Рубрикатор |
Все новости | Новости отрасли |
Обзор информационных угроз января 2013 года
06 февраля 2013 |
Хакеры продолжают активно использовать трояны для перенаправления пользователей на фишинговые ресурсы.
Компания ESET подготовила отчет о наиболее распространенном вредоносном ПО, выявленном специалистами вирусной лаборатории ESET в январе 2013 года.В январе неоспоримым лидером в России стала троянская программа Win32/Qhost. Ее рейтинг активности, по сравнению с другими угрозами, остается очень высоким – 15,9%. Мы уже упоминали ее в прошлых ежемесячных отчетах, в одном из них она также возглавляла нашу “десятку” угроз. Win32/Qhost не представляет из себя технологически сложную угрозу, одним из основных ее предназначений является модификация служебного hosts файла.
Используя вредоносные записи, добавляемые в этот текстовый файл, злоумышленники переадресуют пользователя на фишинговые ресурсы. При этом перенаправление на такие ресурсы осуществляется за счет стандартных механизмов ОС и при минимальном участии самого пользователя, которому достаточно просто воспользоваться браузером.
«Скорее всего, именно эта простота и обширный спектр фишинговых сайтов делают Win32/Qhost столь привлекательным для злоумышленников. Ведь используя hosts файл, они могут перенаправить пользователя фактически на любой вредоносный ресурс, практически неотличимый от легального. Таким образом, ничего не подозревающий пользователь может запросто отправить злоумышленникам свою конфиденциальную информацию. Как правило, их целью является получение аутентификационных данных для онлайн-банкинга, либо персональной информации из социальных сетей», – говорит Артем Баранов, ведущий вирусный аналитик ESET.
Статистика распространения Win32/Qhost по России показывает, что пик его активности пришелся на декабрь 2012 года; в настоящее время его активность снижается.
Вредоносные объекты, которые встраиваются злоумышленниками в веб-страницы, по-прежнему занимают верхние строчки российского рейтинга – речь идет о семействах HTML/IFrame (4,95%) и HTML/ScrInject (3,55%). Как правило, с этих вредоносных объектов и начинается заражение пользователя вредоносным ПО. Злоумышленники осуществляют атаку на какой-либо сайт и заражают веб-страницы вредоносным содержимым. Чем популярнее будет этот сайт, тем большее число пользователей могут стать жертвой кибератаки. Несмотря на текущую отрицательную динамику по этим угрозам, вряд ли можно ожидать существенного спада HTML/IFrame и HTML/ScrInject в будущем.
А вот известный банковский троян Carberp, напротив, с середины 2012 года демонстрирует устойчивую тенденцию к падению (рис. 2) – среди всех российских угроз его рейтинг составляет 1,1%. Другой известный троян – Win32/Bicololo, который, как и Win32/Qhost, ориентирован на модификацию hosts файла, значительно увеличил свою активность в декабре и закончил январь с положительной динамикой. Его доля составляет 2,07 %.
Троян Win32/StartPage также попал в наш январский рейтинг угроз с показателем 0,8 %. Его основная задача – подмена стартовой страницы браузера пользователя для перенаправления на веб-страницы, заданные злоумышленником. Кроме того, он может отслеживать поисковые запросы пользователя и открывать специальные фишинговые сайты. Отметим, что в нашей десятке также оказались INF/Autorun и Win32/Conficker, о которых мы писали в годовом отчете за 2012 год – в январе их рейтинг составил 1,92% и 1,18% соответственно. Общая доля России в мировом объеме вредоносного ПО составила 7,81%.
Глобальная статистика угроз отличается от российской, хотя и здесь наблюдается преобладание HTML/IFrame (3,0%) и HTML/ScrInject (2,71%). С российской десяткой ее роднит и присутствие INF/Autorun (2,71%), Win32/Conficker (2,31%), Win32/Qhost (2,41%), а также Win32/Dorkbot (1,52%). Кроме вредоносных объектов веб-страниц, которые мы детектируем как HTML/IFrame и HTML/ScrInject, в глобальную десятку попали и вредоносные Java-скрипты: JS/Kryptik.ADZ (2,52%) и JS/TrojanDownloader.Iframe (1,32%). Также в мировом рейтинге оказались файловые инфекторы – Win32/Sality (2,6%) и Win32/Ramnit (1,4%).
О Sality стоит упомянуть отдельно. Это семейство файловых инфекторов известно давно – его первые версии были обнаружены еще в 2003 году. С тех пор этот зловред претерпел ряд изменений, причем эволюционировали как вредоносный код инфектора, так и полезная нагрузка. Кроме того, Sality обзавелся своим ботнетом. После незначительных спадов и подъемов, позиции Win32/Sality фактически вернулись к позициям годовой давности. Однако за прошедший месяц он демонстрирует положительную мировую динамику.
Читайте также:
В топ-З киберугроз для промышленности входят вирусы, майнеры и веб-уязвимости
Российские компании атакует новый шпионский троянец
Обнаружен зловред, распространявшийся через веб-сайт энергетической компании
Более 90% анализируемых компаний в 2023 году сталкивались с утечками корпоративных учетных записей
Анализ рынка даркнета: тренды 2023 года и прогнозы на 2024-й
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.