Перейти к содержимому


Фото
- - - - -

«Доктор Веб»: обзор вирусной активности за 2022 год


  • Please log in to reply
1 ответов в теме

#1 News Robot

News Robot

    Creator of the News

  • Dr.Web Staff
  • 7 935 Сообщений:

Отправлено 29 Март 2023 - 11:23

29 марта 2023 года

В 2022 году наиболее распространенными угрозами вновь стали различные вредоносные приложения, при этом по сравнению с 2021 годом число их атак значительно возросло. Наиболее часто пользователи сталкивались с основанными на скриптовом языке AutoIt троянскими программами. Злоумышленники применяли их, чтобы скрыть от обнаружения другие угрозы. Атаковали пользователей и всевозможные загрузчики и дропперы. Первые скачивали и запускали на целевых компьютерах полезную нагрузку, вторые — распространяли в своем составе вредоносное ПО и извлекали его при заражении систем. Кроме того, активность проявили бэкдоры, дистанционно выполняющие различные команды, а также рекламные троянские приложения.

Среди угроз в электронной почте наиболее заметными стали всевозможные вредоносные скрипты, фишинговые PDF-документы и веб-страницы, а также вредоносные программы, эксплуатирующие уязвимости документов Microsoft Office. В почтовом трафике также встречались бэкдоры и другие троянские программы.

Весной 2022 года компания «Доктор Веб» опубликовала исследование APT-атаки на одну из телекоммуникационных компаний Казахстана. Наши специалисты выяснили, что за атакой стояла хакерская группировка Calypso APT. При этом злоумышленников в первую очередь интересовали почтовые серверы азиатских компаний с установленным ПО Microsoft Exchange. Тем не менее их жертвами стали компании и из других стран.

В течение года наши вирусные аналитики выявили сразу несколько атак с использованием вредоносных программ для платформы Linux. В сентябре киберпреступники пытались заразить ряд корпоративных компьютеров майнером. А в декабре была обнаружена троянская программа-бэкдор, которая эксплуатировала уязвимости во множестве устаревших версий плагинов к CMS WordPress и взламывала сайты на ее базе.

Интернет-аналитики «Доктор Веб» отмечали высокую активность мошенников — те продолжили создавать множество фишинговых и поддельных интернет-ресурсов. Популярностью среди злоумышленников пользовались подделки сайтов известных банков, онлайн-магазинов, нефтегазовых, транспортных и других компаний. Кроме того, они умело подстраивали свою незаконную деятельность под происходящие в мире события.

Вместе с тем не пришлось скучать и владельцам мобильных устройств. В течение года пользователи Android сталкивались со шпионскими программами, рекламными троянскими приложениями, мошенническим и нежелательным рекламным ПО. При этом злоумышленники вновь активно использовали каталог Google Play для распространения всевозможных угроз. Их успели загрузить десятки миллионов пользователей. В то же время наши специалисты обнаружили троянские приложения, похищавшие криптовалюту у владельцев как «андроидов», так и устройств под управлением iOS. В большинстве случаев киберпреступники прятали этих троянов в модифицированных версиях популярных криптокошельков.

Главные тенденции года

  • Выявление таргетированных атак
  • Появление новых угроз для мобильных устройств
  • Рост числа инцидентов с троянскими программами-вымогателями
  • Рост числа мошеннических сайтов

Наиболее интересные события 2022 года

В марте 2022 года «Доктор Веб» опубликовал исследование APT-атаки на одну из телекоммуникационных компаний Казахстана. Осенью 2021 года та обратилась в нашу вирусную лабораторию с подозрением на присутствие вредоносного ПО в корпоративной сети. Расследование инцидента показало, что за атакой стояла хакерская группировка Calypso APT. При этом компрометация серверов организации произошла намного раньше — еще в 2019 году. Злоумышленники применяли широкий набор вредоносных инструментов, но основными стали бэкдоры Backdoor.PlugX.93 и BackDoor.Whitebird.30, а также утилиты Fast Reverse Proxy (FRP) и RemCom. Первостепенной целью киберпреступников являлись почтовые серверы азиатских компаний с установленным ПО Microsoft Exchange. Однако жертвами данной APT-атаки стали и компании из ряда других стран — Египта, Италии, США и Канады.

В апреле вирусные аналитики «Доктор Веб» предупредили о росте числа атак на российские организации, когда злоумышленники шифровали файлы, но не требовали выкуп за расшифровку и не оставляли свои контакты. Для доступа к инфраструктуре целевых компаний атакующие применяли несколько схем. Во-первых, они эксплуатировали различные варианты уязвимостей ProxyLogon и ProxyShell в ПО Microsoft Exchange. Во-вторых, были зафиксированы случаи получения доступа к данным административных учетных записей через дамп памяти процесса lsass.exe с использованием утилиты ProcDump. В случае успеха атакующие подключались к контроллеру домена, откуда на устройства в корпоративной сети устанавливались приложения Bitlocker и Jetico BestCrypt Volume Encryption. С их помощью и выполнялось шифрование жестких дисков.

В конце лета была выявлена попытка заражения троянской программой-майнером Linux.Siggen.4074 ряда корпоративных компьютеров под управлением ОС Linux, принадлежащих одному из наших клиентов. Проведенный специалистами «Доктор Веб» анализ показал, что на пострадавших устройствах задача на скачивание этого трояна была прописана в планировщике cron. Благодаря установленному в целевых системах антивирусу Dr.Web попытки заражения успешно пресекались, что в очередной раз подтвердило важность обеспечения безопасности Linux-систем в той же мере, что и других платформ.

А уже в декабре необходимость такой защиты была продемонстрирована выявленной нашими специалистами троянской программой-бэкдором Linux.BackDoor.WordPressExploit.1. Она взламывала сайты под управлением CMS WordPress, эксплуатируя несколько десятков уязвимостей в устаревших версиях плагинов к этой платформе, для которых не были установлены необходимые исправления. В случае успеха в веб-страницы целевых сайтов внедрялся загружаемый с удаленного сервера вредоносный JavaScript. После этого при клике мышью в любом месте таких зараженных страниц пользователи перенаправлялись на нужные злоумышленникам сайты.

В течение года повышенную активность проявляли мошенники. При этом наряду с уже привычными схемами обмана они добавили в свой арсенал и новые приемы, соответствующие актуальной повестке дня. Например, летом наши специалисты выявили мошеннические рассылки должникам украинских банков, проживающим на освобожденных территориях. В сообщениях содержалась ложная информация о переуступке прав требования задолженностей, а также запрос на предоставление персональных данных. Чтобы такие поддельные сообщения выглядели более убедительно, мошенники отправляли их от имени кредитной организации АО «Тинькофф Банк» и добавляли к ним соответствующий логотип.

А осенью с целью похитить у пользователей деньги и собрать актуальные персональные данные мошенники эксплуатировали тему частичной мобилизации. Так, потенциальным жертвам поступали сообщения с информацией о наличии их данных в списках призывников и о том, что через портал «Госуслуги» в скором времени им должна прийти повестка. При этом для большей убедительности мошенники обращались к пользователям по имени и отчеству. В конечном счете пользователям предлагалось перевести деньги на биткойн-кошелек отправителя такого сообщения, чтобы «перестраховаться» и попасть «во вторую очередь первичной мобилизации». В других случаях потенциальным жертвам уже на мошеннических сайтах предлагалось проверить свои данные по «закрытым базам данных комиссариатов», указав информацию о себе. На самом деле все вводимые данные поступали злоумышленникам.

Вирусная обстановка

Анализ статистики детектирований антивируса Dr.Web за 2022 год показал увеличение общего числа обнаруженных угроз на 121,60% по сравнению с 2021 годом. Число уникальных угроз при этом снизилось на 24,84%. Чаще всего пользователей атаковали троянские приложения, которые злоумышленники применяли в связке с другими угрозами для затруднения обнаружения последних. Кроме того, активность проявляли рекламные трояны, бэкдоры и всевозможные установщики ПО.

Вирусная обстановка

BAT.Hosts.186
Вредоносный скрипт, написанный на языке командного интерпретатора ОС Windows. Модифицирует файл hosts, добавляя в него определенный список доменов.
Trojan.AutoIt.961
Trojan.AutoIt.710
Trojan.AutoIt.289
Trojan.AutoIt.1122
Утилита, написанная на скриптовом языке AutoIt и распространяемая в составе майнера или RAT-трояна. Выполняет различные вредоносные действия, затрудняющие обнаружение основной полезной нагрузки.
Trojan.MulDrop15.62951
Дроппер, распространяющий и устанавливающий другое вредоносное ПО.
Trojan.Hosts.48196
Детектирование модифицированного файла hosts в ОС Windows, измененного с целью блокировки доступа к сайтам антивирусных компаний и различных ИТ-форумов, где оказывают помощь в лечении заражений.
Trojan.BPlug.3844
Вредоносное расширение для браузера, предназначенное для выполнения веб-инжектов в просматриваемые интернет-страницы и блокировки сторонней рекламы.
Trojan.InstallCore.4047
Распространенный установщик рекламного ПО, который демонстрирует рекламу и устанавливает дополнительные программы без согласия пользователя.
DPC:Trojan.Starter.7691.@1
Детектирование угрозы, процесс которой инициализируется в целевой системе через запуск командной строки с определенными параметрами. В данном случае на атакуемых компьютерах фиксировались попытки запуска вредоносной программы Trojan.Starter.7691, которая предназначена для запуска другого вредоносного ПО на целевом устройстве.

В почтовом трафике в 2022 году чаще всего встречалось вредоносное ПО, использующее уязвимости офисных документов, а также всевозможные вредоносные скрипты. Кроме того, киберпреступники активно распространяли мошеннические письма с фишинговыми PDF-документами и HTML-файлами. Они могли представлять собой, например, фиктивные формы ввода учетных данных, которые имитируют авторизацию на известных сайтах. Указанные в них данные отправлялись злоумышленникам.

Вирусная обстановка

JS.Inject
Семейство вредоносных сценариев, написанных на языке JavaScript. Они встраивают вредоносный скрипт в HTML-код веб-страниц.
W97M.DownLoader.2938
Семейство троянов-загрузчиков, использующих уязвимости документов Microsoft Office. Они предназначены для загрузки других вредоносных программ на атакуемый компьютер.
JS.Redirector.450
JS.Redirector.448
JS.Redirector.435
Вредоносные скрипты, перенаправляющие пользователя на подконтрольные злоумышленникам веб-страницы.
LNK.Starter.56
Детектирование специальным образом сформированного ярлыка, который распространяется через съемные накопители и для введения пользователей в заблуждение имеет значок диска. При его открытии происходит запуск вредоносных VBS-скриптов из скрытого каталога, расположенного на том же носителе, что и сам ярлык.
Exploit.CVE-2018-0798.4
Эксплойт для использования уязвимостей в ПО Microsoft Office, позволяющий выполнить произвольный код.
BackDoor.SpyBotNET.25
Бэкдор, написанный на .NET. Способен манипулировать файловой системой (копирование, удаление, создание директорий и т. д.), завершать процессы, делать снимки экрана.

Шифровальщики

По сравнению с 2021, в 2022 году в вирусную лабораторию «Доктор Веб» поступило на 2,81% больше запросов от пользователей, пострадавших от шифровальщиков. Динамика регистрации запросов на расшифровку файлов за прошедшие 12 месяцев показана на графике:

Шифровальщики

Наиболее распространенные шифровальщики в 2022 году:

Trojan.Encoder.26996
Шифровальщик, известный как STOP Ransomware. Пытается получить приватный ключ с сервера, а в случае неудачи пользуется зашитым. Один из немногих троянов-вымогателей, который шифрует данные поточным алгоритмом Salsa20.
Trojan.Encoder.3953
Шифровальщик, имеющий несколько различных версий и модификаций. Для шифрования файлов применяет алгоритм AES-256 в режиме CBC.
Trojan.Encoder.567
Шифровальщик, написанный на Delphi. История развития трояна насчитывает множество версий с использованием различных алгоритмов шифрования. Как правило, распространяется в виде вложений к электронным письмам.
Trojan.Encoder.11539
Шифровальщик, имеющий множество модификаций, которые отличаются разным набором алгоритмов шифрования. Как правило, распространяется в виде вложений к электронным письмам и для шифрования файлов использует алгоритм AES-256 в режиме CBC.
Trojan.Encoder.30356
Шифровальщик, написанный на Delphi и известный как Zeppelin Ransomware. Для шифрования файлов использует симметричный алгоритм AES-256, а для защиты закрытого ключа — асимметричный RSA-2048.

Сетевое мошенничество

В 2022 году интернет-аналитики «Доктор Веб» выявили множество мошеннических сайтов различной тематики. Так, в феврале и июле отмечался рост числа сайтов, замаскированных под онлайн-сервисы доставки. Для каждого посетителя генерировалась уникальная страница с конфиденциальными данными, где для оплаты «услуги» требовалось ввести данные банковской карты.

Сетевое мошенничество

В марте наблюдалась повышенная активность интернет-ресурсов, которые якобы выплачивали деньги за просмотр видео. С них потенциальные жертвы перенаправлялись на сайты, где требовалась обязательная регистрация с указанием данных банковской карты. После ввода эти сведения передавались злоумышленникам, а сами пользователи не получали никаких обещанных выплат.

Сетевое мошенничество

В апреле и мае популярностью пользовались сайты, которые маскировались под официальные ресурсы разработчиков различных популярных приложений — браузеров, клиентского ПО игровых платформ и т. д. Злоумышленники распространяли через них поддельные установщики с рекламными, нежелательными и даже вредоносными программами. Примеры таких сайтов-имитаций представлены ниже:

Сетевое мошенничество

Сетевое мошенничество

Осенью активизировались мошенники, от имени представителей крупных российских компаний предлагавшие трудоустройство с привлекательными условиями. Например, они создавали поддельные вакансии на должность «удаленного сотрудника обработки заказов». Кандидаты должны были зарегистрировать учетную запись, после чего якобы сразу могли приступать к работе. Однако, чтобы вывести «заработанные» деньги, они должны были «активировать» аккаунт, заплатив некоторую сумму.

Пример поддельного сайта с вакансиями, на котором использовался логотип и название компании, от имени которой давалось мошенническое объявление:

Сетевое мошенничество

В конце года интернет-аналитики «Доктор Веб» отмечали рост числа мошеннических сайтов, где посетителям предлагалось принять участие в различных акциях известных интернет-магазинов и компаний. На них имитировались мини-конкурсы и розыгрыши призов, а для «получения» выигрыша требовалось поделиться специальной ссылкой с определенным числом контактов или групп в мессенджере WhatsApp. Такая ссылка могла вести на всевозможные сайты, в том числе — рекламные и вредоносные. Тем самым мошенники руками самих пользователей фактически выполняли спам-рассылки. При этом жертвы этой схемы обещанных ранее призов не получали — их изначально вводили в заблуждение.

Сетевое мошенничество

Среди выявленных в 2022 году мошеннических сайтов вновь были многочисленные интернет-ресурсы, предлагавшие пользователям якобы бесплатные лотерейные билеты. Они имитировали процесс розыгрыша призов, делая каждого посетителя «победителем». Затем потенциальным жертвам предлагалось указать персональную информацию и данные банковской карты и заплатить «комиссию» или «налог» за «получение» выигрыша.

Сетевое мошенничествоСетевое мошенничество

Но чаще всего пользователи сталкивались с мошенническими сайтами инвестиционной тематики. Такие интернет-ресурсы якобы имели отношение к крупным российским компаниям финансового и нефтегазового сектора и предлагали посетителям заработать на инвестициях в акции, нефтегазовые проекты и другие привлекательные активы. Чтобы «начать зарабатывать», вначале пользователи должны пройти опрос или некий базовый тест, ответив на несколько простых вопросов. После этого им предлагается зарегистрировать учетную запись, указав персональные данные. На самом деле эти сведения передаются мошенникам, которые в дальнейшем могут пытаться заманить потенциальных жертв в различные схемы по отъему денег. Примеры таких опасных сайтов представлены на изображениях ниже:

Сетевое мошенничество

Сетевое мошенничество

Для мобильных устройств

Согласно статистике детектирований Dr.Web для мобильных устройств Android, в 2022 году самой распространенной вредоносной Android-программой стала Android.Spy.4498. Вместе с другими ее версиями, Android.Spy.4837 и Android.Spy.5106, она обнаруживались в более чем 41% случаев. Злоумышленники встраивают ее в некоторые неофициальные модификации мессенджера WhatsApp. Это троянское приложение способно похищать содержимое уведомлений, может предлагать установить программы из неизвестных источников и демонстрировать различные диалоговые окна.

Одними из наиболее активных вновь оказались рекламные троянские программы семейства Android.HiddenAds — на их долю пришлось почти 27% всех выявленных вредоносных приложений. Также наблюдалась активность рекламных троянов Android.MobiDash (4,81% детектирований), программ-вымогателей Android.Locker (1,50% детектирований) и мошеннических приложений Android.FakeApp (0,98% детектирований). В то же время пользователи реже сталкивались с троянскими программами, предназначенными для загрузки и установки других приложений и способных выполнять произвольный код.

Среди нежелательного ПО наиболее заметной вновь стала программа Program.FakeAntiVirus.1. Она имитирует работу антивирусов и предлагает приобрести лицензию для лечения несуществующих угроз. На ее долю пришлось более 65% всех выявленных нежелательных программ. Высокую активность проявили различные шпионские программы, а также приложения, предлагавшие пользователям заработать на выполнении тех или иных заданий. На самом деле они вводили владельцев Android-устройств в заблуждение и никаких реальных вознаграждений не выплачивали.

Среди потенциально опасного ПО лидирующие позиции по числу детектирований вновь заняли инструменты Tool.SilentInstaller — они обнаруживались на защищаемых Dr.Web устройствах в 66,83% случаев. Эти утилиты позволяют запускать Android-приложения без их установки и могут применяться киберпреступниками для запуска вредоносного ПО. Схожие по функциональности утилиты Tool.VirtualApk обнаруживались в 1,81% случаев. При этом заметно повысилась активность утилит Tool.Androlua, которые позволяют запускать приложения на скриптовом языке программирования Lua. На их долю пришлось 4,81% детектирований потенциально опасных программ.

Самыми распространенными рекламными программами в 2022 году стали Adware.Adpush (60,70% детектирований рекламного ПО), Adware.SspSdk (5,47% детектирований) и Adware.Airpush (5,35% детектирований). Как и большинство им подобных, они представляют собой специальные модули, которые могут быть встроены в Android-программы и игры.

В течение года вирусные аналитики компании «Доктор Веб» выявили в каталоге Google Play более 280 различных угроз, общее число загрузок которых составило не менее 45 000 000. Чаще всего выявлялись мошеннические программы из семейства Android.FakeApp, которые распространялись под видом самого разнообразного ПО. Они подключались к удаленному серверу и в соответствии с поступившей командой могли демонстрировать содержимое различных сайтов (в том числе фишинговых и мошеннических) вместо предоставления той функциональности, которую ожидали пользователи.

Были обнаружены очередные троянские программы, подписывавшие жертв на платные услуги. Среди них — представители семейств Android.Joker и Android.Subscription. Кроме того, наши специалисты выявили новые троянские программы — похитители паролей из семейства Android.PWS.Facebook, нацеленные на пользователей социальной сети Facebook (деятельность платформы Facebook запрещена на территории Российской Федерации).

Также в Google Play вновь распространялись рекламные троянские программы Android.HiddenAds, многофункциональные вредоносные приложения Android.Triada и ряд других угроз. Например, троян Android.Proxy.35, превращавший зараженные устройства в прокси-серверы, нежелательные программы Program.FakeMoney, обещавшие заработок на выполнении заданий, и новые рекламные программы Adware.AdNoty и Adware.FireAd.

Перспективы и вероятные тенденции

Прошедший год показал, что киберугрозы постоянно эволюционируют, при этом злоумышленникам интересны как обычные пользователи, так и корпоративный сектор. Поэтому в новом году следует ожидать появления новых вредоносных приложений и проведения злоумышленниками очередных целевых и APT-атак.

Рекламные троянские программы и банковские троянские приложения приносят киберпреступникам прибыль, поэтому они останутся актуальными угрозами. При этом, вероятно, продолжится тенденция, когда все больше атак на клиентов кредитных организаций будет совершаться с применением MaaS-модели (Malware as a Service — вредоносное ПО как услуга). В результате число уникальных семейств банковских троянских программ может постепенно снизиться, и этот теневой рынок будет поделен между несколькими крупными поставщиками.

Мошенничество останется актуальной проблемой в 2023 году. Злоумышленники очень изобретательны и вместе со старыми схемами обмана наверняка возьмут на вооружение новые приемы. Кроме того, как и всегда, они будут использовать актуальную информационную повестку.

Продолжатся атаки на владельцев мобильных устройств. При этом под ударом окажутся не только пользователи Android — владельцы устройств Apple также могут столкнуться с новыми угрозами. Стоит ожидать и очередные атаки на другие платформы, в первую очередь Linux и macOS.



Читать оригинал

#2 Dr.Web Ransom Hunter.

Dr.Web Ransom Hunter.

    Advanced Member

  • Posters
  • 920 Сообщений:

Отправлено 29 Март 2023 - 13:30

Супер . Интересная статья ..

Global Malware Hunting.



Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых