Symantec анонсирует отчет Messagelabs Intelligence за апрель 2009 года

Анализ собранных за этот период данных показал, что уровень спама повысился за месяц почти на 10% и достиг 85,3% — такого уровня не наблюдалось с сентября 2007 года. В апреле состоялся также важный саммит G20, который стал поводом для целенаправленных вредоносных атак. В дополнение к этому число ежедневно фиксируемых вредоносных веб-сайтов продолжало стремительно расти и в среднем за месяц достигло 3561. 


«Графический спам как явление достиг своего пика в 2007 году, а теперь мы видим, что спамеры возвращаются к этой технике в надежде, что история повторится, — комментирует Пол Вуд (Paul Wood), старший аналитик Symantec MessageLabs Intelligence. — К сожалению для спамеров, хорошие парни уже готовы к отражению графического спама, и киберпреступникам, чтобы оказаться на высоте, придется существенно пересмотреть свою тактику». 


Прежний графический спам представлял собой сообщения с такими вложениями, как файлы .gif или .jpg, содержащие информацию спамеров. Теперь такие изображения размещаются на защищенных хостинговых сайтах, на которые ведут ссылки с сайтов с хорошей репутацией, чтобы скрыть реальное местонахождение сайтов хостинга изображений. Спамеры используют этот метод для обхода фильтров, которые проверяют домены содержащихся в сообщениях эл. почты гиперссылок с целью проверки природы этого домена и вероятности того, что это спамерское сообщение. 


В число других методов, используемых для предотвращения обнаружения, входит включение некоторого стандартного текста сообщений, такого как информация о возможности отписаться или о защите неприкосновенности частной информации, чтобы создать видимость легитимности и соблюдения таких законов, как закон CAN-SPAM в США. Другая часто используемая тактика - включение в текст сообщения случайных слов, чтобы обмануть системы фильтрации, основанные на проверке «отпечатков пальцев» спама. 


Саммит G20 стал объектом пристального внимания международных СМИ, а также поводом для усиления в последние месяцы целенаправленных атак злоумышленников, пик которых пришелся на начало апреля. В среднем за 2008 год число таких атак составило приблизительно 53 в день, а в первом квартале 2009 года оно увеличилось примерно до 60 в день. В преддверии саммита G20, который состоялся в Лондоне 2 апреля, и в последующие дни это число выросло примерно до 100 атак в день. 


Жертвами этих атак стали финансовые организации, в том числе сотрудники центральных банков некоторых стран, участвовавших в саммите. В сообщения вкладывался файл в формате PDF, открытие которого вызывало загрузку, установку и исполнение «троянского коня». Это, в свою очередь, приводило к загрузке в компьютер других шпионских компонентов. Некоторые из этих атак были оформлены в виде ответов на реальные, неспамерские сообщения, что говорит о том, что как минимум один получатель уже был заражен.


«Экономический кризис занимает мысли многих людей, и киберпреступники – не исключение, — говорит Вуд. — Учитывая, что в этом году уже появляется спам и фишинговые атаки, связанные с кризисом, включение в игру других мошенников – лишь вопрос времени. В эти трудные времена потребителям следует усилить свою бдительность в онлайне». 


Наконец, количество вредоносных веб-сайтов продолжает расти, и апрельская статистика указывает на его прирост в 27,3%, причем в среднем ежедневно фиксировалась деятельность 3561 нового вредоносного веб-сайта. Эти сайты служили источниками самых разных угроз, включая попутные загрузки троянов, трояны, спрятанные внутри PDF-файлов, вредоносные программы, маскирующиеся под файлы gif, и вредоносные теги HTML IFRAME. Последние часто становятся результатом взлома веб-сервера при помощи атаки типа SQL-инъекции – популярного метода атак против легитимных, добросовестных веб-доменов. В число других разновидностей атак также входит ПО, маскирующееся под легитимные приложения, в том числе антивирусные программы. 


Другие выводы отчета: 


- Веб-безопасность: анализ веб-безопасности показал, что в апреле 63,3% всех перехваченных веб-атак были новыми атаками. MessageLabs Intelligence ежедневно выявляла в среднем по 3561 новому веб-сайту, содержащему вредоносное ПО и другие потенциально нежелательные программы, такие как рекламное и шпионское ПО. Это на 27,3% больше, чем в марте.


- Спам: в апреле 2009 года доля спама в мировом трафике электронной почты, исходящего из новых и ранее неизвестных вредоносных источников, составила 85,3% (каждое 17-е сообщение), что на 9,6% больше, чем в марте. 


- Вирусы: Доля вирусов в мировом трафике электронной почты, исходящих из новых и ранее неизвестных вредоносных источников, составила одно из каждых 304,9 сообщений email (0,28%), что на 0,08% меньше, чем в марте. В апреле 13,3% вредоносных сообщений email содержали ссылки на вредоносные сайты, что на 6,9% меньше, чем в марте. 


- Фишинг: Одно из каждых 404,7 сообщения эл. почты (0,25%) представляло собой ту или иную форму фишинговой атаки, что на 0,10% меньше доли фишинга в марте. По отношению ко всем распространяемыми по email угрозам, таким как вирусы и трояны, доля фишинговых сообщений сократилась на 9,2% до 89,7% от всех перехваченных в апреле угроз, распространяемых по эл. почте. 

 

Географические тенденции: 


- В Великобритании уровень спама в апреле вырос на 25,6% и составил 94%, что делает эту страну лидером по спаму. 


- В США уровень спама в апреле вырос до 79,4%, в Канаде — до 77,4% и в Гонконге — до 89,9%. В Германии уровень спама достиг 83,3%, а в Нидерландах - 78,0%. В Австралии он составил 87,8%, в Китае — 90,3% и в Японии — 86,4%.


- Активность вирусов в Германии усилилась на 0,07% до одного зараженного сообщения на каждые 164,8 сообщения, что ставит эту страну на первое место по вирусам в апреле. 


- Уровень вирусов в США составил одно на каждые 512,1 сообщения, в Канаде — одно на 269,0, и в Австралии – одно на 908,8 сообщения. Уровень вирусов в Великобритании составил одно на каждые 229,3 сообщения, в Гонконге – одно на 370,8, а в Японии достиг одного на 1883,2 сообщения эл. почты.


Тенденции по отраслям:


- В апреле наиболее активно атакуемым спамерами сектором экономики стала розничная торговля с уровнем спама 82,9%. 


- В секторе образования уровень спама достиг 81,1%, в сфере химической и фармацевтической промышленности — 77,3%; в государственном секторе — 76,1%, и в финансовой сфере — 78,2%.


- Уровень вирусов в сфере образования сократился на 0,19%, тем не менее, этот сектор остается лидером, демонстрируя одно зараженное сообщение на каждые 118,1 электронных письма.


- Уровень вирусов в секторе ИТ-услуг составил одно на каждые 367,3 сообщения, в розничной торговле — одно на каждые 506,1 а в финансовом секторе – одно на каждые 446,9 электронного сообщения.


Отчет MessageLabs Intelligence за апрель 2009 года содержит и другие подробности, касающиеся всех перечисленных выше тенденций и цифр, а также более подробный анализ тенденций по географическим регионам и отраслям. Полный отчет находится по адресу: http://www.messagelabs.com/intelligence.aspx

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

В песочницы корпоративных сетей чаще всего попадают трояны и шпионы

Большая часть вредоносных программ, попавшихся при внедрении “песочниц” в корпоративные сети, — это трояны. Чаще всего они внедряются для шпионажа. Зараженные письма рассылают обычно в первой половине дня. Вредоносов маскируют под запросы о ценах и оплате товара.

О результатах двух пилотных проектов песочницы PT Sandbox рассказали в Positive Technologies. За время экспериментов эксперты обнаружили 122 семейства зловредов и почти 2 тыс. вредоносных файлов.

Чаще всего их находили в почтовом трафике. Треть всех подозрительных файлов извлекли из сетевого трафика. Каждый пятый экземпляр был найден в общих папках и хранилищах или загружен для проверки вручную через веб-интерфейс.

 

Обычно электронные письма с троянами приходили в утренние часы (с 4:00 до 7:00) и в обеденное время (с 13:00 до 15:00).

Злоумышленники маскировали письма под запросы о ценах на товары (35%), сообщения о заказе и оплате (37%), а также на тему доставки (13%).

В четверти случаев отправитель требовал ответить немедленно — это явный признак вредоносного сообщения, напоминают эксперты.

Почти все сообщения с пометкой “срочно” содержали просьбы подтвердить платеж, уточнить реквизиты или цены на товары и услуги. Поддельные формы аутентификации содержались в 27% писем.

 

По данным исследования, трояны составляли 91% среди всех найденных вредоносов.

Большинство образцов оказались шпионскими программами (32%).

С их помощью можно следить за активностью пользователя и передавать информацию злоумышленнику.

Такие программы могут перехватывать нажатия клавиш, делать снимки экрана, записи с микрофона или веб-камеры, сохранять учетные данные из приложений, собирать адреса электронной почты и данные банковских карт.

Средства кражи учетных данных составили 21%. Такие программы похожи на трояны-шпионы, но их основными функциями являются перехват и компрометация учетных данных пользователя.

Среди образцов вредоносных программ было также проанализировано множество поддельных форм ввода, они составили 16%. Такие формы содержат скрипты, которые отправляют информацию злоумышленникам и обычно используются для кражи “учеток”.

По мнению экспертов Positive Technologies, важно выявить угрозу на ранней стадии, как только вредонос попытается проникнуть на устройство, прежде чем он успеет нанести непоправимый вред корпоративной инфраструктуре.

Специалисты рекомендуют использовать для этого разные технологии.

Практически в каждом классе нашлись вредоносы, которые были выявлены только с помощью какой-то одной технологии, а две и больше одновременно срабатывали только в 31% случаев, говорится в отчете.

Опыт показал, что поведенческий и статический анализаторы сработали в 40% и 15% случаев соответственно.

“Для выявления вредоносов важны все компоненты песочницы”, — комментирует результаты исследования руководитель отдела обнаружения вредоносного ПО экспертного центра безопасности Positive Technologies (PT Expert Security Center) Алексей Вишняков.

Один из компонентов может сигнализировать о вредоносном воздействии, когда другим файл не кажется опасным.

Собранные в исследовании данные касаются 18 пилотных проектов PT Sandbox. Они проводились с середины 2021 года и в первую половину 2022. Большая часть проектов затрагивала промышленные предприятиях, были и “пилоты” в финансовых организациях, СМИ, государственных и медицинских учреждениях. Каждый проект занимал около месяца.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru