Уменьшилось число уязвимостей и интернет-угроз в первом полугодии 2011

Уменьшилось число уязвимостей и интернет-угроз в первом полугодии 2011

По данным Microsoft, количество новых уязвимостей в ПО за полгода уменьшилось на 5,5%. Вклад продуктов компании в эти публикации сократился с 8,2 до 6,9%, веб-приложений ― с 80,3 до 71,5%. На долю ошибок, обнаруженных в операционных системах и браузерах, в минувшем полугодии пришлось 12,7 и 15,7% публикаций соответственно.

Во втором квартале число эксплойтов, ориентированных на уязвимости ОС, резко возросло ― в основном, за счет освоения злоумышленниками лазейки CVE-2010-2568, открытой червем Stuxnet. С начала года наблюдается также значительный рост кибератак, использующих бреши в ОС Android. Большинство таких инцидентов связаны с семейством Unix/Lotoor (в классификации ЛК Exploit.Linux.Lotoor) При отработке эксплойта Lotoor на машину пользователя устанавливается троянец AndroidOS/DroidDream (Backdoor.AndroidOS.Rooter), передает securelist.com

Наибольшей популярностью у злоумышленников пользуются уязвимости в Java Runtime Environment (JRE), Java Virtual Machine (JVM) и Java SE в Java Development Kit (JDK). На их долю приходилось от трети до половины эксплойтов, регистрируемых с середины прошлого года. Число проникновений через Adobe Flash во втором квартале выросло более чем в 40 раз ― из-за двух уязвимостей 0-day, обнаруженных в апреле и июне (CVE-2011-0611 и CVE-2011-2110).

Основным источником зловредных загрузок является Сеть. В отчетный период около 0,25% URL, индексированных поисковой системой Bing, были привязаны к страницам, осуществляющим drive-by загрузки. Большое количество страниц с эксплойтами обнаружено на территории Кореи (2,77% местных URL), Китая (0,8%) и Румынии (0,66%).

Среди локальных заражений, зафиксированных Microsoft с января по июнь, наиболее часто встречаются программы, демонстрирующие рекламу (adware). Количество червей и троянских даунлоудеров/дропперов уменьшилось на 10,9 и 9,3% соответственно. По мнению экспертов, этому в значительной мере способствовал выпуск обновления, позволившего заблокировать функцию автозапуска под Windows XP и Vista. Список зловредов, обнаруженных Microsoft на компьютерах пользователей, возглавляет Conficker/Kido (17% заражений), популяция которого постепенно уменьшается и за 2-й квартал сократилась на 2 пункта. Второе место пока занимают autorun-зловреды (11%), третье ― Rimecud/Palevo (7%). Sality, который отсутствовал в прошлогоднем списке лидеров по локальным заражениям, поднялся на 10-ю позицию (3%).

Хакеры угоняют WhatsApp руководителей и требуют перевести деньги

Мошенничество с письмом от директора вышло на новый уровень. Теперь злоумышленники не просто подделывают имя руководителя в письме, они перехватывают его WhatsApp (принадлежит корпорации Meta, признанной экстремисткой и запрещённой в России) и рассылают сообщения от лица настоящего владельца аккаунта.

Новую схему, получившую название Boss Scam, описали специалисты, расследующие киберинциденты. Она сочетает социальную инженерию, технику сторонней загрузки DLL и кражу сессий WhatsApp Web.

Всё начинается с сообщения, якобы отправленного от имени регулятора или госоргана. Жертве предлагают срочно ознакомиться с документами или выполнить требования, прикладывая ZIP-архив. Внутри — исполняемый файл и DLL-библиотека. После запуска Windows автоматически подгружает вредоносную DLL, позволяя малвари закрепиться в системе.

 

Дальше цель меняется. Вместо шифрования файлов или уничтожения данных злоумышленников интересует активная сессия WhatsApp Web. Если она найдена, атакующие получают возможность читать переписку и отправлять сообщения от имени руководителя, не обходя двухфакторную аутентификацию на смартфоне.

Именно здесь начинается самое опасное. Финансовый отдел получает вполне привычное сообщение от генерального директора с просьбой срочно перевести деньги или изменить банковские реквизиты. Поскольку сообщение приходит с настоящего аккаунта, доверие к нему значительно выше, чем к обычному фишинговому письму.

В некоторых вариантах атаки вредонос также изменяет локальные контакты на заражённом компьютере, подменяя номер злоумышленника именем руководителя. Это помогает сохранить иллюзию подлинности даже после завершения угнанной веб-сессии.

Эксперты предупреждают, что атака нацелена не столько на ИТ-инфраструктуру, сколько на бизнес-процессы компаний. Поэтому защититься одним антивирусом не получится.

Специалисты рекомендуют подтверждать любые срочные платежные поручения через независимый канал связи (например, по телефону или лично), не запускать неизвестные EXE-файлы из мессенджеров, контролировать подключенные устройства в WhatsApp Web, а также отслеживать подозрительную загрузку DLL и попытки кражи пользовательских токенов.

RSS: Новости на портале Anti-Malware.ru