Mcafee подготовила отчет об угрозах за второй квартал 2011 года

Mcafee подготовила отчет об угрозах за второй квартал 2011 года

McAfee опубликовала отчет согласно которому число вредоносных программ для устройств с Android по сравнению с предыдущим кварталом подскочило на 76 процентов, в результате чего операционная система Android стала самой атакуемой мобильной платформой. 



Первые два квартала 2011 года стали самой активной первой половиной года за всю историю вредоносных программ. На это время пришлось первое появление ложного антивируса для Macintosh и значительный всплеск активности руткитов. При таких темпах роста общая численность «зоопарка» вредоносных программ в коллекции McAfee к концу года может достичь рекордной отметки в 75 млн образцов.

«В этом году мы наблюдаем рекордное количество вредоносных программ, особенно на мобильных устройствах, где всплеск их активности напрямую связан с ростом популярности этих устройств, — заявил Винсент Уифер (Vincent Weafer), старший вице-президент McAfee Labs. — В целом атаки становятся более скрытыми и более изощренными, что заставляет предположить существование атак, которые остаются незамеченными на протяжении длительных промежутков времени. Ситуация с угрозами безопасности изменилась также в результате активных действий „хактивистских“ групп, четко обозначивших границу между атаками для получения личной выгоды и атаками по идейным соображениям».

В отчете также говорится о конкретных действиях, характерных для методов работы киберпреступников: выпуске «прейскурантов» с ценами на большие списки адресов электронной почты, акциях «хактивизма» и случаях ведения кибервойны.

В 2011 году «зоопарк вредоносных программ» может достичь рекордной численности

В первой половине 2011 года было обнаружено около 12 млн новых образцов вредоносных программ, что на 22 процента больше, чем в 2010 году. Это самая активная первая половина года за всю историю вредоносных программ. С учетом статистики за второй квартал общее количество образцов вредоносных программ в базе данных McAfee составило примерно 65 млн. По оценкам аналитиков McAfee численность этого «зоопарка вредоносных программ» к концу года составит не менее 75 млн образцов.

Android перехватывает первое место по числу вредоносных программ

Поскольку огромное количество личных и деловых данных теперь хранится на мобильных телефонах, число вредоносных программ для мобильных платформ постоянно растет, нередко имитируя аналогичный вредоносный код для персональных компьютеров. Во втором квартале 2011 года наибольшей популярностью у разработчиков вредоносных программ стала пользоваться операционная система Android, опередив в этом отношении Symbian OS. Хотя Symbian OS и Java ME, если судить по статистике за предыдущие периоды, по-прежнему остаются самыми атакуемыми платформами, быстрый рост числа вредоносных программ для Android свидетельствует о том, что эта платформа может стать более частым объектом для атак кибепреступников, использующих для этого все возможные средства: приложения-календари, развлекательные приложения, SMS-сообщения, ложные обновления для игры Angry Birds и т. п.

Ложные антивирусы для Apple, руткиты и программы-невидимки вышли на новый уровень

Число пользователей Macintosh продолжает расти, и поскольку компании начинают все чаще использовать компьютеры Macintosh в деловой сфере, эта платформа начинает пользоваться все большей популярностью у авторов вредоносных программ. Если раньше ложные антивирусные программы не затрагивали платформу Apple, то теперь, как показывает статистика за второй квартал, ситуация изменилась. Хотя этот вид ложных антивирусов является первым в своем роде, McAfee Labs полагает, что со временем темпы распространения ложных антивирусов в целом будут спадать.
Другой категорией вредоносных программ, у которой в последнее время отмечаются стабильные темпы роста, являются программы-невидимки. Тактика сокрытия вредоносного ПО в рутките используется киберпреступниками для обеспечения невидимости и стабильной работы вредоносных программ. Особый резонанс среди атак этого вида, привлекших к себе большое внимание за прошедший год, получили такие атаки, как Stuxnet. За последние полгода темпы распространения программ-невидимок росли быстрее, чем в любой предыдущий период, на 38 процентов превысив показатель 2010 года.

«Хактивизм» и кибервойна дают о себе знать

Во втором квартале этого года одним из основных инфоповодов в киберпространстве стал «хактивизм» и, прежде всего, действия групп Anonymous и LulzSec. В отчете подробно описывается деятельность «хактивистов» за второй квартал. За этот период произошло не менее 20 глобальных атак, большинство из которых предположительно являются делом рук LulzSec. В отчете говорится также о зарегистрированных во втором квартале случаях ведения кибервойны, включая атаки на Оук-Риджскую национальную лабораторию (Oak Ridge National Laboratory) в США и атаку на южнокорейскую Национальную федерацию сельскохозяйственных кооперативов.

«Черный рынок» адресов электронной почты для спамеров

Хотя объем нежелательных сообщений по-прежнему находится на рекордно низком уровне (причиной чему отчасти является закрытие бот-сети Rustock), McAfee Labs прогнозирует появление нового скачка активности в ближайшие месяцы. Для увеличения объема рассылаемого спама киберпреступники обычно покупают большие списки адресов электронной почты, чтобы иметь возможность рассылать как можно больше нежелательных сообщений широкому кругу получателей. Независимо от того, идет ли речь о бот-сети или об арендованной услуге, цены на этом рынке варьируются и нередко зависят от региона. Так, например, в США текущая цена за 1 млн адресов электронной почты составляет 25 $, а в Англии 1,5 млн адресов стоят 100 $.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Windows-троян I2PRAT умело скрывает свое общение с C2-сервером

Эксперты G DATA опубликовали результаты анализа трояна удаленного доступа, которого от собратьев отличает использование анонимной сети I2P для C2-коммуникаций. Поскольку подобная маскировка большая редкость, находке было присвоено имя I2PRAT.

Как выяснилось, заточенный под Windows вредонос активен в интернете как минимум с марта этого года. Для его доставки может использоваться загрузчик PrivateLoader.

Атака начинается со спам-письма с вредоносной ссылкой. При переходе открывается фейковая страница с CAPTCHA и встроенным JavaScript — последнее время этот способ заражения набирает популярность.

 

В результате отработки скрипта в систему загружается лоадер. При активации он определяет, с какими привилегиями запущен процесс; если их недостаточно, уровень повышается до админа с использованием PoC-обхода UAC, разработанного в 2019 году участником Google Project Zero.

Вредонос также пытается нейтрализовать Microsoft Defender — отключить основные функции, заблокировать телеметрию и апдейты.

Инсталлятор RAT грузится в папку временных файлов и запускается на исполнение. Под компоненты трояна создается скрытая директория.

Основной модуль, main.exe, прописывается в системе как сервис. При активации он проверяет наличие обновлений в своей папке и приступает к загрузке плагинов (DLL) и запуску с помощью unit_init.

Два таких компонента отвечают за C2-связь. Один из них представляет собой I2PD, опенсорсный вариант клиента I2P, написанный на C++.

Остальные плагины используются для загрузки и эксфильтрации файлов, обеспечения поддержки RDP (в Windows Home, например, она отсутствует), добавления и удаления пользовательских аккаунтов и групп, диспетчеризации событий, создания запланированных задач.

Из последних обнаружены две: coomgr.exe ворует учетки из Google Chrome, sesctl.exe завершает сеансы указанных пользователей.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru