Количество вредоносов для умных гаджетов выросло на 200% в 2018 году

Количество вредоносов для умных гаджетов выросло на 200% в 2018 году

Количество вредоносов для умных гаджетов выросло на 200% в 2018 году

За первую половину 2018 года «Лаборатория Касперского» зафиксировала в три раза больше вредоносных программ, атакующих умные устройства, чем за весь 2017 год. При этом в 2017 году подобных зловредов оказалось в 10 раз больше, чем в 2016. Другими словами, злоумышленники всё активнее задействуют устройства интернета вещей (Internet of Things - IoT) в своих киберпреступлениях, и они не останавливаются лишь на роутерах и умных камерах или Smart TV.

Так, в первом полугодии специальные ловушки  «Лаборатории Касперского», с помощью которых эксперты собирают данные о новых угрозах для IoT, были атакованы 33 посудомоечными машинами, которые, скорее всего, были заражены через уязвимость, известную ещё с марта 2017 года.

Одним из самых популярных способов заражения умных гаджетов всё ещё остаётся перебор пароля. Поскольку большинство владельцев современной техники редко меняют установленный производителем пароль устройства, злоумышленникам не составляет особого труда подобрать верную комбинацию. По данным «Лаборатории Касперского», чаще всего атаки методом перебора пароля исходят с бразильских (в 23% случаев) и китайских (17%) IP-адресов. Россия в этом списке оказалась на четвёртом месте с показателем 7%.

Главным образом злоумышленники используют заражённые IoT-устройства для организации DDoS-атак: умные гаджеты становятся частью большого ботнета, который по команде атакует определённый веб-адрес, делая его временно недоступным для легитимных пользователей. Интересно, что каждый пятый заражённый IoT-зловредом девайс в итоге стал частью известного ботнета Mirai.

Помимо этого, злоумышленники устанавливают на скомпрометированные IoT-устройства майнеры и потенциально могут задействовать их в генерации криптовалют. Также эксперты «Лаборатории Касперского» обнаружили ряд IoT-зловредов, нацеленных на перехват трафика с последующим извлечением из него данных пользователя, в частности логинов и паролей.

«Умных устройств становится всё больше, однако производители всё ещё уделяют недостаточно внимания их безопасности: нет напоминаний о необходимости смены стандартных паролей при первой настройке, нет уведомлений о выходе новых версий прошивок, а сам процесс обновления может быть сложен для обычного пользователя. Всё это делает IoT-устройства лёгкой мишенью для злоумышленников. Их проще заразить, чем персональный компьютер, и при этом они занимают далеко не последнее место в домашней инфраструктуре: одни управляют трафиком, другие снимают видео. Так что неудивительно, что вредоносное ПО для интернета вещей растёт в количественном выражении», – отметил Михаил Кузин, антивирусный эксперт «Лаборатории Касперского».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru