Symantec анонсирует отчет Messagelabs Intelligence за апрель 2009 года

Анализ собранных за этот период данных показал, что уровень спама повысился за месяц почти на 10% и достиг 85,3% — такого уровня не наблюдалось с сентября 2007 года. В апреле состоялся также важный саммит G20, который стал поводом для целенаправленных вредоносных атак. В дополнение к этому число ежедневно фиксируемых вредоносных веб-сайтов продолжало стремительно расти и в среднем за месяц достигло 3561. 


«Графический спам как явление достиг своего пика в 2007 году, а теперь мы видим, что спамеры возвращаются к этой технике в надежде, что история повторится, — комментирует Пол Вуд (Paul Wood), старший аналитик Symantec MessageLabs Intelligence. — К сожалению для спамеров, хорошие парни уже готовы к отражению графического спама, и киберпреступникам, чтобы оказаться на высоте, придется существенно пересмотреть свою тактику». 


Прежний графический спам представлял собой сообщения с такими вложениями, как файлы .gif или .jpg, содержащие информацию спамеров. Теперь такие изображения размещаются на защищенных хостинговых сайтах, на которые ведут ссылки с сайтов с хорошей репутацией, чтобы скрыть реальное местонахождение сайтов хостинга изображений. Спамеры используют этот метод для обхода фильтров, которые проверяют домены содержащихся в сообщениях эл. почты гиперссылок с целью проверки природы этого домена и вероятности того, что это спамерское сообщение. 


В число других методов, используемых для предотвращения обнаружения, входит включение некоторого стандартного текста сообщений, такого как информация о возможности отписаться или о защите неприкосновенности частной информации, чтобы создать видимость легитимности и соблюдения таких законов, как закон CAN-SPAM в США. Другая часто используемая тактика - включение в текст сообщения случайных слов, чтобы обмануть системы фильтрации, основанные на проверке «отпечатков пальцев» спама. 


Саммит G20 стал объектом пристального внимания международных СМИ, а также поводом для усиления в последние месяцы целенаправленных атак злоумышленников, пик которых пришелся на начало апреля. В среднем за 2008 год число таких атак составило приблизительно 53 в день, а в первом квартале 2009 года оно увеличилось примерно до 60 в день. В преддверии саммита G20, который состоялся в Лондоне 2 апреля, и в последующие дни это число выросло примерно до 100 атак в день. 


Жертвами этих атак стали финансовые организации, в том числе сотрудники центральных банков некоторых стран, участвовавших в саммите. В сообщения вкладывался файл в формате PDF, открытие которого вызывало загрузку, установку и исполнение «троянского коня». Это, в свою очередь, приводило к загрузке в компьютер других шпионских компонентов. Некоторые из этих атак были оформлены в виде ответов на реальные, неспамерские сообщения, что говорит о том, что как минимум один получатель уже был заражен.


«Экономический кризис занимает мысли многих людей, и киберпреступники – не исключение, — говорит Вуд. — Учитывая, что в этом году уже появляется спам и фишинговые атаки, связанные с кризисом, включение в игру других мошенников – лишь вопрос времени. В эти трудные времена потребителям следует усилить свою бдительность в онлайне». 


Наконец, количество вредоносных веб-сайтов продолжает расти, и апрельская статистика указывает на его прирост в 27,3%, причем в среднем ежедневно фиксировалась деятельность 3561 нового вредоносного веб-сайта. Эти сайты служили источниками самых разных угроз, включая попутные загрузки троянов, трояны, спрятанные внутри PDF-файлов, вредоносные программы, маскирующиеся под файлы gif, и вредоносные теги HTML IFRAME. Последние часто становятся результатом взлома веб-сервера при помощи атаки типа SQL-инъекции – популярного метода атак против легитимных, добросовестных веб-доменов. В число других разновидностей атак также входит ПО, маскирующееся под легитимные приложения, в том числе антивирусные программы. 


Другие выводы отчета: 


- Веб-безопасность: анализ веб-безопасности показал, что в апреле 63,3% всех перехваченных веб-атак были новыми атаками. MessageLabs Intelligence ежедневно выявляла в среднем по 3561 новому веб-сайту, содержащему вредоносное ПО и другие потенциально нежелательные программы, такие как рекламное и шпионское ПО. Это на 27,3% больше, чем в марте.


- Спам: в апреле 2009 года доля спама в мировом трафике электронной почты, исходящего из новых и ранее неизвестных вредоносных источников, составила 85,3% (каждое 17-е сообщение), что на 9,6% больше, чем в марте. 


- Вирусы: Доля вирусов в мировом трафике электронной почты, исходящих из новых и ранее неизвестных вредоносных источников, составила одно из каждых 304,9 сообщений email (0,28%), что на 0,08% меньше, чем в марте. В апреле 13,3% вредоносных сообщений email содержали ссылки на вредоносные сайты, что на 6,9% меньше, чем в марте. 


- Фишинг: Одно из каждых 404,7 сообщения эл. почты (0,25%) представляло собой ту или иную форму фишинговой атаки, что на 0,10% меньше доли фишинга в марте. По отношению ко всем распространяемыми по email угрозам, таким как вирусы и трояны, доля фишинговых сообщений сократилась на 9,2% до 89,7% от всех перехваченных в апреле угроз, распространяемых по эл. почте. 

 

Географические тенденции: 


- В Великобритании уровень спама в апреле вырос на 25,6% и составил 94%, что делает эту страну лидером по спаму. 


- В США уровень спама в апреле вырос до 79,4%, в Канаде — до 77,4% и в Гонконге — до 89,9%. В Германии уровень спама достиг 83,3%, а в Нидерландах - 78,0%. В Австралии он составил 87,8%, в Китае — 90,3% и в Японии — 86,4%.


- Активность вирусов в Германии усилилась на 0,07% до одного зараженного сообщения на каждые 164,8 сообщения, что ставит эту страну на первое место по вирусам в апреле. 


- Уровень вирусов в США составил одно на каждые 512,1 сообщения, в Канаде — одно на 269,0, и в Австралии – одно на 908,8 сообщения. Уровень вирусов в Великобритании составил одно на каждые 229,3 сообщения, в Гонконге – одно на 370,8, а в Японии достиг одного на 1883,2 сообщения эл. почты.


Тенденции по отраслям:


- В апреле наиболее активно атакуемым спамерами сектором экономики стала розничная торговля с уровнем спама 82,9%. 


- В секторе образования уровень спама достиг 81,1%, в сфере химической и фармацевтической промышленности — 77,3%; в государственном секторе — 76,1%, и в финансовой сфере — 78,2%.


- Уровень вирусов в сфере образования сократился на 0,19%, тем не менее, этот сектор остается лидером, демонстрируя одно зараженное сообщение на каждые 118,1 электронных письма.


- Уровень вирусов в секторе ИТ-услуг составил одно на каждые 367,3 сообщения, в розничной торговле — одно на каждые 506,1 а в финансовом секторе – одно на каждые 446,9 электронного сообщения.


Отчет MessageLabs Intelligence за апрель 2009 года содержит и другие подробности, касающиеся всех перечисленных выше тенденций и цифр, а также более подробный анализ тенденций по географическим регионам и отраслям. Полный отчет находится по адресу: http://www.messagelabs.com/intelligence.aspx

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Код эксплойта для непропатченной дыры в Windows 10 опубликован на GitHub

Хакер, известный под онлайн-псевдонимом «SandboxEscaper», сегодня опубликовал код proof-of-concept (PoC) эксплойта, использующего непропатченную 0-day уязвимость в Windows 10. Это уже пятый эксплойт, публикуемый SandboxEscaper меньше чем за год.

Специалист опубликовал код на GitHub, принцип его действия — эксплуатация бреши, приводящей к повышению привилегий. Используя этот эксплойт, атакующий может запустить любой код с правами администратора.

Проблема безопасности кроется в Планировщике заданий Windows, а точнее в используемом им методе SchRpcRegisterTask. SchRpcRegisterTask помогает зарегистрировать задания на сервере, однако недостаточно корректно проверяет при этом права.

Таким образом, злоумышленник может установить привилегии DACL (discretionary access control list).

«Такой подход выльется в вызов RPC “_SchRpcRegisterTask“, который раскрывается сервисом Планировщика задач», — пишет сам SandboxEscaper.

Киберпреступник может написать вредоносную программу, которая запустит специально созданный злонамеренный файл .job. В результате этому файлу удастся присвоить права SYSTEM, что позволит злоумышленнику получить полный контроль над атакуемой системой.

SandboxEscaper поделился видео, на котором демонстрируется эксплуатация 0-day в Windows.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru