Компания ESET обнародовала прогноз развития киберпреступного мира в наступающем году.

Специалисты отмечают, что уходящий год запомнится многочисленными утечками и неосторожным обращением компаний с персональными данными. Злоумышленники активно атаковали владельцев смартфонов — прежде всего на операционной системе Android.

В 2018 году зафиксирован значительный рост количества вредоносных майнеров, скрытно добывающих криптовалюты на компьютерах и мобильных устройствах жертв. Эксперты ESET полагают, что в дальнейшем такой криптомайнинг продолжит набирать обороты. Причём зловреды-майнеры будут всё чаще атаковать «умные» гаджеты, из которых будут создаваться целые фермы для добычи криптовалют. Более того, в конкурентной борьбе за вычислительные ресурсы майнеры начнут удалять соперников с инфицированных устройств.

Очевидно, киберпреступники продолжат развивать направление атак на устройства Интернета вещей. Прогнозируется также увеличение интенсивности персонифицированных атак, нацеленных на определённые группы пользователей и отдельные компании.

Кроме того, в 2019 году киберпреступники воспользуются преимуществами автоматизации и машинного обучения. Всё больше вредоносных кампаний будут включать веб-трекеры, которые отслеживают посещения сайтов пользователями. Эксперты ESET считают, что вскоре машинное обучение превратит фишинговые атаки из очевидных для многих ловушек в опаснейший инструмент. 

Представлено новое поколение персональных антивирусных продуктов ESET NOD32, которые обеспечивают повышенную эффективность компьютерной защиты и упрощают взаимодействие пользователей с инструментами по обеспечению безопасности.

В частности, расширена функциональность модуля «Защита домашней сети», который предназначен для проверки домашнего маршрутизатора и подключённых к нему устройств на предмет уязвимостей ПО и слабых паролей. Теперь в интерфейсе антивируса можно просматривать список устройств с указанием их операционных систем и убирать ненужные из зоны видимости.

Доработкам подвергся инструмент «Защита онлайн-платежей». Кроме того, улучшен модуль «Сканер UEFI»: теперь пользователь может запустить проверку вручную в интерфейсе продукта.

Ряд улучшений направлены на повышение удобства использования антивирусных средств. Новый модуль «Отчёт по безопасности» позволяет просматривать статистику киберугроз и ежемесячно формирует отчёт о работе антивируса, включая число обнаруженных угроз, заблокированных веб-страниц, спам-писем и др. Напрямую из этого модуля можно активировать функции «Антивор» и «Родительский контроль».

Отмечается, что время установки продуктов сократилось на 30–40 %. Российские покупатели могут воспользоваться новым сервисом «Гарантия антивирусной защиты»: в рамках программы клиент получает двойную защиту — антивирус и гарантию его надёжности (без дополнительной платы). 

Компания ESET предупреждает о росте активности вредоносной программы DanaBot, которая атакует пользователей устройств под управлением операционных систем Windows.

Названный зловред — это банковский троян. Программа имеет модульную архитектуру, а в основе большинства её функций лежат плагины. Так, например, модуль Sniffer внедряет вредоносный скрипт в браузер жертвы. Плагин Stealer, в свою очередь, собирает пароли из широкого спектра приложений — браузеры, FTP-клиенты, VPN-клиенты, чаты и почтовые клиенты, онлайн-покер и пр.

Вредоносная программа DanaBot написана на языке Delphi. В настоящее время зловред атакует европейских пользователей.

Злоумышленники, стоящие за распространением DanaBot, используют спам-рассылки, которые имитируют счета от различных компаний.

Отмечается, что операторы DanaBot недавно внесли изменения в архитектуру трояна, добавив новые функции. «У них появился плагин TOR, который потенциально можно использовать для создания скрытого канала связи между злоумышленником и жертвой, а также 64-битная версия Stealer-плагина и новый плагин для удалённого доступа к рабочему столу», — говорят в ESET. 

Компания ESET раскрыла первую известную атаку, в ходе которой задействован руткит для системы Unified Extensible Firmware Interface (UEFI).

UEFI — это интерфейс между операционной системой и микропрограммами, управляющими низкоуровневыми функциями оборудования. Зловреды для UEFI представляют собой мощный инструмент для кибератак: их сложно обнаружить, и они сохраняют присутствие в системе даже после переустановки ОС или замены накопителя.

Как сообщает ESET, в ходе обнаруженной атаки задействован руткит LoJax. В основу зловреда положена переработанная злоумышленниками версия легитимной программы LoJack от разработчика Absolute Software. Задача LoJack заключается в защите компьютера от потери или кражи. Эта программа реализована как модуль UEFI/BIOS, благодаря чему может пережить переустановку ОС или замену накопителя. LoJack при необходимости информирует законного владельца о местонахождении ПК.

Руткит LoJax сохранил «живучесть» легальной версии программы. Его основной задачей является загрузка на компьютер жертвы различных вредоносных компонентов и контроль их выполнения.

«Обнаружение LoJax доказывает, что этот тип вредоносного ПО представляет собой реальную, а не теоретическую угрозу», — отмечает ESET. 

Компания ESET предупреждает о том, что киберпреступная группировка PowerPool проводит атаки с использованием пока не закрытой «дыры» в операционных системах Microsoft Windows.

Речь идёт об уязвимости «нулевого дня», информация о которой была раскрыта в конце августа нынешнего года. Брешь связана с работой планировщика задач Windows. Злоумышленники могут повысить свои привилегии в системе и выполнить на компьютере жертвы произвольный программный код. Уязвимость затрагивает операционные системы Windows версий с 7 по 10.

Участники кибергруппы PowerPool используют брешь при проведении целевых атак. Нападения уже зафиксированы во многих странах, в том числе в России.

Атака начинается с рассылки вредоносных спам-писем с бэкдором первого этапа. Вредоносная программа предназначена для базовой разведки — она выполняет команды злоумышленников и передаёт собранные данные на удалённый сервер. Если компьютер заинтересовал киберпреступников, на него загружается бэкдор второго этапа: эта вредоносная программа предоставляет постоянный доступ к системе.

Таким образом, злоумышленники получают возможность красть конфиденциальную информацию и выполнять произвольные действия на инфицированном компьютере. 

Работающая в сфере IT-безопасности компания ESET информирует о всплеске активности новой программы-шифровальщика GandCrab, блокирующей доступ к данным на компьютере и требующей выплаты определённой суммы киберпреступникам для возвращения доступа к ценной информации.

Шифратор распространяется под видом программ для взлома популярных в пользовательской среде приложений и игр, таких, как Minecraft, Counter Strike, StarCraft, Adobe Acrobat, Microsoft Office, антивирусный софт и др. Попав в систему жертвы, GandCrab собирает информацию с устройства, включая имя компьютера, имя пользователя и IP-адрес. Далее вредоносная программа запускает процесс шифрования данных на жёстких, съёмных и сетевых дисках, удаляет резервные копии операционной системы и выводит на экран требование выкупа в криптовалюте.

GandCrab может шифровать файлы различных форматов, в том числе документы Microsoft Office, OpenOffice, PDF и текстовые файлы, базы данных, фотографии, музыку и видео. При этом восстановить зашифрованные данные в настоящее время не представляется возможным.

Эксперты компании ESET советуют воздержаться от установки любых «кряков» и пиратских версий легитимных программных продуктов. «Если заражение шифратором произошло, платить вымогателям не рекомендуется — получение выкупа ни к чему их не обязывает, зато мотивирует продолжать противоправную деятельность», — говорится в информационном сообщении антивирусного вендора.

Компания ESET проанализировала новую кибератаку известной группировки Turla, целью которой стала кража конфиденциальных данных госучреждений в странах Европы.

За кибершпионской кампанией Turla, предположительно, стоят русскоязычные организаторы. От действий злоумышленников пострадали сотни пользователей в более чем 45 странах, в частности правительственные и дипломатические учреждения, военные, образовательные, исследовательские организации и пр.

В ходе очередной атаки злоумышленники используют вредоносную программу с управлением через Microsoft Outlook. Для связи с этим зловредом служат электронные письма, содержащие специальным образом созданные PDF-файлы во вложении. С помощью таких посланий на заражённый компьютер могут оправляться различные команды, в том числе для сбора данных, а также для выполнения других программ и различных запросов.

Вредоносная программа проверяет каждое входящее письмо на наличие PDF-файла с командами. Кроме того, зловред дублирует своим операторам все исходящие письма жертвы. Таким образом, в руках злоумышленников может оказаться конфиденциальная информация.

«Вредоносная программа не первой использовала реальный почтовый ящик жертвы для получения команд и кражи данных. Однако это первый изученный бэкдор, использующий стандартный интерфейс программирования приложений электронной почты — MAPI», — отмечает ESET. Специалисты полагают, что на сегодняшний день Turla — единственная кибергруппа, которая использует подобные инструменты. 

Исследование, проведённое компанией ESET, позволяет говорить о том, что количество киберугроз, нацеленных на платформу Android, сокращается.

Так, в первые шесть месяцев 2018 года были обнаружены 348 уязвимостей для Android — это 41 % от общего числа «дыр», найденных в прошлом году. Таким образом, можно сделать вывод, что ситуация с безопасностью Android-устройств постепенно улучшается.

Отмечается также, что только четверть Android-багов 2018 года являются критическими. Это меньше доли уязвимостей данной категории, которые были обнаружены специалистами в предыдущие годы.

Общее число обнаружений Android-угроз сократилось на 27,48 % в сравнении с аналогичным периодом прошлого года и на 12,87 % в сравнении со второй половиной 2017 года.

Впрочем, злоумышленники продолжают активно атаковать владельцев Android-гаджетов. В настоящее время ежемесячно появляются около 300 новых образцов вредоносного кода для Android.

Причём сетевые злоумышленники разрабатывают качественно новые преступные схемы с использованием Android. К примеру, недавно была зафиксирована атака криптомайнеров на смарт-телевизоры на базе Android TV. 

Компания ESET сообщает о том, что сетевые злоумышленники организовали новую кибератаку, жертвами которой становятся поклонники игры Fortnite.

Напомним, что Fortnite — это мультиплатформенный шутер в жанре королевской битвы. Проект пользуется очень большой популярностью. Так, в июне нынешнего года разработчик — компания Epic Games — сообщил о 125 млн зарегистрированных игроков.

Сейчас игра доступна на Windows, macOS, PlayStation 4, Xbox One, iOS и Nintendo Switch. Кроме того, к выходу готовится Android-версия Fortnite — и именно тему грядущего анонса этой модификации игры эксплуатируют злоумышленники.

Специалисты ESET обнаружили множество сайтов, распространяющих вредоносное ПО под видом Fortnite для Android. Для продвижения этих зловредов используется площадка YouTube: мошенники размещают видеоролики с руководством по установке «мобильной версии» игры с сайта, ссылка на который дана в примечании к видео.

Если жертва попадается на крючок киберпреступников и загружает фальшивую игру, на мобильное устройство попадает вредоносное программное обеспечение, демонстрирующее рекламу или подписывающее пользователя на дорогостоящие SMS-сервисы. Кроме того, жертва рискует потерять игровой аккаунт и даже лишить работоспособности свой смартфон или планшет. 

Компания ESET предупреждает о появлении новой вредоносной программы, атакующей мобильные гаджеты — смартфоны и планшеты — под управлением операционной системы Android.

Зловред получил название HeroRat. Это троян класса RAT (Remote Administration Tool), предназначенный для удалённого управления инфицированными устройствами.

HeroRat распространяется через различные сайты в Интернете, в частности, через неофициальные магазины Android-приложений, социальные платформы и пр. Атакующие маскируют вредоносную программу под приложения, обещающие биткоины в подарок, бесплатный мобильный Интернет или накрутку подписчиков в соцсетях.

После запуска троян выводит сообщение об ошибке, в котором говорится, что программа не может работать на устройстве и будет удалена. На деле же удаляется лишь иконка приложения, а сам троян продолжает работу скрытно от пользователя.

Главная особенность HeroRat заключает в том, что управление его работой осуществляется посредством Telegram-бота. Через специальный интерфейс злоумышленники могут перехватывать и отправлять сообщения, красть контакты, совершать вызовы, записывать аудио, делать скриншоты, определять местоположение устройства и менять настройки.

Зловред предлагается по модели Malware-as-a-Service (вредоносное ПО в качестве услуги). Цена в зависимости от набора функций варьируется от 25 до 100 долларов США, а код программы продаётся за 650 долларов. 

Специалисты ESET зафиксировали новую кибершпионскую кампанию: неизвестные злоумышленники атакуют избранные цели в России.

Киберпреступники применяют вредоносную программу InvisiMole, которая открывает удалённый доступ к заражённому устройству, позволяет следить за действиями жертвы и перехватывать конфиденциальные данные.

Зловред InvisiMole имеет модульную архитектуру. В его состав, в частности, входят компоненты RC2FM и RC2CL, собирающие информацию о жертве. Способ распространения программы пока полностью не установлен: в настоящее время рассматриваются все варианты, включая инсталляцию вручную при наличии у злоумышленников физического доступа к компьютеру.

Модуль RC2FM может удалённо включать микрофон, записывать звук, делать снимки экрана, создавать списки файлов на накопителях, а также передавать собранную информацию злоумышленникам.

Компонент RC2CL, в свою очередь, обладает более широкой функциональностью. Он изучает заражённый компьютер и передаёт атакующим исчерпывающие данные о системе. Кроме того, атакующие могут включать веб-камеру и микрофон, делать снимки экрана и каждого открытого окна.

Любопытно, что группировка, использующая программу InvisiMole, активна как минимум с 2013 года, но до сих пор ей удавалось избегать обнаружения. Связано это с тем, что злоумышленники проводят исключительно целевые атаки. Кстати, помимо России, жертвы зафиксированы в Украине. 

Компания ESET обнаружила новую вредоносную программу, атакующую пользователей компьютеров под управлением операционных систем Windows: зловред получил название BackSwap.

Главная задача трояна — кража средств с банковских счетов жертв. Причём механизм атаки реализован с применением довольно оригинальной тактики, позволяющей обходить продвинутые механизмы защиты.

Эксперты говорят, что обычно банковские трояны внедряют в процессы браузера вредоносный код, с помощью которого отслеживается посещение сайтов финансовых организаций. В ходе атаки происходит изменение НТТР-трафика или перенаправление жертвы на фишинговый сайт. Это сложная задача, поскольку антивирусные продукты и защитные механизмы браузера распознают такое внедрение кода.

BackSwap действует иначе. Зловреду не требуется внедрение кода в процессоры браузера. Троян идентифицирует работу с онлайн-банком с помощью событий Windows в цикле ожидания сообщений. После этого вредоносный код внедряется в веб-страницу через консоль разработчика в браузере или в адресную строку.

«Так, чтобы внедрить скрипт в адресную строку, BackSwap имитирует нажатие комбинаций клавиш: CTRL+L для выбора адресной строки, DELETE для очистки поля, CTRL+V для вставки вредоносного скрипта и ENTER для его выполнения. Когда процесс завершён, адресная строка будет очищена, чтобы скрыть следы компрометации», — объясняет ESET.

Подобная схема позволяет обойти защитные механизмы и усыпить бдительность жертвы. Атака может осуществляться в различных браузерах, включая Google Chrome и Mozilla Firefox. 

Компания ESET сообщает об обнаружении новой мошеннической схемы, целью которой является кража криптовалют у пользователей мобильных устройств под управлением Android.

В Google Play появилось фишинговое приложение Cardano ADA Wallet, замаскированное под кошелёк для ADA — криптовалюты на базе блокчейн-платформы Cardano. При этом к настоящему проекту Cardano создатели зловреда не имеют никакого отношения.

После установки и запуска приложение предлагает пользователю перевести криптовалюту Cardano (ADA) в новый кошелёк. При этом, как можно догадаться, указывается кошелёк злоумышленников.

Кроме того, жертвам предлагается перевести в Cardano ADA Wallet содержимое настольного криптокошелька — для этого нужно ввести в приложении его номер и ключевую фразу. Эти данные также будут использованы для кражи средств.

Используется и ещё одна уловка для кражи цифровых денег: зловред предлагает обменять на Cardano (ADA) другие криптовалюты, включая Bitcoin, Litecoin, Dash, Bitcoin Cash, Bitcoin Gold, Dogecoin и Ripple. Средства при этом пойдут напрямую мошенникам, а обмен произведён не будет.

Сейчас вредоносное приложение удалено из Google Play. Но ничто не мешает злоумышленникам разместить его под другими названиями, а также выпустить на других площадках Android-приложений. 

Специалисты компании Avast обнаружили в магазине Google Play два приложения со встроенными средствами для скрытого майнинга. Эти программы загрузили тысячи владельцев мобильных устройств под управлением Android.

Вредоносный код для добычи криптовалюты Monero скрывается в приложениях SP Browser и Mr. MineRusher. Схема работы майнеров выглядит следующим образом. После запуска программы происходит автоматическое соединение с веб-сайтом apptrackers.org, где размещён CoinHive Java Script для добычи Monero. Как только соединение с доменом выполняется, начинается собственно майнинг.

Важно отметить, что весь процесс проходит незаметно для пользователя — в фоновом режиме, когда экран выключен, а устройство использует передачу данных или подключено к Wi-Fi. Результатом работы майнера могут стать сбои. Кроме того, происходит быстрый разряд аккумулятора.

Любопытно, что одновременно компания ESET обнаружила ряд криптовалютных зловредов в каталоге программного обеспечения популярной площадки Download.com. Вредоносный код, распространяющийся вместе с легитимными программами, предназначен для кражи биткоинов. Когда пользователь копирует и вставляет адрес своего биткоин-кошелька, чтобы перевести туда средства, зловред перехватывает эти данные и заменяет собственными. Если жертва не заметит подмену, её средства будут переведены на счёт злоумышленников. На сегодняшний день атакующие собрали 8,8 биткоина — больше 4 млн рублей по курсу на 15 марта. 

Компания ESET предупреждает о том, что сетевые преступники взяли на вооружение новую схему добычи криптовалют мошенническим путём.

Сообщается, что злоумышленники распространяют вредоносное приложение для обмана начинающих пользователей майнинговых сервисов. Программа под названием Monero Miner (XMR) разработчика My Portable Software нацелена на владельцев мобильных устройств под управлением операционных систем Android.

Приложение Monero Miner предназначено для добычи криптовалюты Monero. Причём в отличие от известных лжемайнеров, в которых заявленная функция майнинга попросту отсутствует, а задачей является демонстрация рекламы, Monero Miner действительно добывает цифровые деньги.

Проблема же заключается в том, что все средства, полученные при помощи Monero Miner, поступают преступникам, вне зависимости от того, какой адрес кошелька указывает пользователь во время настройки программы.

Приложение Monero Miner распространялось через магазин Google Play: программу загрузили десятки тысяч пользователей. Сейчас зловред удалён, но ничто не мешает злоумышленникам распространять его под видом других приложений и утилит. Кроме того, зловред с большой долей вероятности распространяется через неофициальные магазины Android-приложений.