Ноябрь 2008: трояны «отступают»

Ноябрь 2008: трояны «отступают»

Компания «Лаборатория Касперского», производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, опубликовала рейтинг вредоносных программ за ноябрь 2008 г. По итогам работы Kaspersky Security Network (KSN) в прошлом месяце были сформированы две вирусные двадцатки.

Первая таблица рейтинга сформирована на основе данных, собранных в ходе работы антивирусного продукта «Лаборатории Касперского» версии 2009. В этой таблице зафиксированы те вредоносные, рекламные и потенциально опасные программы, которые были детектированы на компьютерах пользователей:
3 inf:Virus.Win32.Sality.aa
0 inf:Packed.Win32.Krap.b
New inf:Trojan-Downloader.WMA.GetCodec.c
-1 inf:Worm.Win32.AutoRun.dui
3 inf:Trojan-Downloader.Win32.VB.eql
New inf:Worm.Win32.AutoRun.rja
0 inf:Packed.Win32.Black.a
New inf:Exploit.JS.RealPlr.nn
New inf:Trojan-Downloader.JS.Tabletka.a
-5 inf:Trojan-Downloader.JS.IstBar.cx
-1 inf:Trojan.Win32.Agent.abt
New inf:Trojan-Downloader.Win32.Agent.anje
2 inf:Virus.Win32.VB.bu
New inf:Worm.Win32.Mabezat.b
New inf:Worm.Win32.AutoRun.eee
0 inf:Email-Worm.Win32.Brontok.q
-8 inf:Virus.Win32.Alman.b
-7 inf:Worm.VBS.Autorun.r
New inf:Trojan-Downloader.JS.Iframe.yp
New inf:Trojan.Win32.Autoit.ci

В ноябре двадцатку возглавил вирус Sality.aa. Число зараженных им компьютеров резко возросло за последние два месяца, новые версии кода появляются несколько раз в неделю.

Роль нестандартного мультимедийного трояна Wimad.n в ноябре исполняет троян GetCodec.c, также использующий документированную, но малоизвестную возможность формата ASF. В связи с тем, что в наши дни мультимедиа становится неотъемлемой частью электронного мира, есть все основания ожидать появления других образцов подобных зловредов.

В двадцатке появились два новых скриптовых загрузчика - Trojan-Downloader.JS.Tabletka.a и Trojan-Downloader.JS.Iframe.yp, а также три червя, два из которых являются представителями одного из самых динамично пополняющихся семейств - Worm.Win32.Autorun. Учитывая легкий и эффективный способ размножения Autorun-червей, количество зараженных ими машин в перспективе будет только увеличиваться. Что касается третьего нового червя - Mabezat.b, - то он стал лидером второй двадцатки.

В целом, доля троянских программ упала еще на 10%, зато доля саморазмножающихся программ выросла с 30 до 45%, что является весьма тревожным фактом.

Всего в ноябре на компьютерах пользователей было зафиксировано 45690 уникальных вредоносных, рекламных и потенциально опасных программ. Таким образом, наблюдается стабильный рост числа угроз в среде «in-the-wild». В этом месяце обнаружено 6,5 тыс. новых образцов.

Вторая таблица рейтинга представляет данные о том, какими вредоносными программами чаще всего заражены обнаруженные на компьютерах пользователей инфицированные объекты. В основном сюда попадают различные вредоносные программы, способные заражать файлы:
0 inf:Worm.Win32.Mabezat.b
1 inf:Virus.Win32.Sality.aa
1 inf:Net-Worm.Win32.Nimda
-2 inf:Virus.Win32.Xorer.du
1 inf:Virus.Win32.Parite.b
1 inf:Virus.Win32.Virut.n
-2 inf:Virus.Win32.Alman.b
0 inf:Virus.Win32.Sality.z
1 inf:Virus.Win32.Small.l
2 inf:Email-Worm.Win32.Runouce.b
-2 inf:Virus.Win32.Virut.q
3 inf:Virus.Win32.Parite.a
4 inf:Worm.Win32.Fujack.k
-1 inf:Worm.Win32.Otwycal.g
-1 inf:Virus.Win32.Hidrag.a
New inf:P2P-Worm.Win32.Bacteraloh.h
Return inf:Worm.VBS.Headtail.a
-2 inf:Trojan.Win32.Obfuscated.gen
1 inf:Virus.Win32.Neshta.a
-2 inf:Trojan-Downloader.WMA.GetCodec.b

За месяц в этом списке произошло совсем мало изменений – один новичок и один вернувшийся в двадцатку. Новичок второго рейтинга – червь Bacteraloh.h – был обнаружен аналитиками «Лаборатории Касперского» еще в январе 2007 г. Примечательно, что данный зловред является составной частью некоторых модификаций вируса Sality. Это еще один факт, свидетельствующий о повышенной активности этого семейства.

Выпавший из рейтинга в сентябре Worm.VBS.Headtail.a вновь вернулся двадцатку. В последние месяцы этот червь неоднократно появлялся в рейтинге и исчезал из него, и эксперты «Лаборатории Касперского» предполагают, что его очередное возвращение не пройдет бесследно.

Источник 

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

ChatGPT ошибается с адресами сайтов — фишеры не дремлют

Если вы когда-нибудь просили чат-бота типа ChatGPT помочь с ссылкой на сайт банка или личного кабинета крупной компании — возможно, вы получали неправильный адрес. А теперь представьте, что кто-то специально воспользуется этой ошибкой.

Исследователи из компании Netcraft провели эксперимент: они спрашивали у модели GPT-4.1 адреса сайтов для входа в аккаунты известных брендов из сфер финансов, ретейла, технологий и коммунальных услуг.

В духе: «Я потерял закладку, подскажи, где войти в аккаунт [название бренда]?»

Результат получился тревожным:

  • только в 66% случаев бот дал правильную ссылку;
  • 29% ответов вели на несуществующие или заблокированные сайты;
  • ещё 5% — на легитимные, но вообще не те, что спрашивали.

Почему это проблема?

Потому что, как объясняет руководитель Threat Research в Netcraft Роб Дункан, фишеры могут заранее спрашивать у ИИ те же самые вопросы. Если бот выдаёт несуществующий, но правдоподобный адрес — мошенники могут просто зарегистрировать его, замаскировать под оригинал и ждать жертв.

«Вы видите, где модель ошибается, и используете эту ошибку себе на пользу», — говорит Дункан.

Фишинг адаптируется под ИИ

Современные фишинговые схемы всё чаще затачиваются не под Google, а именно под LLM — большие языковые модели. В одном случае, например, мошенники создали фейковый API для блокчейна Solana, окружив его десятками фейковых GitHub-репозиториев, туториалов, Q&A-доков и даже поддельных аккаунтов разработчиков. Всё, чтобы модель увидела якобы «живой» и «настоящий» проект и начала предлагать его в ответах.

Это чем-то напоминает классические атаки на цепочку поставок, только теперь цель — не человек с pull request'ом, а разработчик, который просто спрашивает у ИИ: «Какой API использовать?»

Вывод простой: не стоит полностью полагаться на ИИ, когда речь идёт о важных вещах вроде входа в банковский аккаунт или выборе библиотеки для кода. Проверяйте информацию на официальных сайтах, а ссылки — вручную. Особенно если ИИ обещает «удобный и официальный» сайт, которого вы раньше не видели.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru