Обзор вирусной обстановки от компании «Доктор Веб» за 2008 год

Обзор вирусной обстановки от компании «Доктор Веб» за 2008 год

Компания «Доктор Веб» предлагает вашему вниманию обзор вирусной обстановки за 2008 год. Число вредоносных программ от общего количества сканируемых файлов на компьютерах пользователей выросло в 2 раза. В то же время объем вредоносных писем в общем почтовом трафике к концу года значительно уменьшился в связи с активным противодействием спам-хостерам. Основным инструментом для передачи вирусов были почтовые сообщения, специально созданные сайты, а также съёмные диски. В 2008 году также участились случаи фишинга и SMS-мошенничества.

Статистика распространения различных вредоносных программ в 2008 году

С начала 2008 года процент вредоносных программ в общем количестве просканированных объектов постоянно возрастал и достиг в апреле отметки, превышающей в 4 раза уровень начала года. Такая ситуация сохранилась до июля, после чего доля вредоносных файлов сократилась вдвое и составила к августу около 0,01% от числа проверенных объектов. До конца года данное процентное соотношение практически не менялось. Таким образом, на данный момент каждый 10 000-ый просканированный файл является инфицированным. Данную ситуацию иллюстрирует график зависимости процентного содержания инфицированных файлов от общего числа проверенных объектов в течение 2008 года.

Статистика распространения различных вредоносных программ в 2008 году

Следующий график иллюстрирует вирусную активность в почтовом трафике. В течение 2008 года содержание вредоносных программ среди всех проверяемых почтовых сообщений находилось на уровне 0,2-0,25 % (каждое 500-ое письмо содержало в себе вредоносное вложение или вредоносный скрипт). К концу года в связи с жесткими мерами, применяемыми в отношении спам-хостеров, уровень содержания вредоносных сообщений в почтовом трафике снизился до 0,02% (т.е. в настоящий момент каждое 5 000-ое сканируемое письмо содержит в себе вредоносный код).

Статистика распространения различных вредоносных программ в 2008 году. Почтовый траффик.

«Громкие» вирусы

В уходящем году наиболее заметными вредоносными программами были BackDoor.MaosBoot, Win32.Ntldrbot (Rustock.C) и различные модификации Trojan.Encoder.

BackDoor.MaosBoot запомнился тем, что прописывает себя в загрузочный сектор жёсткого диска и использует руткит-технологии для своего сокрытия в инфицированной системе. С января по март 2008 года были обнаружены несколько различных модификаций данного вируса.

Win32.Ntldrbot отличился тем, что использует одновременно множество методов своего сокрытия в системе, что позволяло оставаться ему незамеченным на протяжении нескольких месяцев. В частности, некоторые антивирусные разработчики считали этот вирус выдуманным и несуществующим.

Win32.Ntldrbot имеет мощный полиморфный протектор, реализованный в виде драйвера уровня ядра, а также функцию самозащиты. Кроме того, он противодействует отладке собственного кода, работает как файловый вирус, фильтрует обращения к заражённому файлу, внедряется в системные процессы, после чего начинает рассылку спама.

Разработчики компании «Доктор Веб» оперативно дорабатывали необходимые компоненты для эффективного противодействия BackDoor.MaosBoot и Win32.Ntldrbot, в результате чего Dr.Web оказался первым антивирусом, способным справляться с этими вредоносными программами штатными средствами без использования дополнительных утилит.

Известность в текущем году приобрел и троянец, получивший по классификации Dr.Web название Trojan.Encoder. При попадании в систему он шифрует документы пользователя, после чего предлагает заплатить автору вируса за утилиту дешифровки. В 2008 году распространялись сразу несколько модификаций данного троянца, отличающихся требуемыми суммами денег (в одном случае требовалось заплатить 10$, в другом — 89$), визуальными проявлениями в системе, а также длиной ключа, который применялся для шифрования файлов. Вирусные аналитики компании «Доктор Веб» оперативно добавляли новые модификации этого троянца в вирусную базу, а также разработали бесплатную утилиту, позволяющую расшифровать зашифрованные файлы. Данная утилита доступна для скачивания на официальном сайте компании «Доктор Веб».

Вредоносные почтовые рассылки

Наиболее заметными почтовыми рассылками 2008-го года, связанными с распространением вредоносных программ, стали рассылки различных модификаций Trojan.DownLoad.4419 и Trojan.PWS.GoldSpy.

Для распространения Trojan.DownLoad.4419 использовались письма со ссылками на якобы порно-ролики. При открытии по ссылке страницы браузера, предлагалось скачать и установить «кодек» для просмотра ролика. В этом «кодеке» и содержался вредоносный код. Авторы Trojan.DownLoad.4419 практически при каждой рассылке модифицировали исполняемый файл. Не намного реже менялся упаковщик, который применялся к исполняемому файлу, что усложняло определение данного троянца антивирусными программами. Вирусные аналитики компании «Доктор Веб» оперативно добавляли записи Trojan.Packed, позволявшие определять множество различных модификаций Trojan.DownLoad.4419, в том числе неизвестные на момент обнаружения.

Для распространения различных модификаций Trojan.PWS.GoldSpy использовались более разнообразные методы – данный троянец распространялся как в виде электронных открыток, так и в виде писем, направленных на устрашение получателей. В частности, в них говорилось о блокировании интернет-аккаунта из-за нелегальных действий пользователя в Интернете. Благодаря широкому распространению Trojan.PWS.GoldSpy в течение последних месяцев, в почтовом трафике значительно возрос процент троянцев, в функционал которых входит воровство пользовательских паролей. Это иллюстрирует график, отражающий динамику процентного содержания троянцев класса Trojan.PWS в почтовом трафике за текущий год.

Статистика распространения различных вредоносных программ в 2008 году. Вредоносные почтовые рассылки

Социальные сети

Популярность российских социальных сетей за 2008 год резко возросла, что привлекло внимание вирусописателей. В личных сообщениях и страницах профилей выдуманных пользователей содержались ссылки на сайты с разнообразными вредоносными программами.

Также были замечены рассылки якобы от имени администрации социальных сетей, которые на деле никакого отношения к ним не имели. Ссылки, указанные в них, вели обычно на подставные сайты, распространяющие вредоносный код.

Для снижения риска заражения, владельцы социальных сетей в последнее время применяют различные инструменты борьбы с подобными угрозами. В некоторых социальных сетях ссылки, публикуемые, в личных сообщениях, отображаются простым текстом. В результате этого перейти по ссылки можно только в случае ручного копирования адреса в соответствующую строку браузера. Другой вариант - при щелчке по внешней ссылке, присутствующей в сообщении, осуществляется переход на страницу, которая объясняет опасность, которую может таить подобная ссылка.

Впрочем, эти меры пока не могут полностью локализовать проблему распространения вредоносных программ через социальные сети. Компания «Доктор Веб» рекомендует многочисленным пользователям социальных сетей применять лицензионные антивирусные продукты, либо бесплатную утилиту Dr.Web LinkChecker, позволяющую проверить содержимое ссылки до её открытия.

ICQ как инструмент рассылки вредоносных сообщений

В течение 2008 года возросло число вредоносных рассылок, осуществляющихся посредством ICQ – программы для мгновенного обмена сообщениями.

Для распространения спам-сообщений и ссылок на вредоносные программы использовались как специально заведённые аккаунты, так и аккаунты, которым доверяет пользователь. Последнее возможно, когда компьютер пользователя, использующего ICQ-клиент, заражается вирусом, способным распространять сообщения по его контактному листу. В этом случае пользователь может узнать о том, что его ICQ-клиент рассылает спам, от другого пользователя, который получил это спам-сообщение.

Съёмные диски

Наряду с почтовыми рассылками, широкое распространение съёмных устройств привело к тому, что именно они стали одним из основных инструментов распространения вредоносных программ, в частности и для корпоративных пользователей. В базу Dr.Web они, как правило, заносятся под названием Win32.HLLW.Autoruner, т.к. для запуска вредоносных файлов используется механизм автозапуска программ, расположенных на съёмных устройствах, встроенный в операционные системы семейства Windows.

Широкое распространение вирусов, которые переносятся на съёмных устройствах, вынуждает руководство многих предприятий и госучреждений применять радикальные меры противодействия им – от использования специализированного ПО, призванного разграничивать доступ к съёмным устройствам различных групп сотрудников, до введения полного запрета на использование съёмных устройств.

На следующем графике показана динамика распространения различных модификаций вирусов класса Win32.HLLW.Autoruner в сотне самых встречающихся за месяц на протяжении всего 2008 года. Из этого графика можно сделать вывод, что вирусописатели уделяют всё больше внимания использованию съёмных дисков в качестве канала распространения вредоносных программ. Для этого используются новые методы, препятствующие обнаружению и анализу подобных угроз и защищающие их от удаления с флешки.

Статистика распространения различных вредоносных программ в 2008 году. Съёмные диски

Win32.Sector

Данный файловый вирус выделен в отдельный раздел, так как за 2008 год он причинил пользователям Интернета множество хлопот. В арсенал Win32.Sector входит заражение большинства исполняемых файлов, внедрение в системные процессы, загрузка и установка других вредоносных программ из Интернета, отключение компонента UAC, входящего в состав Windows Vista. Следующий график, отражающий процентное содержание вирусов класса Win32.Sector в общем числе сканируемых файлов, показывает низменный рост его распространения на протяжении всего 2008 года.

Статистика распространения различных вредоносных программ в 2008 году. Win32.Sector

SMS-мошенничество

В связи с тем, что распространять вредоносные программы становится сложнее, интернет-мошенники всё чаще применяют более простые и, одновременно, более эффективные методы получения прибыли. Один из них — рассылка сообщений с предложением отправить платное SMS. Для того, чтобы убедить пользователя сделать это, в ход идут различные приёмы — от уговоров от якобы его друзей до сообщений о бесплатных или очень выгодных услугах и рекламных акциях известных компаний.

Рассылки подобных сообщений осуществляются посредством ICQ, социальных сетей, электронной почты, а также с помощью установки плагина в интернет-бразуере, для удаления которого предлагается отправить всё то же SMS. Для данного типа плагинов вирусные аналитики компании «Доктор Веб» разработали специальную запись Trojan.Blackmailer.origin, которая позволяет обнаруживать даже их неизвестные варианты.

Стоимость каждой такой SMS ки зачастую достигает нескольких сотен рублей, хотя в исходном сообщении речь может идти о гораздо меньшей сумме.

Фишинг

В последние месяцы также активизировались фишинг-мошенники. Они рассылают сообщения от имени известных финансовых структур (в частности банков) и, с помощью различных ухищрений, завлекают пользователей перейти по ссылке, указанной в письме. Она в свою очередь приводит их на подставной интернет-ресурс, похожий на официальный сайт компании, клиентом которой они являются.

На подставном сайте пользователям под различным предлогом предлагается ввести свои приватные данные – параметры доступа к банковскому счёту, параметры аккаунта платного интернет-сервиса и пр. В последнее время фишинг-атакам подвергались клиенты JPMorgan Chase Bank, RBC Royal Bank, Google AdWords, PayPal, eBay и др.

В 2009 году можно ожидать продолжение роста распространения вредоносных программ через каналы, альтернативные почтовым рассылкам — системы мгновенного обмена сообщениями, съёмные устройства, социальные сети и пр.

Авторы вредоносных программ будут совершенствовать свои методики, в частности вероятно появление всё более сложных полиморфных упаковщиков и других способов затруднения анализа вредоносных файлов. Как и прежде, злоумышленники будут эксплуатировать уязвимости операционных систем и другого популярного ПО. Также прогнозируется постепенное увеличение содержания вредоносных программ, равно как и спама, в почтовом трафике в течение первых нескольких месяцев 2009 года.

В связи с тем, что антивирусные компании также постоянно совершенствуют технологии обнаружения и устранения последствий заражений вредоносными программами, некоторые кибер-преступники вынуждены менять свой род деятельности. К примеру, те, кто ранее ограничивался распространением писем с содержащимися в них ссылками на сайты (в частности с Trojan.DownLoad.4419), переходят на рассылку писем со ссылками на рекламные сайты.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Киберпреступники применяют ИИ в половине техник кибератак

Как показало исследование Positive Technologies, киберпреступники начали активно внедрять искусственный интеллект (ИИ) в свою деятельность. Уже в самом ближайшем будущем киберпреступники смогут найти ИИ применение во всех тактиках из базы MITRE ATT&CK, а также в 59% ее техник.

Как отмечают авторы исследования, до недавнего времени злоумышленники применяли ИИ не очень активно: он использовался лишь в 5% техник MITRE ATT&CK и еще для 17% применение такого инструментария признавалось перспективным.

Все изменило появление больших языковых моделей (LLM) и инструментов вроде ChatGPT, которые легальны и общедоступны. После выхода ChatGPT 4 количество фишинговых атак за год выросло в 13 раз.

Как особо обратили внимание аналитики, популярности инструментов ИИ у киберпреступников способствует также тот факт, что LLM не имеют ограничений, которые бы препятствовали генерации с их помощью вредоносного кода или инструкций. В итоге такие инструменты довольно широко используются для создания различных программных зловредов.

Обращение к большим языковым моделям помогает начинающим киберпреступникам,  ускорять подготовку к атакам. Злоумышленник может с их помощью уточнить, не упустил ли он чего-то или изучить различные подходы к реализации определенных шагов в ходе той иной акции.

Продвинутые инструменты поиска помогут начинающему злоумышленнику подобрать необходимую информацию и найти ответы на базовые вопросы. Особенно авторы исследования обращают внимание на ситуацию в развивающихся странах, где компании и госучреждения защищены хуже.

Среди методов атак, где малоопытные злоумышленники применяют ИИ наиболее широко, авторы исследования выделили фишинг, социальную инженерию, атаки на веб-приложения и слабые пароли, SQL-инъекции, а также сетевой сниффинг. Они не требуют глубоких технических знаний и их легко осуществлять с помощью публично доступных инструментов.

Благодаря ИИ уже на текущем уровне технологий можно автоматически генерировать фрагменты вредоносного кода, фишинговые сообщения, разного рода дипфейки, которые делают более убедительными привычные сценарии атак социальной инженерии, автоматизировать отдельные этапы кибератак, среди которых авторы исследования особо выделили управление ботнетами. Однако развить и создать новые инструменты ИИ для автоматизации и масштабирования кибератак пока могут только опытные злоумышленники.

«Пока что ни об одной атаке нельзя сказать, что она была полностью проведена искусственным интеллектом. Тем не менее мир информационной безопасности постепенно движется к автопилотированию как в защите, так и в атаке. Мы прогнозируем, что с течением времени киберпреступные инструменты и модули с ИИ будут объединяться в кластеры для автоматизации все большего числа этапов атаки, пока не смогут покрыть большую часть шагов», — предупреждают авторы исследования.

 

Если злоумышленникам удастся автоматизировать проведение атак на выбранную цель, следующим шагом может стать применение инструментов для самостоятельного поиска целей. Опытным киберпреступникам ИИ даст инструментарий для сбора данных о потенциальных жертвах из разных источников, причем в короткие сроки.

ИИ активно применяется при эксплуатации уязвимостей, причем потенциал данных инструментов реализован еще далеко не полностью. ИИ помогает создавать ботов, с высокой степенью точности имитирующих поведение людей. Активно используются в ходе атак и дипфейки, которые уже достигли довольно высокого уровня правдоподобия. Их применяют в ходе атак как на обычных людей, так и на компании.

«Высокий потенциал искусственного интеллекта в кибератаках — не повод для паники, — комментирует ситуацию аналитик исследовательской группы департамента аналитики Positive Technologies Роман Резников. — Нужно реалистично смотреть в будущее, изучать возможности новых технологий и системно заниматься обеспечением результативной кибербезопасности. Логичная контрмера атакующему ИИ — более эффективный ИИ в защите, который поможет преодолеть нехватку специалистов для защиты от кибератак через автоматизацию многих процессов».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru