Онлайн-груминг: 80% заявок в друзья к детям поступают от незнакомцев

Онлайн-груминг: 80% заявок в друзья к детям поступают от незнакомцев

Лаборатория Касперского” опубликовала тревожные результаты нового исследования. Летом специалисты опросили две тысячи взрослых и детей, интересуясь, кто обычно добавляется в друзья к детскому профилю в соцсетях.

Выяснилось, что 80% запросов дети получают от незнакомых людей. Почти четверть из них поступает от взрослых. Самый частый такой ответ — в группе детей 7-10 лет.

“В целом почти каждый второй ребёнок (49%) знакомится с новыми людьми в социальных сетях, и больше трети из них (36%) потом встречаются с новыми знакомыми в реальности”, — рассказали в пресс-службе “Лаборатории Касперского”.

В 7-10 лет у 90% детей уже есть собственный смартфон или планшет. Родители не всегда интересуются, чем те делятся в Сети. Юные пользователи размещают много личных данных.

Почти половина указывает в социальных сетях свой настоящий возраст и рассказывает о своих увлечениях, больше четверти (27%) отмечают номер школы, 13% выкладывают фотографии, на которых видно обстановку квартиры, 12% указывают имена родственников (родителей), а 10% — публикуют номер мобильного телефона.

“Родители беспокоятся о том, сколько времени дети проводят в Сети, но не всегда обращают внимание на то, что они там делают и с кем общаются”, — отмечает Андрей Сиденко, руководитель направления “Лаборатории Касперского” по детской онлайн-безопасности.

Одна из угроз — онлайн-груминг. Это попытка установить доверительные отношения с ребёнком, чтобы получить приватные фотографии или видео для шантажа и не только, добиться встречи в реальной жизни.

Согласно опросу, треть родителей не знают, какая информация о ребёнке находится в открытом доступе не только в соцсетях, но и в целом в интернете.

Онлайн-груминг — серьёзная проблема, комментирует результаты исследования Ольга Бочкова, детский психолог, руководитель Академии безопасности.

“Действительно, мы обнаружили, что чаще всего под угрозой сексуализированного насилия любого вида, как онлайн, так и в реальности, подвергаются дети 7-12 лет, — говорит Бочкова. — Часто родителям кажется, что достаточно ограничить общение ребенка с посторонними людьми, и тогда он будет под защитой. Но обширная практика Академии безопасности показывает, что вымогать интимные фотографии и видео могут и взрослые знакомые ребёнка, и его ровесники”.

Оградить детей от онлайн-груминга может их умение фильтровать информацию о себе и выстраивать личные границы. Родители могут контролировать активности ребенка в Сети через приложения “родительского контроля”.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Зловредный PowerShell рубит сеть и стирает диски, когда недоволен условиями

Эксперты Securonix рассказали об интересном способе заражения, который избрали хакеры, рассылающие адресные письма некоторым военным подрядчикам. Доставка целевого зловреда осуществляется с помощью восьми промежуточных PowerShell-загрузчиков (стейджеров); один из них тщательно проверяет среду исполнения и мстит, если его что-то не устраивает.

Вредоносным имейл-атакам подвергались в основном частные компании, производящие средства вооружения. Опасные фальшивки получили также сотрудники компании-поставщика узлов для истребителей F-35 Lightning II.

Анализ показал, что вложенный ZIP в данном случае содержит LNK-файл с двойным расширением (.pdf.lnk) — для маскировки. При исполнении он подключается к C2-серверу и запускает цепочку заражения.

 

Примечательно, что для выполнения команд начальный загрузчик использует утилиту FORFILES вместо привычной cmd.exe. Все стейджеры запускаются с помощью powershell.exe, которую LNK копирует в C:\Windows, переименовывая в AdobeAcrobatPDFReader.

Семь сгруппированных PowerShell-скриптов сильно обфусцированы с использованием разных техник — перестановки и замены символов, нестандартных форм записи чисел, изменения порядка операторов, построчного сжатия и проч.

Самым интересным оказался предпоследний стейджер — он прилагает много усилий для сокрытия непрошеного вторжения и обеспечения адекватной рабочей среды:

  • пытается обойти AMSI-защиту Windows, отключая режим анализа кодов;
  • сверяется со своим списком процессов, связанных с отладкой и мониторингом;
  • с помощью WMI проверяет разрешение экрана (высота должна превышать 777 пикселей), емкость памяти (более 4 Гбайт), дату установки ОС (более чем трехдневной давности);
  • с помощью PowerShell-команд проверяет наличие виртуальной среды и связи с доменом Active Directory.

Если хотя бы один результат неудовлетворителен, вредоносный скрипт отключает сетевые адаптеры, блокирует весь входящий и исходящий трафик (изменяет настройки брандмауэра Windows с помощью netsh), удаляет все файлы в папке «Пользователи» и на дисках G:\, F:\ и E:\, а затем выключает компьютер (через командлет Stop-Computer). Единственное препятствие, не вызывающее столь бурной реакции — это русский или китайский язык интерфейса в настройках системы. В таких случаях вредонос просто завершает свой процесс.

Когда результаты проверок удовлетворительны, скрипт переходит к следующему этапу обеспечения адекватной рабочей среды. Он отключает регистрацию блоков сценариев PowerShell (записи о запускаемых скриптах в журнале Windows), трассировку событий PowerShell и журнал приложений (с помощью командлета Remove-EtwTraceProvider). При доступности админ-привилегий зловред также нейтрализует Microsoft Defender — добавляет в исключения файлы .lnk, .rar, .exe, важные для работы папки, процессы forfiles.exe, powershell.exe, cmd.exe, а также отключает сканирование архивных файлов.

Способы обеспечения постоянного присутствия тоже разнообразны: добавление ключей реестра, создание новых запланированных заданий, своего ярлыка (MicrosoftWS.lnk) в стартовый каталог, новой подписки на события WMI.

Финальную полезную нагрузку определить не удалось: содержимое файла header.png было зашифровано по AES, но попытки расшифровать выдавали лишь бессмысленный набор данных.

Для создания командной инфраструктуры злоумышленники в июле зарегистрировали около десятка доменов с одинаковы именем — terma, но в разных TLD-зонах (.dev, .vip, .wiki и т. п.). Для хостинга вначале использовались серверы DigitalOcean, позднее — Cloudflare.

Узконаправленная киберкампания мастеров маскировки немного напоминает Konni-атаки  APT37, но их действия более изощренны и скрытны. Судя по всему, целевой файл header.png уже изъят из раздачи, вредоносные рассылки тоже сошли на нет.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru