Эксплойт-кит Rig поднялся на второе место самых активных зловредов

Эксплойт-кит Rig поднялся на второе место самых активных зловредов

Эксплойт-кит Rig поднялся на второе место самых активных зловредов

Check Point обнаружил огромный скачок в использовании наборов эксплойтов по всему миру. Согласно мартовскому отчету Check Point Threat Index, второе место в списке самых популярных вредоносных программ занял эксплойт-кит Rig.

Наборы эксплойтов, предназначенные, чтобы искать и использовать уязвимости на машинах, а затем загружать и исполнять вредоносный код, почти не использовались с мая 2016 года, когда исчезли популярные наборы зловредов Angler и Nuclear. Однако мартовский отчет показал, что Rig EK резко поднялся в списках, став вторым среди наиболее часто используемых зловредов. В марте злоумышленники также чаще использовали Terror EK – от попадания в топ-10 его отделяет всего лишь одно место.

Rig включает эксплойты для Internet Explorer, Flash, Java и Silverlight. Заражение начинается с перенаправления на целевую страницу, содержащую Java-скрипт, который затем ищет уязвимые плагины и внедряет эксплойт.

Terror впервые был обнаружен в начале декабря 2016 и включал в себя восемь различных функциональных эксплойтов.  Как Rig, так и Terror способны доставлять различные виды угроз – от кибервымогателей и банковских троянов до спам-ботов и майнинга биткоинов.

Как и в феврале, тройка самых популярных семейств вредоносных программ представлена самыми разными по функционалу видами вредоносного ПО. В 2016 году одним из самых прибыльных инструментов киберпреступников стало вымогательство, а теперь они начали использовать для его доставки эксплойт-киты. И нет никаких оснований думать, что вымогатели сойдут на нет в ближайшее время.

На первом и втором месте в рейтинге самых распространенных вредоносных программ находятся HackerDefender и Rig EK соответственно, на их счету 5% зараженных организаций по всему миру. За ними следуют Conficker и Cryptowal, жертвами которых стали 4% компаний.

Самые активные зловреды марта 2017:

  1. HackerDefender — Пользовательский руткит для Windows, может использоваться для сокрытия файлов, процессов и ключей системного реестра. Также его применяют в качестве бэкдора и программы для перенаправления портов, которая работает через TCP-порты, открытые существующими службами. В результате скрытый бэкдор невозможно обнаружить традиционными средствами.
  2. RigEK— Набор эксплойтов появился в 2014 году. Rigвключает эксплойты для Internet Explorer, Flash, Java и Silverlight. Заражение начинается с перенаправления на целевую страницу, содержащую Java-скрипт, который затем ищет уязвимые плагины и внедряет эксплойт.
  3. Conficker — Червь, обеспечивающий удаленное исполнение операций и загрузку вредоносного ПО. Инфицированный компьютер управляется ботом, который обращается за получением инструкций к своему командному серверу.

В рейтинге самых опасных мобильных зловредов, как и в феврале, первое и второе место занимают Hiddad и Hummingbad. А вот третье место в марте занял Ztorg, отсутствовавший в тройке лидеров с января 2017.

Самыеактивныемобильныезловреды:

  1. Hiddad — Зловред для Android, который переупаковывает легитимные приложения и затем реализует их в магазинах сторонних производителей. Его главная функция — показ рекламы, однако он также может получить доступ к ключевым настройкам безопасности, встроенным в операционную систему, что позволяет злоумышленнику получить конфиденциальные данные пользователя.
  2. Hummingbad — Вредоносное ПО для Android, которое, используя устойчивый к перезагрузке руткит, устанавливает мошеннические приложения и с небольшими модификациями может проявлять дополнительную вредоносную активность, включая установку программных клавиатурных шпионов, кражу учетных данных и обход зашифрованных email-контейнеров, используемых компаниями.
  3. Ztorg — Троян, использующий рутовые привилегии, чтобы загружать и устанавливать приложения на смартфон пользователя без его ведома.

Василий Дягилев, глава представительства Check Point Software Technologies в Росси и СНГ, отметил: «Резкий рост активности эксплойт-паков в марте показывает, что угрозы никогда не исчезают навсегда — они могут просто затихнуть, а затем внезапно активизироваться. Злоумышленникам всегда легче пересмотреть и внести изменения в существующие семейства зловредов, а не разрабатывать новые. А наборы эксплойтов — это особенно гибкие и адаптируемые типы угроз. Чтобы противостоять угрозам от Rig, Terror и других эксплойтов, организациям нужно использовать передовые системы безопасности, такие как Check Point SandBlast ™ Zero-Day Protection и Mobile Threat Prevention».

Данные для Threat Map предоставлены Check Point’s ThreatCloudTM — крупнейшей сетью для совместной борьбы с киберпреступлениями, которая собирает данные об атаках с помощью глобальной сети датчиков угроз. База данных ThreatCloud содержит более 250 миллионов адресов, анализируемых на наличие ботов, более 11 миллионов сигнатур вредоносного ПО и более 5,5 миллионов адресов зараженных веб-сайтов. Каждый день система обнаруживает свыше одного миллиона типов вредоносного ПО.

Мошенники заманивают россиян улучшенным Telegram и блокируют iPhone

Мошенники нашли еще один способ заработать на любителях улучшенных версий Telegram. На этот раз жертвам предлагают установить неофициальный клиент мессенджера, после чего блокируют iPhone и требуют деньги за его разблокировку.

Об этом «Газете.Ru» рассказал старший преподаватель кафедры КБ-14 «Цифровые технологии обработки данных» Института кибербезопасности и цифровых технологий РТУ МИРЭА Игорь Котилевец.

По словам эксперта, пользователи Telegram начали замечать в своих аккаунтах предупреждение о том, что они используют неофициальный клиент. Такой баннер появился на фоне распространения сторонних сборок мессенджера, которые могут содержать вредоносный код, шпионские модули или инструменты для сбора пользовательских данных.

Особую опасность представляют приложения с названиями вроде DarkGram, HoloGram, ToxicGram и другими. Пользователю обещают дополнительные функции и стабильную работу, а отсутствие программы в App Store объясняют просто: нужно лишь войти под служебным или временным Apple ID.

Именно здесь и кроется ловушка. Жертве передают логин и пароль от чужой учётной записи Apple. После аутентификации устройство практически сразу блокируется, а на экране появляется сообщение с контактами злоумышленников и требованием заплатить за разблокировку.

Фактически пользователь сам передаёт мошенникам контроль над своим iPhone. Эксперт напоминает, что устанавливать приложения стоит только из официальных магазинов: App Store, Google Play или RuStore. Если программу предлагают скачать по ссылке из мессенджера, чата или стороннего сайта, риск столкнуться с мошенничеством резко возрастает.

Кроме того, стоит обратить внимание на предупреждения самого Telegram. Если в профиле появился баннер о том, что используется неофициальный клиент, это серьёзный повод проверить, какую именно версию приложения вы установили.

RSS: Новости на портале Anti-Malware.ru