Новый вариант ZeuS притворился продуктом Avira

Новый вариант ZeuS притворился продуктом Avira

Очередной представитель этого семейства вредоносного программного обеспечения внес оживление и разнообразие в монотонную работу вирусных аналитиков немецкой компании, неожиданно предъявив им цифровое удостоверение, выписанное на имя самой же Avira. Специалисты оценили творчество злоумышленников и посвятили данному случаю целую запись в корпоративном блоге.



В прежние времена разработчики нежелательных и опасных программ почти не прибегали к подписыванию кода, ибо цель попросту не оправдывала средства - получить сертификат на вирус всегда было, мягко говоря, трудно. Однако встроенные системы контроля доступа, имеющиеся в Windows Vista и 7, равно как и новые контуры защиты ядра в 64-битных версиях этих ОС, относятся к подписанным программным продуктам принципиально иначе, нежели к неподписанным, и теперь киберпреступникам волей-неволей приходится предпринимать попытки обмануть эти средства обеспечения безопасности.


Например, компоненты широко известного ныне червя Stuxnet были сертифицированы при помощи секретного цифрового ключа, украденного у легитимного производителя ПО. Для успешного выполнения своих задач упомянутому червю нужно было внедрить в ядро пораженных операционных систем руткит-компоненты, так что без настоящей подписи вирусописателям было не обойтись.


Создатели ZeuS, впрочем, не стали искать 'славы' авторов Stuxnet и обошлись поддельным сертификатом - обработав его, Windows выводит пользователю информацию о том, что цифровое удостоверение не выдержало проверку подлинности. Эксперты Avira подчеркивают: такие сообщения недвусмысленно свидетельствуют против его связи с компанией, оно явно не принадлежит немецкому производителю систем защиты и в силу этого никак не могло быть у него похищено.


Подробные сведения об ошибке позволяют узнать, что сертификат был создан 10 февраля и якобы выписан VeriSign. Тем не менее, он не соответствует корневому эталону, встроенному в ОС Windows - а, следовательно, на самом деле не имеет к VeriSign никакого отношения.


Что же касается самого образца вредоносной программы, то в коллекциях поставщиков антивирусных решений он, несомненно, займет почетное место рядом со своим родственником, который в августе прошлого года точно так же пытался всех обмануть цифровым удостоверением на имя "Лаборатории Касперского".


Softpedia

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Число фишинговых инцидентов в доменах .RU/.РФ снизилось на 40%

С начала 2025 года Координационный центр доменов .RU/.РФ получил 13 850 обращений, связанных с фишингом. Это на 1,6 раза меньше по сравнению с аналогичным периодом 2024 года, когда поступило 23 274 обращения. До этого количество подобных сообщений стабильно росло.

Максимальный — четырёхкратный — рост числа обращений по поводу фишинга был зафиксирован в первом полугодии 2023 года. Также снизилась доля фишинга среди всех инцидентов: если в 2024 году на него приходилось 89% обращений, то в 2025 году — уже 64%.

С начала года участники проекта «Доменный патруль» заблокировали более 13,5 тыс. фишинговых доменов. Для сравнения, за первое полугодие 2024 года было заблокировано 22,6 тыс. доменов. Среднее время реагирования составило 15 часов — это один из лучших показателей по скорости блокировки в мире.

По мнению директора Координационного центра Андрея Воробьёва, снижение активности фишинга связано с тем, что злоумышленники всё чаще переходят к более сложным схемам, основанным на использовании вредоносных программ:

«О фишинге сегодня знает практически каждый пользователь, и многие научились его распознавать. А вредоносы действуют гораздо скрытнее. Они могут попасть на устройство через заражённые приложения, файлы или ссылки — и при этом не вызвать подозрений. Получив доступ, злоумышленники используют устройство для новых атак или кражи личных и финансовых данных. Эти схемы менее заметны и потому более опасны».

Также, как отметил Андрей Воробьёв, важную роль сыграла скоординированная работа участников «Доменного патруля». Благодаря высокой скорости реакции киберпреступникам приходится переносить активность в другие доменные зоны, где контроль менее жёсткий.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru