Добавить новость
Добавить компанию
Добавить мероприятие
Опасности января. Зловреды ищут пути
17.02.2012 07:00
версия для печати
Как отмечают эксперты компании Dr.Web, в январе 2012 года был выявлен новый способ распространения вредоносных ссылок среди пользователей поисковых систем. Как отмечается в очередном исследовании специалистов компании Dr.Web, в январе сетевые мошенники обратили свое внимание на формат выдачи ссылок поисковыми системами. В процессе поиска нужных ему сведений пользователь нередко выполняет сразу несколько обращений к поисковым системам, открывая в новых вкладках или окнах браузера отдельные страницы отчета поисковиков, содержащие найденные в индексе ссылки. Такие страницы принято называть «выдачей поисковой системы» (Search Engine Results Page, SERP). Именно эти страницы и стали подделывать мошенники, надеясь на то, что в суматохе пользователь не заметит подсунутую ему «лишнюю» страничку с поисковой выдачей. Кроме того, большинство людей относится к страницам выдачи поисковых систем с большей степенью доверия, чем к простому набору ссылок. В некоторых случаях мошенники даже подделывают целые поисковые системы, как, например, поступили создатели псевдопоискового сервиса LiveTool, интерфейс которого практически полностью копирует оформление «Яндекса», а ссылка «О компании» ведет на мошеннический сайт, имитирующий страницу социальной сети «В Контакте». Страничка поддельной поисковой системы может открыться автоматически при переходе по ссылке в выдаче настоящего поисковика. Кроме того, созданная злоумышленниками страница SERP обычно содержит ссылки, релевантные введенному ранее пользователем запросу, и потому на первый взгляд не вызывает каких-либо подозрений. В свою очередь, переход по ссылкам уже с этой страницы может привести потенциальную жертву на мошеннический сайт или ресурс, распространяющий вредоносное ПО. В настоящее время среди подобных ссылок замечены поддельные сайты, имитирующие странички социальных сетей, ресурсы, предлагающие сомнительные услуги на условиях псевдоподписки, и сайты распространяющие ПО семейства Trojan.SmsSend. Кстати, о популярности такого способа распространения вредоносных программ как продвижение вредоносных сайтов в поисковых системах говорят и эксперты компании Eset. В особенности этот способ распространения популярен в преддверии праздничных дней, когда пользователи активно ищут подарки в Интернете. При поиске подарка в топе выдачи поисковой системы могут оказаться ссылки на опасные сайты. Возвращаясь к угрозам января, эксперты Eset среди прочих тенденций указывают на увеличение числа вредоносных сценариев, которые перенаправляют пользователей на злонамеренные ресурсы. «Наличие в этом месяце большого числа срабатываний наших продуктов на различные вредоносные сценарии, которые перенаправляют пользователей на злонамеренные ресурсы, показывает высокий процент компрометации легальных ресурсов Рунета», - говорит директор Центра вирусных исследований и аналитики Eset Александр Матросов. По данным Eset, кстати, российскую десятку вредоносного ПО с показателем 8,77% в январе 2012 года возглавило семейство угроз HTML/ScrInject.B.Gen, которое с помощью Java-скриптов перенаправляет пользователя на опасные ресурсы, что позволяет киберпреступникам совершать атаки на компьютер. Однако влияние данной угрозы в России ослабевает - доля присутствия этого вредоносного ПО составила 8,77%, что меньше показателя декабря на 4,86%. Подобная киберугроза, семейство HTML/Iframe.B.Gen, расположилась на третьем месте российской десятки с долей проникновения в 2,36%. В свою очередь, о том, что в январе злоумышленники обратили внимание на владельцев мобильных телефонов с поддержкой Java, использующих возможности социальной сети «В Контакте» говорят эксперты компании Dr.Web. По их данным, после новогодних праздников участились случаи массового распространения спама в использующих протокол ICQ клиентах для обмена сообщениями. Злоумышленники предлагают пользователям скачать приложение для мобильного телефона, якобы являющееся клиентом для социальной сети «ВКонтакте». В рассылке сообщается, что с помощью данной программы можно с большим комфортом пользоваться возможностями данной социальной сети. Программа представляет собой файл в формате .jar, способный запуститься практически на любом мобильном устройстве с поддержкой Java. В процессе установки приложение отсылает SMS-сообщение на один из платных номеров и просит пользователя ввести в соответствующей форме на сайте злоумышленников полученный в ответном SMS код. Таким образом пользователь соглашается стать подписчиком некой услуги, за использование которой с его счета мобильного оператора будет ежемесячно списываться определенная сумма. Возвращаясь к исследованию Eset за январь, эксперты этой компании отмечают, что в Российском пространстве Интернета по-прежнему популярной остается злонамеренная программа Win32/Spy.Ursnif.A, которая крадет персональную информацию и учетные записи с зараженного компьютера, а затем отправляет их на удаленный сервер мошенников. В январе процент проникновения Spy.Ursnif составил 2,83%, что позволило ей удержать второе место российского рейтинга. Также в регионе высок процент распространения вредоносной программы Win32/Qhost (1,91% от общего числа угроз), которая модифицирует файл hosts и перенаправляет пользователя на фишинговые ресурсы. Еще об одной тенденции говорится в отчете компании Dr.Web. В январе 2012 года, по данным этого разработчика, на 25% сократилось число обращений в службу технической поддержки со стороны пользователей, пострадавших от действий программ-блокировщиков (так называемых «винлоков»). Связано это как с уменьшением числа самих приложений-вымогателей, так и с появлением у основных разработчиков антивирусов, решений позволяющих пользователю разблокировать компьютеры, инфицированные зловредами указанного типа. По итогам января, эксперты Eset отмечают также, что семейство зловредов Win32/Carberp, разработанное для кражи финансовых средств через банковские системы по-прежнему остается наиболее распространенной киберугрозой, обнаруживаемой при перенаправлении пользователей с легальных веб-ресурсов. В российском рейтинге Eset за январь эта угроза занимает восьмое место. О появлении новых банковских троянцев в январе говорят эксперты компании Dr.Web. В начале января в распоряжении специалистов Dr.Web оказался образец очередной модификации троянской программы Trojan.PWS.Ibank, отвечающей современным тенденциям использования систем ДБО. Эта вредоносная программа позволяет передавать злоумышленникам аутентификационные данные, ключи и сведения о конфигурации множества различных банк-клиентов. Особенность данной модификации троянца заключается в том, что она содержит в себе реализацию VNC-сервера. В коде сервера организована поддержка протокола работы с dedicated-сервером Zeus (Trojan.PWS.Panda), через который, собственно, и осуществляется сеанс удаленного управления. Другая немаловажная особенность данного троянца — присутствие модуля, предназначенного для мониторинга и перехвата информации специализированного программного комплекса, используемого в одном из государственных финансовых учреждений РФ. Примерно в это же время экспертами Dr.Web были зафиксированы случаи распространения другой вредоносной программы, с помощью которой злоумышленники планировали провести фишинговую атаку на клиентов одного из российских банков. Попадая на компьютер жертвы, Trojan.Hosts.5590 создает новый процесс explorer.exe и помещает туда собственный код, а затем прописывает себя в папке автоматического запуска приложений под именем Eldesoft.exe. В случае если для доступа к сайту банка используется браузер Microsoft Internet Explorer, троянец вызывает стандартную функцию crypt32.dll для установки поддельного сертификата. При добавлении сертификата в хранилище операционная система обычно демонстрирует соответствующее предупреждение: троянец перехватывает и закрывает это окно. Если для доступа к банковскому сайту используется другой браузер, для установки сертификата применяются функции из стандартной библиотеки nss3.dll. Связавшись с удаленным командным центром, Trojan.Hosts.5590 получает оттуда конфигурационный файл, содержащий IP-адрес фишингового сервера и имена доменов, которые троянец должен подменять. Впоследствии, при обращении к сайту системы банк-клиент по протоколу HTTPS, пользователю будет демонстрироваться поддельная веб-страница, а введенные им в форме авторизации учетные данные будут переданы злоумышленникам. В целом же, как отмечено в исследовании Eset, доля России от общего количества обнаруженного в мире вредоносного ПО в январе составила 12,36%. При этом зафиксирован высокий процент уникальных угроз, которые приходятся на регион – 32,80%, что выше показателя предыдущего месяца почти на 7%. Отметим также, что недавно «Лабораторией Касперского» был опубликован годовой отчет по киберугрозам. Среди самых показательных цифр – степень риска заражения, которому подвергаются компьютеры при веб-серфинге в разных странах мира. Эксперты «Лаборатории Касперского» составили рейтинг самых опасных для интернет-серфинга государств, лидером которого по итогам 2011 года стала Россия. Более 55% уникальных интернет-пользователей в стране в 2011 году подвергались веб-атакам. Эксперты «Лаборатории Касперского» отмечают, что в 2011 году произошли значительные изменения в тройке лидеров. Россия поднялась с третьего на первое место (+2,2%). Второе место осталось за Оманом с показателем 54,8%. На третье место с пятой позиции поднялись США с 50,1%. Автор: Денис Шишулин (info@mskit.ru) Рубрики: ПО, Web, Безопасность Ключевые слова: Лаборатория Касперского, Касперский, Dr Web, информационная безопасность защита, анализ информационной безопасности, троян, вирус, зловред, безопасный интернет, безопасность, Kaspersky, информационная безопасность, антивирус, eset, вирусная активность, системы безопасности, Доктор Веб, мошенничество, мошенничество в интернете
наверх
Для того, чтобы вставить ссылку на материал к себе на сайт надо:
|
||||||
А знаете ли Вы что?
NNIT.RU: последние новости Нижнего Новгорода и Поволжья13.11.2024 Т2 запустил первый тариф после ребрендингаз> 31.10.2024 «Осенний документооборот – 2024»: взгляд в будущее системы электронного документооборотаз>
|
||||