Эксплойт-кит Rig поднялся на второе место самых активных зловредов

Эксплойт-кит Rig поднялся на второе место самых активных зловредов

Эксплойт-кит Rig поднялся на второе место самых активных зловредов

Check Point обнаружил огромный скачок в использовании наборов эксплойтов по всему миру. Согласно мартовскому отчету Check Point Threat Index, второе место в списке самых популярных вредоносных программ занял эксплойт-кит Rig.

Наборы эксплойтов, предназначенные, чтобы искать и использовать уязвимости на машинах, а затем загружать и исполнять вредоносный код, почти не использовались с мая 2016 года, когда исчезли популярные наборы зловредов Angler и Nuclear. Однако мартовский отчет показал, что Rig EK резко поднялся в списках, став вторым среди наиболее часто используемых зловредов. В марте злоумышленники также чаще использовали Terror EK – от попадания в топ-10 его отделяет всего лишь одно место.

Rig включает эксплойты для Internet Explorer, Flash, Java и Silverlight. Заражение начинается с перенаправления на целевую страницу, содержащую Java-скрипт, который затем ищет уязвимые плагины и внедряет эксплойт.

Terror впервые был обнаружен в начале декабря 2016 и включал в себя восемь различных функциональных эксплойтов.  Как Rig, так и Terror способны доставлять различные виды угроз – от кибервымогателей и банковских троянов до спам-ботов и майнинга биткоинов.

Как и в феврале, тройка самых популярных семейств вредоносных программ представлена самыми разными по функционалу видами вредоносного ПО. В 2016 году одним из самых прибыльных инструментов киберпреступников стало вымогательство, а теперь они начали использовать для его доставки эксплойт-киты. И нет никаких оснований думать, что вымогатели сойдут на нет в ближайшее время.

На первом и втором месте в рейтинге самых распространенных вредоносных программ находятся HackerDefender и Rig EK соответственно, на их счету 5% зараженных организаций по всему миру. За ними следуют Conficker и Cryptowal, жертвами которых стали 4% компаний.

Самые активные зловреды марта 2017:

  1. HackerDefender — Пользовательский руткит для Windows, может использоваться для сокрытия файлов, процессов и ключей системного реестра. Также его применяют в качестве бэкдора и программы для перенаправления портов, которая работает через TCP-порты, открытые существующими службами. В результате скрытый бэкдор невозможно обнаружить традиционными средствами.
  2. RigEK— Набор эксплойтов появился в 2014 году. Rigвключает эксплойты для Internet Explorer, Flash, Java и Silverlight. Заражение начинается с перенаправления на целевую страницу, содержащую Java-скрипт, который затем ищет уязвимые плагины и внедряет эксплойт.
  3. Conficker — Червь, обеспечивающий удаленное исполнение операций и загрузку вредоносного ПО. Инфицированный компьютер управляется ботом, который обращается за получением инструкций к своему командному серверу.

В рейтинге самых опасных мобильных зловредов, как и в феврале, первое и второе место занимают Hiddad и Hummingbad. А вот третье место в марте занял Ztorg, отсутствовавший в тройке лидеров с января 2017.

Самыеактивныемобильныезловреды:

  1. Hiddad — Зловред для Android, который переупаковывает легитимные приложения и затем реализует их в магазинах сторонних производителей. Его главная функция — показ рекламы, однако он также может получить доступ к ключевым настройкам безопасности, встроенным в операционную систему, что позволяет злоумышленнику получить конфиденциальные данные пользователя.
  2. Hummingbad — Вредоносное ПО для Android, которое, используя устойчивый к перезагрузке руткит, устанавливает мошеннические приложения и с небольшими модификациями может проявлять дополнительную вредоносную активность, включая установку программных клавиатурных шпионов, кражу учетных данных и обход зашифрованных email-контейнеров, используемых компаниями.
  3. Ztorg — Троян, использующий рутовые привилегии, чтобы загружать и устанавливать приложения на смартфон пользователя без его ведома.

Василий Дягилев, глава представительства Check Point Software Technologies в Росси и СНГ, отметил: «Резкий рост активности эксплойт-паков в марте показывает, что угрозы никогда не исчезают навсегда — они могут просто затихнуть, а затем внезапно активизироваться. Злоумышленникам всегда легче пересмотреть и внести изменения в существующие семейства зловредов, а не разрабатывать новые. А наборы эксплойтов — это особенно гибкие и адаптируемые типы угроз. Чтобы противостоять угрозам от Rig, Terror и других эксплойтов, организациям нужно использовать передовые системы безопасности, такие как Check Point SandBlast ™ Zero-Day Protection и Mobile Threat Prevention».

Данные для Threat Map предоставлены Check Point’s ThreatCloudTM — крупнейшей сетью для совместной борьбы с киберпреступлениями, которая собирает данные об атаках с помощью глобальной сети датчиков угроз. База данных ThreatCloud содержит более 250 миллионов адресов, анализируемых на наличие ботов, более 11 миллионов сигнатур вредоносного ПО и более 5,5 миллионов адресов зараженных веб-сайтов. Каждый день система обнаруживает свыше одного миллиона типов вредоносного ПО.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

PT MAZE: в России появился сервис для защиты мобильных приложений от взлома

Positive Technologies представила PT MAZE — сервис для защиты мобильных приложений от реверс-инжиниринга. Это первый подобный инструмент на российском рынке, и его задача — усложнить жизнь киберпреступникам настолько, чтобы они просто отказались от попыток взлома.

Проблема слабой защиты кода остаётся актуальной. В рейтинге OWASP Top 10 она поднялась с 10-го места в 2014 году на 7-е — в 2024-м.

Реверс-инжиниринг позволяет злоумышленникам находить уязвимости, копировать приложения, похищать интеллектуальную собственность, модифицировать функции, а иногда и использовать такие атаки как точку входа в корпоративную инфраструктуру.

Весной 2025 года в Positive Technologies решили объединить накопленный за годы опыт в области анализа мобильных угроз и выпустить собственный инструмент, который делает взлом приложения более трудоёмким и затратным. Основная идея — превратить код в «лабиринт», через который будет сложно пройти даже опытному атакующему. В итоге — проще переключиться на другую, менее защищённую цель.

Сервис работает с Android и iOS. Защита включает автоматическую модификацию приложения: пользователь загружает файл на сервер, получает обратно версию с вшитыми защитными механизмами и может сразу использовать её. Есть готовые настройки, так что сложной конфигурации не требуется.

Основной интерес к сервису может быть у компаний, которые широко используют мобильные приложения в своей работе — например, в банковской сфере, финтехе и ретейле. Важно, что PT MAZE уже включён в реестр российского ПО, что упрощает его внедрение в тех организациях, где есть ограничения на использование зарубежных решений.

По словам специалистов, защиту кода стоит рассматривать не как «дополнительную опцию», а как один из способов минимизации рисков: от утечки пользовательских и платёжных данных до компрометации бизнес-инфраструктуры. Уязвимость внешнего мобильного сервиса — это потенциальная точка входа для более сложных атак.

Хотя тема противодействия реверс-инжинирингу в России пока мало развита, она становится всё более актуальной. И новый сервис — это один из шагов к тому, чтобы мобильные приложения становились менее уязвимыми для анализа и взлома.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru