Вышло обновление Антивирусного Сканера от компании Cezurity

Компания Cezurity, объявляет о выходе версии 2.6 своего облачного сервиса - Антивирусного Сканера. В новой версии реализовано обнаружение вредоносных расширений браузеров для Chrome и Firefox. Кроме того, усовершенствованы методы лечения компьютеров от заражений, вызванных сложными и устойчивыми к удалению вредоносными программами.

Тенденцией последнего времени стал быстрый рост числа вредоносных расширений для браузеров. Сегодня все популярные браузеры позволяют устанавливать специальные программы, расширяющие базовые возможности. Это может быть быстрый доступ к каким-то страницам, придание им нужного вида, персонализация интерфейса, модули для обработки различных типов содержимого веб-страниц - медиафайлов или PDF-документов. Обычно такие дополнения распространяются через специальные интернет-магазины расширений - как, например, Интернет-магазин Chrome. Если в таком интернет-магазине появится вредоносное расширение, его быстро заблокируют - либо опасность заметит владелец интернет-магазина, либо пользователи обратятся с жалобами. Но расширения для браузеров могут попадать на компьютеры пользователей и другими способами.

Обладая функциональностью обычных компьютерных программ, устанавливаются расширения для браузеров гораздо проще. Для этого требуется лишь поместить в определенные места несколько файлов и изменить настройки браузера. Так, для заражения злоумышленнику достаточно вынудить жертву запустить программу, которая распакует вредоносное расширение, установит его, а потом удалится из системы. Часто браузеры пользователей заражаются с помощью социальной инженерии или “фейковых” утилит, но могут использоваться и другие методы.

Важно отметить, что для защиты операционной системы обычно используется целый ряд технологий, которые препятствуют запуску неизвестных программ с повышенными правами. Это и система прав доступа для пользователей, и UAC, и другие технологии, включая традиционные антивирусы. Но в случае с заражением браузера с помощью расширений, именно на систему никакой атаки не происходит, а следов исполняемого кода, который ищут антивирусы, не остается. При этом браузер может оказаться под контролем злоумышленников, которые таким способом получают возможность собирать приватные данные, подменять рекламу, накручивать “лайки” в социальных сетях, перехватывать информацию о взаимодействии с сайтами банков и платежных систем.

“Подчас современные технологии сильно упрощает жизнь вирусописателям, говорит Кирилл Пресняков, ведущий вирусный аналитик Cezurity, - обычно вредоносной программе нужно обойти поведенческие механизмы защиты, закрепиться в системе и потом она все равно может быть обнаружена антивирусом. Браузерные расширения сами по себе решают часть задач. Во-первых, их просто установить - для этого популярные браузеры предлагают несколько механизмов. Во-вторых, не требует каких-то дополнительных усилий закрепление в системе, а для обновления можно использовать механизмы браузера - они плохо контролируются сетевыми экранами. В-третьих, обнаружить такое заражение могут далеко не все антивирусы.

Все это ведет к резкому снижению требований к вирусописателям. Раньше для подобных атак им приходилось решать нетривиальные задачи, что требовало довольно высокой квалификации. Теперь это несравненно проще и быстрее - для создания вредоносной программы понадобится знание JavaScript и пара дней.”

Трудности детектирования вредоносных расширений браузеров во многом связаны с тем, что классические антивирусы обычно анализируют файлы отдельно, т. е. независимо друг от друга. Облачная технология Cezurity Cloud, лежащая в основе работы Антивирусного Сканера, позволяет оценивать срез системы. Это дает возможность увидеть, как может использоваться тот или иной файл и, соответственно, распознать его вредоносный характер.

“Возможно, скоро мы станем свидетелями резкого роста распространения “гибридных вирусов”, где само вредоносное действие осуществляется с помощью расширения браузера, а другие средства обеспечивают защиту от удаления”, - говорит Кирилл Пресняков.

“Мы видим изменение характера производства и распространения вредоносных программ, - говорит Кирилл Пресняков, - злоумышленники все чаще фокусируют внимание на логике мошеннических действий и не особенно заботятся о технической реализации, которая становится гораздо проще. Это меняет и требования к антивирусам - им необходимо учитывать очень широкий круг различных факторов, что без использования облачных технологий сегодня практически невозможно.”

Таким образом, сегодня Антииврусный Сканер способен защитить от вредоносных расширений наиболее популярные браузеры - Firefox, Chrome, а также Internet Explorer, для которого аналогичная функция была разработана раньше.

Также в новой версии значительно усовершенствован механизм лечения компьютеров от заражений, вызванных сложными и устойчивыми к удалению вредоносными программами. Сегодня усилия киберпреступников направлены не только на заражение компьютеров - в современных вредоносных программах зачастую используются как методы для сокрытия присутствия в системе (руткиты), так и средства, препятствующие лечению антивирусами.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Лжесотрудники банков раздают вредоносные апдейты в аэропортах

Мошенники, использующие зловредов для кражи учеток ДБО, начали от имени подсанкционных банков предлагать их для скачивания в крупных аэропортах и вокзалах ж/д. Вредоноса при этом выдают за обновление мобильного приложения.

В качестве предлога пассажиру предлагают поучаствовать в акции и стать обладателем бесплатной кредитки с выгодным лимитом. Если тот согласен, выясняется, что в его версии мобильного банка этой акции нет, и приложение нужно обновить.

В магазинах Google и Apple софт недоступен: его удалили из-за западных санкций, однако лжесотрудник банка может решить проблему, прислав сообщение со ссылкой для загрузки. Как вариант, потенциальной жертве предлагается подключиться к ноутбуку обманщика «через проводочек» и скачать с него прогу.

Вредоносный апдейт, по свидетельству SafeTech, неотличим от легитимного банковского клиента. После входа логин и пароль попадают в руки мошенников; чтобы ими воспользоваться на другом устройстве, потребуется одноразовый код, высылаемый банком (СМС) для подтверждения смены привязки. Добыть его помогает все тот же зловред, установленный на телефоне жертвы.

Получив нужные ключи, злоумышленники не мешкают. Пока жертва на борту самолета (или в поезде дальнего следования) и не может получить алерт банка из-за плохой связи, с ее счета выводятся деньги.

Подобный сценарий вполне может выстрелить. Из-за санкций приложения многих российских банков удалены из App Store и Google Play, и кредитно-финансовым организациям приходится искать альтернативы для обновления клиентского софта. Апдейты могут публиковать под другими названиями и от имени других разработчиков. Их также предлагают в отделениях банков, где помощь окажут сотрудники.

Выбор аэропортов и вокзалов тоже в данном случае оправдан: банки давно уже используют залы ожидания для оформления карт и проведения других маркетинговых кампаний. Такие места всегда под охраной, и обман кажется маловероятным.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru