Вы используете устаревший браузер!
Страница может отображаться некорректно.
Защити созданное
Другие наши ресурсы
Напишите
Ваши запросы
Позвоните
Глобальная поддержка:
+7 (495) 789-45-86
Свяжитесь с нами Незакрытые запросы:
29 марта 2023 года
Среди угроз в электронной почте наиболее заметными стали всевозможные вредоносные скрипты, фишинговые PDF-документы и веб-страницы, а также вредоносные программы, эксплуатирующие уязвимости документов Microsoft Office. В почтовом трафике также встречались бэкдоры и другие троянские программы.
Весной 2022 года компания «Доктор Веб» опубликовала исследование APT-атаки на одну из телекоммуникационных компаний Казахстана. Наши специалисты выяснили, что за атакой стояла хакерская группировка Calypso APT. При этом злоумышленников в первую очередь интересовали почтовые серверы азиатских компаний с установленным ПО Microsoft Exchange. Тем не менее их жертвами стали компании и из других стран.
В течение года наши вирусные аналитики выявили сразу несколько атак с использованием вредоносных программ для платформы Linux. В сентябре киберпреступники пытались заразить ряд корпоративных компьютеров майнером. А в декабре была обнаружена троянская программа-бэкдор, которая эксплуатировала уязвимости во множестве устаревших версий плагинов к CMS WordPress и взламывала сайты на ее базе.
Интернет-аналитики «Доктор Веб» отмечали высокую активность мошенников — те продолжили создавать множество фишинговых и поддельных интернет-ресурсов. Популярностью среди злоумышленников пользовались подделки сайтов известных банков, онлайн-магазинов, нефтегазовых, транспортных и других компаний. Кроме того, они умело подстраивали свою незаконную деятельность под происходящие в мире события.
Вместе с тем не пришлось скучать и владельцам мобильных устройств. В течение года пользователи Android сталкивались со шпионскими программами, рекламными троянскими приложениями, мошенническим и нежелательным рекламным ПО. При этом злоумышленники вновь активно использовали каталог Google Play для распространения всевозможных угроз. Их успели загрузить десятки миллионов пользователей. В то же время наши специалисты обнаружили троянские приложения, похищавшие криптовалюту у владельцев как «андроидов», так и устройств под управлением iOS. В большинстве случаев киберпреступники прятали этих троянов в модифицированных версиях популярных криптокошельков.
В марте 2022 года «Доктор Веб» опубликовал исследование APT-атаки на одну из телекоммуникационных компаний Казахстана. Осенью 2021 года та обратилась в нашу вирусную лабораторию с подозрением на присутствие вредоносного ПО в корпоративной сети. Расследование инцидента показало, что за атакой стояла хакерская группировка Calypso APT. При этом компрометация серверов организации произошла намного раньше — еще в 2019 году. Злоумышленники применяли широкий набор вредоносных инструментов, но основными стали бэкдоры Backdoor.PlugX.93 и BackDoor.Whitebird.30, а также утилиты Fast Reverse Proxy (FRP) и RemCom. Первостепенной целью киберпреступников являлись почтовые серверы азиатских компаний с установленным ПО Microsoft Exchange. Однако жертвами данной APT-атаки стали и компании из ряда других стран — Египта, Италии, США и Канады.
В апреле вирусные аналитики «Доктор Веб» предупредили о росте числа атак на российские организации, когда злоумышленники шифровали файлы, но не требовали выкуп за расшифровку и не оставляли свои контакты. Для доступа к инфраструктуре целевых компаний атакующие применяли несколько схем. Во-первых, они эксплуатировали различные варианты уязвимостей ProxyLogon и ProxyShell в ПО Microsoft Exchange. Во-вторых, были зафиксированы случаи получения доступа к данным административных учетных записей через дамп памяти процесса lsass.exe с использованием утилиты ProcDump. В случае успеха атакующие подключались к контроллеру домена, откуда на устройства в корпоративной сети устанавливались приложения Bitlocker и Jetico BestCrypt Volume Encryption. С их помощью и выполнялось шифрование жестких дисков.
В конце лета была выявлена попытка заражения троянской программой-майнером Linux.Siggen.4074 ряда корпоративных компьютеров под управлением ОС Linux, принадлежащих одному из наших клиентов. Проведенный специалистами «Доктор Веб» анализ показал, что на пострадавших устройствах задача на скачивание этого трояна была прописана в планировщике cron. Благодаря установленному в целевых системах антивирусу Dr.Web попытки заражения успешно пресекались, что в очередной раз подтвердило важность обеспечения безопасности Linux-систем в той же мере, что и других платформ.
А уже в декабре необходимость такой защиты была продемонстрирована выявленной нашими специалистами троянской программой-бэкдором Linux.BackDoor.WordPressExploit.1. Она взламывала сайты под управлением CMS WordPress, эксплуатируя несколько десятков уязвимостей в устаревших версиях плагинов к этой платформе, для которых не были установлены необходимые исправления. В случае успеха в веб-страницы целевых сайтов внедрялся загружаемый с удаленного сервера вредоносный JavaScript. После этого при клике мышью в любом месте таких зараженных страниц пользователи перенаправлялись на нужные злоумышленникам сайты.
В течение года повышенную активность проявляли мошенники. При этом наряду с уже привычными схемами обмана они добавили в свой арсенал и новые приемы, соответствующие актуальной повестке дня. Например, летом наши специалисты выявили мошеннические рассылки должникам украинских банков, проживающим на освобожденных территориях. В сообщениях содержалась ложная информация о переуступке прав требования задолженностей, а также запрос на предоставление персональных данных. Чтобы такие поддельные сообщения выглядели более убедительно, мошенники отправляли их от имени кредитной организации АО «Тинькофф Банк» и добавляли к ним соответствующий логотип.
А осенью с целью похитить у пользователей деньги и собрать актуальные персональные данные мошенники эксплуатировали тему частичной мобилизации. Так, потенциальным жертвам поступали сообщения с информацией о наличии их данных в списках призывников и о том, что через портал «Госуслуги» в скором времени им должна прийти повестка. При этом для большей убедительности мошенники обращались к пользователям по имени и отчеству. В конечном счете пользователям предлагалось перевести деньги на биткойн-кошелек отправителя такого сообщения, чтобы «перестраховаться» и попасть «во вторую очередь первичной мобилизации». В других случаях потенциальным жертвам уже на мошеннических сайтах предлагалось проверить свои данные по «закрытым базам данных комиссариатов», указав информацию о себе. На самом деле все вводимые данные поступали злоумышленникам.
Анализ статистики детектирований антивируса Dr.Web за 2022 год показал увеличение общего числа обнаруженных угроз на 121,60% по сравнению с 2021 годом. Число уникальных угроз при этом снизилось на 24,84%. Чаще всего пользователей атаковали троянские приложения, которые злоумышленники применяли в связке с другими угрозами для затруднения обнаружения последних. Кроме того, активность проявляли рекламные трояны, бэкдоры и всевозможные установщики ПО.
В почтовом трафике в 2022 году чаще всего встречалось вредоносное ПО, использующее уязвимости офисных документов, а также всевозможные вредоносные скрипты. Кроме того, киберпреступники активно распространяли мошеннические письма с фишинговыми PDF-документами и HTML-файлами. Они могли представлять собой, например, фиктивные формы ввода учетных данных, которые имитируют авторизацию на известных сайтах. Указанные в них данные отправлялись злоумышленникам.
По сравнению с 2021, в 2022 году в вирусную лабораторию «Доктор Веб» поступило на 2,81% больше запросов от пользователей, пострадавших от шифровальщиков. Динамика регистрации запросов на расшифровку файлов за прошедшие 12 месяцев показана на графике:
Наиболее распространенные шифровальщики в 2022 году:
В 2022 году интернет-аналитики «Доктор Веб» выявили множество мошеннических сайтов различной тематики. Так, в феврале и июле отмечался рост числа сайтов, замаскированных под онлайн-сервисы доставки. Для каждого посетителя генерировалась уникальная страница с конфиденциальными данными, где для оплаты «услуги» требовалось ввести данные банковской карты.
В марте наблюдалась повышенная активность интернет-ресурсов, которые якобы выплачивали деньги за просмотр видео. С них потенциальные жертвы перенаправлялись на сайты, где требовалась обязательная регистрация с указанием данных банковской карты. После ввода эти сведения передавались злоумышленникам, а сами пользователи не получали никаких обещанных выплат.
В апреле и мае популярностью пользовались сайты, которые маскировались под официальные ресурсы разработчиков различных популярных приложений — браузеров, клиентского ПО игровых платформ и т. д. Злоумышленники распространяли через них поддельные установщики с рекламными, нежелательными и даже вредоносными программами. Примеры таких сайтов-имитаций представлены ниже:
Осенью активизировались мошенники, от имени представителей крупных российских компаний предлагавшие трудоустройство с привлекательными условиями. Например, они создавали поддельные вакансии на должность «удаленного сотрудника обработки заказов». Кандидаты должны были зарегистрировать учетную запись, после чего якобы сразу могли приступать к работе. Однако, чтобы вывести «заработанные» деньги, они должны были «активировать» аккаунт, заплатив некоторую сумму.
Пример поддельного сайта с вакансиями, на котором использовался логотип и название компании, от имени которой давалось мошенническое объявление:
В конце года интернет-аналитики «Доктор Веб» отмечали рост числа мошеннических сайтов, где посетителям предлагалось принять участие в различных акциях известных интернет-магазинов и компаний. На них имитировались мини-конкурсы и розыгрыши призов, а для «получения» выигрыша требовалось поделиться специальной ссылкой с определенным числом контактов или групп в мессенджере WhatsApp. Такая ссылка могла вести на всевозможные сайты, в том числе — рекламные и вредоносные. Тем самым мошенники руками самих пользователей фактически выполняли спам-рассылки. При этом жертвы этой схемы обещанных ранее призов не получали — их изначально вводили в заблуждение.
Среди выявленных в 2022 году мошеннических сайтов вновь были многочисленные интернет-ресурсы, предлагавшие пользователям якобы бесплатные лотерейные билеты. Они имитировали процесс розыгрыша призов, делая каждого посетителя «победителем». Затем потенциальным жертвам предлагалось указать персональную информацию и данные банковской карты и заплатить «комиссию» или «налог» за «получение» выигрыша.
Но чаще всего пользователи сталкивались с мошенническими сайтами инвестиционной тематики. Такие интернет-ресурсы якобы имели отношение к крупным российским компаниям финансового и нефтегазового сектора и предлагали посетителям заработать на инвестициях в акции, нефтегазовые проекты и другие привлекательные активы. Чтобы «начать зарабатывать», вначале пользователи должны пройти опрос или некий базовый тест, ответив на несколько простых вопросов. После этого им предлагается зарегистрировать учетную запись, указав персональные данные. На самом деле эти сведения передаются мошенникам, которые в дальнейшем могут пытаться заманить потенциальных жертв в различные схемы по отъему денег. Примеры таких опасных сайтов представлены на изображениях ниже:
Согласно статистике детектирований Dr.Web для мобильных устройств Android, в 2022 году самой распространенной вредоносной Android-программой стала Android.Spy.4498. Вместе с другими ее версиями, Android.Spy.4837 и Android.Spy.5106, она обнаруживались в более чем 41% случаев. Злоумышленники встраивают ее в некоторые неофициальные модификации мессенджера WhatsApp. Это троянское приложение способно похищать содержимое уведомлений, может предлагать установить программы из неизвестных источников и демонстрировать различные диалоговые окна.
Одними из наиболее активных вновь оказались рекламные троянские программы семейства Android.HiddenAds — на их долю пришлось почти 27% всех выявленных вредоносных приложений. Также наблюдалась активность рекламных троянов Android.MobiDash (4,81% детектирований), программ-вымогателей Android.Locker (1,50% детектирований) и мошеннических приложений Android.FakeApp (0,98% детектирований). В то же время пользователи реже сталкивались с троянскими программами, предназначенными для загрузки и установки других приложений и способных выполнять произвольный код.
Среди нежелательного ПО наиболее заметной вновь стала программа Program.FakeAntiVirus.1. Она имитирует работу антивирусов и предлагает приобрести лицензию для лечения несуществующих угроз. На ее долю пришлось более 65% всех выявленных нежелательных программ. Высокую активность проявили различные шпионские программы, а также приложения, предлагавшие пользователям заработать на выполнении тех или иных заданий. На самом деле они вводили владельцев Android-устройств в заблуждение и никаких реальных вознаграждений не выплачивали.
Среди потенциально опасного ПО лидирующие позиции по числу детектирований вновь заняли инструменты Tool.SilentInstaller — они обнаруживались на защищаемых Dr.Web устройствах в 66,83% случаев. Эти утилиты позволяют запускать Android-приложения без их установки и могут применяться киберпреступниками для запуска вредоносного ПО. Схожие по функциональности утилиты Tool.VirtualApk обнаруживались в 1,81% случаев. При этом заметно повысилась активность утилит Tool.Androlua, которые позволяют запускать приложения на скриптовом языке программирования Lua. На их долю пришлось 4,81% детектирований потенциально опасных программ.
Самыми распространенными рекламными программами в 2022 году стали Adware.Adpush (60,70% детектирований рекламного ПО), Adware.SspSdk (5,47% детектирований) и Adware.Airpush (5,35% детектирований). Как и большинство им подобных, они представляют собой специальные модули, которые могут быть встроены в Android-программы и игры.
В течение года вирусные аналитики компании «Доктор Веб» выявили в каталоге Google Play более 280 различных угроз, общее число загрузок которых составило не менее 45 000 000. Чаще всего выявлялись мошеннические программы из семейства Android.FakeApp, которые распространялись под видом самого разнообразного ПО. Они подключались к удаленному серверу и в соответствии с поступившей командой могли демонстрировать содержимое различных сайтов (в том числе фишинговых и мошеннических) вместо предоставления той функциональности, которую ожидали пользователи.
Были обнаружены очередные троянские программы, подписывавшие жертв на платные услуги. Среди них — представители семейств Android.Joker и Android.Subscription. Кроме того, наши специалисты выявили новые троянские программы — похитители паролей из семейства Android.PWS.Facebook, нацеленные на пользователей социальной сети Facebook (деятельность платформы Facebook запрещена на территории Российской Федерации).
Также в Google Play вновь распространялись рекламные троянские программы Android.HiddenAds, многофункциональные вредоносные приложения Android.Triada и ряд других угроз. Например, троян Android.Proxy.35, превращавший зараженные устройства в прокси-серверы, нежелательные программы Program.FakeMoney, обещавшие заработок на выполнении заданий, и новые рекламные программы Adware.AdNoty и Adware.FireAd.
Прошедший год показал, что киберугрозы постоянно эволюционируют, при этом злоумышленникам интересны как обычные пользователи, так и корпоративный сектор. Поэтому в новом году следует ожидать появления новых вредоносных приложений и проведения злоумышленниками очередных целевых и APT-атак.
Рекламные троянские программы и банковские троянские приложения приносят киберпреступникам прибыль, поэтому они останутся актуальными угрозами. При этом, вероятно, продолжится тенденция, когда все больше атак на клиентов кредитных организаций будет совершаться с применением MaaS-модели (Malware as a Service — вредоносное ПО как услуга). В результате число уникальных семейств банковских троянских программ может постепенно снизиться, и этот теневой рынок будет поделен между несколькими крупными поставщиками.
Мошенничество останется актуальной проблемой в 2023 году. Злоумышленники очень изобретательны и вместе со старыми схемами обмана наверняка возьмут на вооружение новые приемы. Кроме того, как и всегда, они будут использовать актуальную информационную повестку.
Продолжатся атаки на владельцев мобильных устройств. При этом под ударом окажутся не только пользователи Android — владельцы устройств Apple также могут столкнуться с новыми угрозами. Стоит ожидать и очередные атаки на другие платформы, в первую очередь Linux и macOS.