Троян-шифровальщик Kovter распространяется под видом обновления Firefox

Олег Иванов 08 Июля 2016 - 12:01

Домашние пользователи

...

Недавно была обнаружена новая версия Kovter, рекламного трояна. Он распространяется под видом обновления Firefox и использует легальный сертификат, выданный COMODO.

Изначально Kovter использовал разнообразные способы, чтобы скомпрометировать систему и остаться незамеченным в ней. В прошлом году исследователи обратили внимание, что Kovter обновляет Adobe Flash Player и Microsoft Internet Explorer, чтобы на компьютер не попали другие вредоносные программы.

Несколько месяцев назад Check Point обнаружили, что у этого вредоноса появился функционал шифровальщика. Он может шифровать файлы пользователя, хотя его основной задачей является спрятаться в системе и остаться необнаруженным.

Группа по исследованию вредоносных программ Barkly's утверждает, что недавняя кампания по распространению Kovter была направлена на то, чтобы обмануть пользователей, маскируя инсталляционный файл трояна под вполне легитимное обновление браузера Firefox. Злоумышленники использовали атаку drive-by-downloads, чотбы заразить пользователей – как только жертва попадала на зараженный вебсайт, ей предлагалось фальшивое обновление Firefox.

Исследователи также отметили, что этот бестелесный троян, который имеет возможность устанавливать удаленно обновляемые вредоносные программы, выполнять кликфрод-задачи (click-fraud) и имеющий функционал шифровальщика, также использует доверенный сертификат, чтобы обезопасить себя от детекта антивирусов.

При запуске троян будет писать закодированный скрипт в разные места реестра Windows и будет использовать для своих вредоносных целей PowerShell.exe. Анализ ключа реестра показал, что PowerShell злоупотребляет внедрением шеллкода в систему, отмечают исследователи.

Kovter был впервые обнаружен в прошлом году и отличился отсутствием тела, однако это лишь одна из особенностей, которые получил этот троян. Исследователи в Barkly's говорят, что троян претерпел существенные изменения в последние несколько лет и даже может быть удаленно перепрограммирован, получая еще более расширенный функционал.

Исследователи установили, что сертификат, которым пользуется вредоносная программа выдан COMODO и сообщили в Центр сертификации (Certificate Authority), что нужно отозвать эту подпись. Более того, хоть изначально Kovter не обнаруживался антивирусами, теперь это исправлено с выходом обновлений антивирусных баз, утверждают исследователи.

Пользователям рекомендуется не устанавливать какие-либо обновления Firefox на сторонних сайтах, а пользоваться стандартной процедурой обновления в самом браузере. Для этого надо в меню «Справка» открыть пункт «О Firefox», далее программа сама проверит наличие обновлений и предложит установить, если такие имеются.

Исследователи также советуют пользователям всегда обновлять антивирусные базы и программы, чтобы обезопасить себя. Однако стоит обращать внимание на то, откуда эти обновления скачиваются.

Следующая главная новость »

Знай своего врага: как работает киберразведка в 2026 году?
Регистрируйтесь на эфир!

Екатерина Быстрова 01 Марта 2026 - 18:56

Атаки на сайты DDoS-атаки Корпорации Государство Selectel

Selectel: количество и мощность DDoS-атак в России продолжают активно расти

Selectel представил аналитический отчет о DDoS-атаках по итогам 2025 года. Данные получены с помощью сервиса защиты компании и отражают динамику и ключевые характеристики актуальных киберугроз для облачной инфраструктуры российского бизнеса.

Анализ показывает рост основных показателей DDoS-активности злоумышленников по сравнению с 2024 годом, что подчеркивает возрастающие риски информационной безопасности для IT-систем компаний.

Рост числа атак: за 2025 год было отражено 140 628 DDoS-атак, что на 25% превышает показатель 2024 года. В среднем ежемесячно фиксировалось более 11 тысяч атак.
Рост мощности атак: максимальный объем одной атаки достиг 569 Gbps — на 38% больше, чем годом ранее. Пиковая скорость составила 193 млн пакетов в секунду (Mpps), +16% год к году.
Продолжительность атак: максимальное время, в течение которого один клиент находился под атаками в течение месяца, достигло 863 часов — почти 36 календарных дней (+75% год к году). Максимальная длительность одной атаки выросла до 353 часов — около 15 дней непрерывного воздействия (+75% год к году).
Рекордные значения: максимальное количество атак на одного клиента достигло 7 172 атаки за месяц (+ 73% год к году). Общее время, на протяжении которого клиенты находились под атаками составило 22 743 часа (+67% год к году).
Популярные типы атак: доля атак типа TCP SYN Flood и TCP PSH/ACK Flood составила 87% от общего числа инцидентов.

«В 2025 году заметным стал паттерн «зондирующих» и «ковровых» атак — слабых, но частотных. Они были направлены на разведку и обнаружение наиболее уязвимых элементов IT-инфраструктуры. После обнаружения таких целей злоумышленники проводят по ним длительные и мощные атаки.

Актуальная статистика подтверждает, что DDoS-атаки окончательно перешли от разовых инцидентов в разряд постоянных операционных рисков для бизнеса. Для эффективного противодействия компаниям необходимо переходить к концепции киберустойчивости и проактивного подхода для защиты от угроз: пересматривать архитектуру своих сервисов, использовать балансировку и геораспределенность, изолировать критичные служебные сервисы, использовать постоянную защиту от DDoS-атак с динамической адаптацией правил фильтрации», — комментирует Антон Ведерников, руководитель направления продуктовой безопасности в Selectel.

С полной версией отчета можно ознакомиться по ссылке.

Знай своего врага: как работает киберразведка в 2026 году?
Регистрируйтесь на эфир!