Растет процент вредоносных программ, направленных на кражу информации

Растет процент вредоносных программ, направленных на кражу информации

Компания ESET сообщает о самых распространенных интернет-угрозах, выявленных специалистами Вирусной лаборатории с помощью технологии раннего обнаружения ThreatSense.Net в марте 2011 года. Самой распространенной угрозой в марте в России стал класс вредоносных программ Win32/Spy.Ursnif.A, которые крадут персональную информацию и учетные записи с зараженного компьютера, а затем отправляют их на удаленный сервер (4,07% распространения в регионе). 

Также остается довольно опасным семейство злонамеренного ПО INF/Autorun (3,38%), которое передается на сменных носителях и использует для проникновения на компьютер пользователя функцию автозапуска Windows Autorun. На третьем месте рейтинга самых распространенных угроз расположилась модификация червя Conficker – Win32/Conficker.AA, с долей проникновения 1,72%.

Число срабатываний в российском регионе на вредоносное ПО класса HTML/Iframe.B.Gen, благодаря которому злоумышленники перенаправляют пользователя по опасным ссылкам, снизилось на 0,48%, до 1,45%. HTML/Iframe.B.Gen – эвристическое обнаружение различных вредоносных скриптов для перенаправления пользователя на ресурс, который содержит определенный набор злонамеренных эксплойтов. Они, в свою очередь, достаточно часто реализованы в виде html-тега iframe. При этом доля обнаружений эвристики на класс JS/Agent.NCX увеличилась и достигла 0,93% проникновения в России. Данный эвристический метод обнаружения вредоносного ПО, в первую очередь, направлен на обнаружение различного рода злонамеренных JavaScript-сценариев, встроенных в веб-страницы.

«На этот раз не попали в двадцатку угроз вредоносные программы класса Win32/Hoax.ArchSMS, которые сопровождали нас уже длительное время, – отмечает Александр Матросов, директор Центра вирусных исследований и аналитики ESET. – Так же стоит отметить уменьшение активности в этом месяце партнерской программы ZipMonster, в рамках которой также было замечено активное распространение нелегального контента в платных архивах».

Доля России от общего обнаружения мировых угроз в феврале снизилась на 0,61% и составила 10,68%. При этом процент уникальных угроз, которые приходятся на регион, также уменьшился на 0,27% и составил 3,01%.

«Стоит также отметить, что в марте злоумышленники активно использовали громкие информационные поводы для использования «черных» методов поисковой оптимизации, – комментирует Александр Матросов. – Таким образом, мошенники продвигали фальшивые антивирусы и различные вредоносные программы».

Что касается мирового рейтинга самых распространенных угроз, то наиболее активным вредоносным ПО в марте стало семейство INF/Autorun (5,79%). Второе место рейтинга занимает червь Win32/Conficker с долей распространенности в 4,29%. Замыкают тройку лидеров трояны-кейлоггеры Win32/PSW.OnLineGames. Их показатель проникновения составил 2,23%.

Двадцать самых распространенных угроз в России в марте 2011

1. Win32/Spy.Ursnif.A 4,07%
2. INF/Autorun 3,83%
3. Win32/Conficker.AA 1,72%
4. HTML/Iframe.B.Gen 1,45%
5. Win32/Packed.ZipMonster.A 1,33%
6. INF/Autorun.Gen 1,27%
7. Win32/Conficker.X 1,24%
8. INF/Conficker 1,20%
9. HTML/ScrInject.B.Gen 1,13%
10. Win32/Tifaut.C 1,04%
11. JS/Agent.NCX 0,93%
12. Win32/AutoRun.KS 0,88%
13. Win32/RegistryBooster 0,86%
14. Win32/Toolbar.AskSBar 0,83%
15. Win32/HackKMS.A 0,76%
16. Win32/Packed.Themida 0,72%
17. Win32/Packed.VMProtect.AAD 0,72%
18. Win32/Packed.VMProtect.AAA 0,65%
19. Win32/Bflient.K 0,60%
20. Win32/Qhost 0,55%

Десять самых распространенных угроз в мире в марте 2011

1. INF/Autorun 5,79%
2. Win32/Conficker 4,29%
3. Win32/PSW.OnLineGames 2,23%
4. Win32/Sality 1,86%
5. INF/Conficker 1,46%
6. Win32/Bflient.K 1,05%
7. Win32/Autorun 1,02%
8. Win32/Tifaut.C 0,94%
9. Win32/Autoit 0,83%
10. Win32/Spy.Ursnif.A 0,80%

Фейковый Google Play маскирует онлайн-казино под приложения Tesco, Amazon

Мошенники нашли красивую упаковку для старой схемы: берут известный бренд, рисуют фейковую страницу Google Play, запускают рекламу в соцсетях и под видом официального приложения ведут пользователя в онлайн-казино. В объявлениях злоумышленники используют названия и визуальный стиль известных компаний, включая Tesco, Amazon, Monzo, Revolut и стриминговые сервисы.

По данным Netcraft, кампания продвигается через платную рекламу в Facebook, Instagram, Threads (все три принадлежат корпорации Meta, признанной экстремистской и запрещённой в России) и TikTok.

Где-то всё выглядит примитивно — просто «Brand Slots». А где-то уже почти спектакль: поддельные интерфейсы, фальшивые отзывы, липовые данные из магазинов приложений и даже ИИ-видео с якобы сотрудниками бренда.

 

Главная легенда — официальный запуск слотов или казино-приложения от известной компании. Пользователь кликает по рекламе и попадает на страницу, похожую на Google Play, App Store или сайт бренда. Но кнопка «Install» не ведёт в настоящий магазин приложений. Вместо этого браузер предлагает добавить на главный экран PWA — прогрессивное веб-приложение.

После установки такая штука выглядит как обычное приложение: с иконкой, названием и оформлением под бренд. На деле это тонкая обёртка, которая открывает сторонний сайт онлайн-казино. То есть пользователь думал, что ставит «Amazon Slots» или «Monzo Slots», а получил ярлык на азартную площадку.

Netcraft считает, что схему подпитывает партнёрская экономика. В PWA и ссылках есть параметры, которые позволяют отслеживать регистрации и депозиты. По открытым данным, выплаты за игрока, внесшего депозит, могут составлять от $50 до $350. С такими ставками мошенникам есть смысл вкладываться в правдоподобные объявления и массовый запуск рекламы.

В некоторых кампаниях использовались фейковые страницы с вымышленными разработчиками, скачиваниями и отзывами. Были и интерактивные приманки вроде колеса удачи с гарантированным выигрышем, после которого пользователя просили установить PWA, чтобы забрать приз.

Опасность здесь не только в потерянных деньгах. Такие PWA размывают границу между настоящим приложением и подделкой: браузерная оболочка минимальна, и всё выглядит почти как фирменный сервис. Только фирменного там — разве что украденный логотип.

RSS: Новости на портале Anti-Malware.ru