Почти половина вредоносных сайтов находятся США

Александр Панасенко 12 Марта 2010 - 11:29

...

Очередное исследование в сфере интернет-безопасности показало, что 44% сайтов с вредоносным кодом хостятся на серверах, расположенных в Соединенных Штатах. Следующими в списке идут Китай и Германия.

Исследование провела компания – производитель антивирусных продуктов AVG Technologies. Материалом для исследования послужила информация об интернет-угрозах, которую в течение полугода предоставляли пользователи продукта LinkScanner — разработки AVG, позволяющей обнаружить зараженные веб-страницы в режиме реального времени. Число пользователей, приславших сообщений об угрозах, приблизилось к 110 млн.

Исследование показало, что чаще всего зараженные ресурсы «воруют» реквизиты для доступа к онлайн-счетам, информацию о кредитных картах, личные данные пользователей и их пароли к аккаунтам в социальных сетях, пишет Help Net Security.

Оказалось, что около 44% активных веб-серверов, обслуживающих сайты с вредоносным кодом, расположены в США. Второе и третье места в «рейтинге» заняли Германия и Китай — для них этот показатель равен примерно 5%. Также было установлено, что большинство зараженных сайтов были взломаны хакерами, а до этого являлись вполне «законопослушными».

При этом в исследовании не говорится о том, где проживают хакеры, взломавшие сайты, — то есть зараженные ресурсы могут хоститься на территории США, но при этом создателями вредоносного кода могут оказаться хакеры из других стран.

По словам главного технического директора AVG Карела Облука (Karel Obluk), исследование развеяло популярный миф о том, что большинство серверов, обслуживающих сайты с вредоносным кодом, расположены на территории стран с неразвитым законодательством в сфере киберпреступности. США являются главной целью злоумышленников из-за развитой интернет-инфраструктуры: вредоносный код, размещенный на американских серверах, нанесет пользователям больший ущерб.

Облук также добавил, что в половине случаев вредоносный код был доступен на сайтах не более суток, что затрудняет обнаружение угроз.

Источник

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Татьяна Никитина 22 Ноября 2024 - 15:54

Трояны Домашние пользователи Корпорации

Инфостилер Jarka прожил год на PyPI под видом инструментов интеграции ИИ

Эксперты «Лаборатории Касперского» нашли на PyPI два схожих пакета, якобы реализующих доступ к API популярных ИИ-моделей — GPT-4 Turbo и Claude AI. Анализ показал, что истинной целью в обоих случаях является внедрение зловреда JarkaStealer.

Вредоносные библиотеки gptplus и claudeai-eng были загружены в репозиторий Python-кодов в ноябре прошлого года, притом из-под одного и того же аккаунта. До удаления с подачи Kaspersky их скачали более 1700 раз пользователи из 30 стран (в основном жители США, Китая, Франции, Германии и России).

Описания содержали инструкции по созданию чатов для ИИ-ботов и примеры работы с большими языковыми моделями (БЯМ, LLM). Для имитации заявленной функциональности в код был встроен механизм взаимодействия с демопрокси ChatGPT.

При запуске параллельно происходит загрузка с GitHub файла JavaUpdater.jar — инфостилера Jarka. При отсутствии у жертвы софта Java с Dropbox скачивается JRE.

Внедряемый таким образом вредонос умеет выполнять следующие действия в системе:

собирать системную информацию;
воровать информацию из браузеров;
прерывать процессы Google Chrome и Microsoft Edge (чтобы вытащить сохраненные данные);
отыскивать сессионные токены в Telegram, Discord, Steam, чит-клиенте Minecraft;
делать скриншоты.

Украденные данные архивируются и передаются на C2-сервер. После этого файл с добычей удаляется с зараженного устройства, чтобы скрыть следы вредоносной активности.

Как оказалось, владельцы JarkaStealer продают его в Telegram по модели MaaS (Malware-as-a-Service, «вредонос как услуга»), однако за доступ уже можно не платить: исходники были опубликованы на GitHub. В рекламных сообщениях и коде зловреда обнаружены артефакты, позволяющие заключить, что автор стилера владеет русским языком.

«Обнаруженная кампания подчёркивает постоянные риски, связанные с атаками на цепочки поставок, — отметил эксперт Kaspersky GReAT Леонид Безвершенко. — При интеграции компонентов с открытым исходным кодом в процессе разработки критически важно проявлять осторожность. Мы рекомендуем организациям внедрять строгую проверку целостности кода на всех этапах разработки, чтобы убедиться в легитимности и безопасности внешнего программного обеспечения или внешних компонентов».

Тем, кто успел скачать gptplus или claudeai-eng, рекомендуется как можно скорее удалить пакет, а также обновить все пароли и сессионные токены.