаны от 1 до 4,2 млн раз, прежде чем их удалили. Однако и тогда опасность не миновала: на просторах Play Маркета был обнаружен новый «штамм» вируса под названием ExpensiveWall, полученным в честь приложения Lovely Wallpaper, которое в числе прочих он использовал для заражения гаджетов. Вместе с обновлённой версией общее число загрузок вируса, согласно подсчётам CheckPoint, превысило 21 млн.

Киберпреступная схема «вымогатель как услуга» набирает популярность

Исследование, проведённое компанией Positive Technologies, показало, что во втором квартале текущего года продолжили набирать популярность сервисы «вымогатели как услуга» по сдаче троянов в аренду. США и Россия стали наиболее частыми жертвами атак, хотя больше четверти (28 %) киберкампаний были масштабными и затронули одновременно десятки стран.

Схема работы зловредов-вымогателей сводится к следующему. Проникнув на устройство жертвы, вредоносная программа шифрует файлы распространённых форматов. Далее на экран выводится сообщение с требованием выкупа за восстановление доступа к данным. Обычно жертве предлагается заплатить некую сумму в криптовалюте.

По статистике Positive Technologies, 67 % атак шифровальщиков во втором квартале текущего года были совершены с целью получения прямой финансовой выгоды. Так, нашумевшая эпидемия вируса-вымогателя WannaCry принесла злоумышленникам около $130 тыс., а ущерб компаний составил более миллиарда долларов.

Киберпреступники всё чаще сдают вредоносное ПО с функциями шифрования в аренду. Так, дистрибьютор Petya или Mischa получает от 25 % до 85 % от суммы платежей жертв, а троян-шифровальщик Karmen продаётся на чёрном рынке за $175.

Аналитики отмечают появление новых нестандартных цепочек проникновения в целевую систему. Например, группировка Cobalt использовала произвольные уязвимые сайты в качестве хостинга для вредоносного ПО. Члены группировки APT10 в ходе целевых атак сначала получали доступ в корпоративные сети провайдеров облачных сервисов, а затем по доверенным каналам проникали в сеть организаций-жертв. 

В письмах с «билетами в США» скрывается троян, ворующий пароли

Компания ESET предупреждает о том, что сетевые злоумышленники организовали вредоносную спам-рассылку с целью кражи паролей из браузеров и почтовых приложений.

Потенциальная жертва получает по электронной почте уведомление от лица авиакомпании Delta Air Lines. В письме сообщается, что билет в Вашингтон (столица США) успешно оплачен и его можно получить по указанной ссылке.

Тем, кто перейдёт на веб-страницу, будет предложено загрузить документ Microsoft Office. Этот файл вместо обещанного билета в США содержит специальный макрос. Если жертва игнорирует сообщение безопасности и включает макрос, происходит заражение компьютера трояном PSW.Fareit.

Названная вредоносная программа предназначена для кражи логинов и паролей, сохранённых в веб-браузерах Internet Explorer, Google Chrome, Mozilla Firefox и др., а также в приложениях для работы с электронной почтой Windows Live Mail и Mozilla Thunderbird.

Любопытно, что после кражи информации и её отправки на сервер киберпреступников троян уничтожает все следы своей активности и удаляется из системы. Злоумышленники же, имея логины и пароли жертвы, могут получить несанкционированный доступ к различным веб-сервисам, в которых зарегистрирован пользователь. Понятно, что это может обернуться утечкой конфиденциальной информации и финансовыми потерями. 

Новый Android-троян атакует приложения для вызова такси и оплаты штрафов ГИБДД

«Лаборатория Касперского» предупреждает о появлении новой версии вредоносной программы Faketoken, обладающей довольно развитой функциональностью.

Троян Faketoken, известный уже не один год, атакует устройства под управлением операционных систем Android. Различные модификации зловреда обладают разными возможностями. В частности, реализованы механизмы перекрытия окон приложений, шифрования и пр.

Новая версия Faketoken, как показывает предварительный анализ, попадает на мобильное устройство жертвы благодаря SMS-рассылке c предложением загрузить некие фотографии. После активации троян скрывает свой ярлык и начинает в фоновом режиме следить за звонками пользователя и тем, какие приложения тот запускает.

В процессе работы зловред записывает телефонные разговоры, осуществляемые по определённым номерам. Эти скрытые записи затем отправляются злоумышленникам. Таким образом, киберпреступники могут получить конфиденциальную информацию, скажем, финансового характера.

Кроме того, троян способен выводить собственные окна поверх окон легитимных приложений. Так, новая версия зловреда перекрывает несколько банковских приложений, а также приложения для покупки авиабилетов, бронирования номеров в гостиницах, вызова такси и оплаты штрафов ГИБДД. Подмена происходит мгновенно, а цветовая гамма подделки соответствует цветовой гамме оригинального приложения. Через фальшивые окна жертве предлагается ввести данные банковской карты.

Троян также отправляет злоумышленникам все входящие сообщения. Информация из них может пригодиться для подтверждения платежей.

Эксперты полагают, что новая версия трояна пока тестируется. Дело в том, что некоторые окна перекрытия содержат дефекты форматирования. Однако в будущем полнофункциональный вариант программы может нанести серьёзный финансовый ущерб пользователям Android в России и СНГ. 

Обнаружен сложный бекдор, задействованный в атаках шифраторов Petya и XData

Компания ESET опубликовала новую информацию об атаках опасного шифровальщика Petya (Diskcoder.C), который поразил компьютеры во многих странах по всему миру.

Как удалось выяснить, первыми жертвами зловреда стали украинские пользователи M.E.Doc, корпоративного программного обеспечения для отчётности и документооборота. Злоумышленники получили доступ к серверу обновлений M.E.Doc и с его помощью направили пользователям вредоносные апдейты с автоматической установкой.

Теперь экспертам ESET удалось обнаружить очень сложный бекдор, задействованный в атаках шифратора Petya, а также XData. Оказалось, что этот зловред был скрытно встроен в один из модулей M.E.Doc. Специалисты полагают, что проделать такую работу можно только при наличии доступа к исходному коду программы документооборота.

Более того, выяснилось, что бекдор был интегрирован как минимум в три обновления M.E.Doc — от 14 апреля, 15 мая и 22 июня нынешнего года. Через несколько дней после выхода последнего из названных апдейтов и началась эпидемия Petya.

Бекдор позволяет загружать и выполнять в заражённой системе другое вредоносное ПО — именно так осуществлялось начальное заражение шифраторами Petya и XData. Кроме того, программа собирает настройки прокси-серверов и электронной почты, включая логины и пароли из приложения M.E.Doc, а также коды компаний по ЕДРПОУ (Единому государственному реестру предприятий и организаций Украины), что позволяет идентифицировать жертв. 

МВД России: задержана группировка из 20 хакеров, заразившая трояном миллион смартфонов

МВД России сообщило о пресечении деятельность организованной группы из 20 человек, подозреваемой в хищении денежных средств с банковских счетов при помощи троянской программы. В операции по раскрытию преступной деятельности хакеров участвовали сотрудники Управления «К» МВД России совместно с оперативниками отдела «К» УМВД России по Ивановской области. Активное содействие полицейским оказала компания «Group IB».

What Mobile

What Mobile

По словам официального представителя МВД России Ирины Волк, жертвами преступной группировки стали более миллиона пользователей мобильных устройств. В состав группы входят участники, проживающие в Ивановской, Московской, Ростовской, Челябинской, Ярославской областей и Республики Марий Эл, а организатором преступного бизнеса оказался 30-летний житель Иваново. Ущерб от преступной деятельности группировки составил более 50 млн рублей.

В отношении членов преступной группировки возбуждено уголовное дело по части 4 ст. 159.6 УК РФ (мошенничество в сфере компьютерной информации). Решением суда четверых подозреваемых заключили под стражу, остальных отпустили под подписку о невыезде. В шести регионах России проведено 20 обысков, в ходе которых была изъята компьютерная техника, сотни банковских карт и SIM-карт, оформленных на подставных лиц.

Зловред Sathurbot атакует пользователей торрент-сервисов

Компания ESET предупреждает о росте активности вредоносной программы Sathurbot, которая распространяется через скрытые страницы с торрентами, размещённые на скомпрометированных сайтах.

Пользователи попадают на опасные веб-страницы через поисковую выдачу, когда пытаются найти, скажем, фильм или какой-либо программный продукт. Загрузив торрент, потенциальная жертва обнаруживает в нём «инсталлятор для кодека». Это исполняемый файл, после запуска которого в систему загружается собственно Sathurbot. Далее троян обращается к управляющему серверу, получает команды и выполняет их в заражённой системе.

Троян способен обновляться, загружать и запускать на инфицированном ПК другие исполняемые файлы. Зловред объединяет заражённые компьютеры в ботнет: сейчас эта сеть насчитывает около 20 тыс. устройств.

Другая функция Sathurbot предназначена для компрометации WordPress-сайтов. Для этого используется схема перебора паролей. Вредоносная программа направляет на заражённые компьютеры в составе ботнета данные для авторизации на найденных WordPress-сайтах. Каждый бот из 20 тыс. пытается авторизоваться только один раз — это позволяет избежать блокировки.

Через скомпрометированные сайты злоумышленники распространяют вредоносные торренты. Часть компьютеров в составе ботнета участвуют в раздаче торрентов, часть — только подбирают учётные данные к WordPress-сайтам.

Более подробную информацию о схеме работы вредоносной программы можно найти здесь

«Лаборатория Касперского» зафиксировала трёхкратный рост числа вредоносных программ для Android

Владельцы мобильных устройств под управлением операционной системы Android всё чаще становятся жертвами киберпреступников, использующих различные каналы распространения вредоносного софта, в том числе магазин приложений Google Play. Об этом свидетельствуют результаты исследования, проведённого «Лабораторией Касперского».

По данным вирусных аналитиков, в 2016 году вредоносных установочных пакетов для смартфонов и планшетов Android стало почти в три раза больше, чем годом ранее. При этом больше всего — в 8,5 раз — выросло количество программ-вымогателей, делающих невозможным использование мобильного устройства и требующих денег за его разблокировку. Активное развитие на протяжении всего прошедшего года получили также умеющие обходить защитные механизмы Android рекламные и банковские троянцы. Последней угрозе наиболее подвержены оказались российские пользователи.

По мнению специалистов, такой внушительный рост числа вредоносного ПО для Android обусловлен тем, что большинство устройств не получают (или получают поздно) обновления операционной системы. «Это приводит к тому, что смартфоны и планшеты оказываются уязвимы к старым, хорошо известным и легко доступным эксплойтам, которыми и пользуются зловреды, — поясняет антивирусный эксперт «Лаборатории Касперского» Роман Унучек. — Мы полагаем, что в 2017 году пользователи мобильных устройств по-прежнему будут чаще всего сталкиваться с раздражающими и потенциально опасными рекламными троянцами».

С развёрнутой версией отчёта «Лаборатории Касперского» можно ознакомиться на сайте securelist.ru.