Эксплойт-наборы и программы-вымогатели становятся все коварнее

Эксплойт-наборы и программы-вымогатели становятся все коварнее

Опубликованный недавно полугодовой отчет компании Cisco по информационной безопасности содержит уйму свидетельств того, как киберпреступники постоянно совершенствуют и делают все изощреннее свой инструментарий для кражи и последующей перепродажи ценной коммерческой и персональной информации.

Фактически злоумышленники получают финансовое вознаграждение за свои злодеяния, причем пользователи еще и вынуждены зачастую платить «выкуп» за свои же собственные данные.

Эксплойт-набор Angler благодаря своей эффективности и технической продвинутости продолжает оставаться лидером рынка вредоносного ПО. Как отмечается в упомянутом отчете Cisco по информационной безопасности, злоумышленники особенно ценят Angler за то, что он использует уязвимости сразу нескольких технологий: Flash, Java, Internet Explorer и Silverlight. Высокая эффективность Angler объясняется еще и тем, что он в состоянии осуществлять многовекторные атаки. Как показали исследования Cisco, пользователи, столкнувшиеся с Angler, подвергаются заражению в 40% случаев (для других распространенных эксплойт-наборов этот показатель составляет лишь 20%).

При помощи нескольких новаторских методов Angler успешно обманывает пользователей и при этом зачастую избегает обнаружения. В отчете Cisco приводится мнение исследователей о том, что создатели Angler применяют методы научного анализа данных для автоматической генерации целевых интернет-страниц, которые в итоге получаются настолько естественными, что не вызывают подозрения у эвристических сканеров. Вдобавок недавно для уклонения от обнаружения Angler начал применять технологию теневых доменов. (Этот метод дает возможность установить контроль над учетной записью владельца благонадежного доменного имени и создать в пределах этого домена тысячи вредоносных субдоменов). Технология теневых доменов отнюдь не нова, но, как отмечают специалисты Cisco, с 2014 года она стала применяться намного чаще. По мнению специалистов Cisco, более 75% выявленной активности таких теневых субдоменов, используемых создателями эксплойт-наборов, может быть связано с Angler.

Когда Angler внедряет зашифрованное вредоносное ПО (например, программу Bedep), идентифицировать это ПО, как правило, можно лишь с помощью ретроспективных методов анализа. Стандартное же время обнаружения угрозы в отрасли ИБ ныне составляет от 100 до 200 суток. Очевидно, что это чересчур большой отрезок времени, особенно, если учесть, насколько стремительно злоумышленники внедряют новые технологии.

Но есть и хорошие новости: заметно сократилось время, необходимое для обнаружения ранее неизвестных вредоносных кодов средствами Cisco. В декабре 2014 года среднее время обнаружения такой угрозы системой Cisco AMP (Advanced Malware Protection) составляло менее двух суток. В период с января по март текущего года среднее время обнаружения колебалось между 44 и 46 часами, а в апреле оно несколько увеличилось — до 49 часов. К концу мая время обнаружения угрозы средствами Cisco снизилось приблизительно до 41 часа. Приведенная ниже диаграмма показывает, какое количество файлов, изначально определенных Cisco как «неизвестные», в конечном итоге было идентифицировано в качестве «вредоносных». Данные взяты из практического исследования эксплойт-набора Angler.

Программы-вымогатели, внедряемые Angler и другими эксплойт-наборами, тоже стремительно развиваются, чтобы упростить злоумышленникам способы извлечения прибыли из своих киберпреступлений. Как правило, для этого используется так называемая «криптовалюта» — например, биткойны.  Каждый доллар, уплаченный в качестве «выкупа», пополняет фонды злоумышленников. При этом, как показывает упомянутый отчет Cisco, кое-кто из наиболее успешных операторов программ-вымогателей занимаются, судя по всему, еще и профессиональной разработкой технологий, способствующих дальнейшему развитию вредоносного ПО.

Цена, устанавливаемая за выкуп данных, более-менее доступна для жертв вымогательства: обычно она составляет две-три сотни долларов (точная сумма зависит от курса обмена биткойна). Судя по всему, злоумышленники провели исследование этого рынка и определили адекватную цену, обеспечивающую оптимальные результаты: плата не столь велика, чтобы жертвы отказывались платить или обращались в правоохранительные органы. При этом операторы программ-вымогателей стараются снизить риск обнаружения до минимума, используя как скрытые каналы коммуникаций, такие как Tor и  «Проект “Невидимый Интернет» (I2P), так и технологии обмена криптовалютой, позволяющие утаивать финансовые операции от правоохранительных органов.

Cоздатели эксплойт-наборов и программ-вымогателей делают все возможное, чтобы сделать свои продукты как можно более эффективными и скрытными. В связи с этим специалисты по ИБ просто обязаны реагировать соответствующим образом и предельно внимательно следить за деятельностью киберпреступников. Следует иметь также в виду, что только комплексная защита от угроз, объединяющая в себе возможности целого ряда решений для мониторинга и контроля, учета контекста и аналитической информации об угрозах, в состоянии вовремя обнаруживать современные изощренные, постоянно развивающиеся киберугрозы и успешно противодействовать им.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники маскируют Android-троян под приложение OnlyFans

Эксперты компании F6 зафиксировали новую схему обмана, связанную с удалённой работой. Злоумышленники размещают фальшивые вакансии модераторов контента на OnlyFans — популярной платформе для взрослых, которая официально недоступна в России. Обещают работу из дома, гибкий график и оплату от 10 тысяч рублей в неделю.

Но чтобы «устроиться», кандидату предлагают пройти регистрацию в сервисе и оплатить «подписку за 1 рубль» через приложение.

Проблема в том, что приложение — поддельное, и устанавливается не из Google Play, а по ссылке из мессенджера. На деле пользователь скачивает вредоносный APK-файл, который получает доступ к банковским СМС, а затем — к деньгам.

По данным специалистов, только одна группа скамеров с начала 2025 года таким образом обманула 93 человека, похитив 869 тысяч рублей. Суммы варьировались: от 800 рублей до 155 тысяч.

Объявления публикуют на популярных площадках: ищут «модераторов», якобы для контроля качества контента. В описании — стандартные требования: знание русского языка, внимательность и смартфон на Android 7+.

Для связи используют телеграм-аккаунты с подпиской Premium и «деловыми» аватарками. Далее в переписке объясняют, что нужно создать аккаунт модератора и подтвердить его, оплатив «символическую подписку» — всего 1 рубль. Деньги якобы нужны, чтобы привязать банковскую карту и потом выплачивать на неё зарплату.

 

Когда пользователь соглашается, ему присылают ссылку на сайт с адресом вроде only-fans[.]in — он маскируется под страницу Google Play. Скачиваемое приложение — это шпионская программа. Как только человек вводит данные карты, мошенники получают доступ ко всем операциям, включая переводы и оформление кредитов.

Схема с подпиской на OnlyFans используется давно — ещё с 2023 года. Тогда мошенники притворялись девушками, знакомились с жертвами в соцсетях, отправляли откровенные фото и предлагали установить приложение, чтобы получить «доступ к остальному».

Сейчас сценарии стали изощрённее. Например, мошенники могут представляться психологом-блогером, который ведёт страницу на OnlyFans о полигамных отношениях, и также предлагать перейти по ссылке и подписаться.

Вариации на тему фейкового трудоустройства продолжают множиться. Весной аналитики фиксировали случаи, когда под видом заполнения резюме похищались телеграм-аккаунты, а зимой — когда обман происходил через объявления о работе в пунктах выдачи заказов на маркетплейсах.

Вот несколько простых правил, которые помогут защититься от подобных схем:

  • Не переходите по ссылкам от незнакомцев, даже если предложение кажется правдоподобным.
  • Скачивайте приложения только из официальных магазинов (Google Play, App Store), обращая внимание на правильность адреса.
  • Не вводите данные банковских карт, логины и пароли в непроверенных приложениях и на подозрительных сайтах.
  • Проверяйте, какие разрешения запрашивает приложение. Если требует доступ к СМС, контактам или банковским данным — это тревожный сигнал.
  • Если вы всё же ввели данные карты в подозрительном месте — немедленно заблокируйте карту через приложение банка или по горячей линии.
  • Насторожитесь, если вам предлагают зарплату выше рыночной, при этом почти ничего не требуют. Такие предложения — любимый инструмент мошенников.

Мошенники продолжают использовать тему работы и доверие людей как основной инструмент. Поэтому критическое мышление — главное средство защиты.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru