Utveckling av IT-hot under det första kvartalet 2014
Utveckling av IT-hot under det första kvartalet 2014
av Admin tor maj 08, 2014 4:42 pm
Kvartalet i siffror
• Enligt uppgifter i Kaspersky Security Network (KSN), produkter från Kaspersky Lab blockerad i det första kvartalet 2014 totalt 1131000866 angrepp på datorer och mobila enheter i KSN användare.
• De lösningar från Kaspersky Lab slogs ut 353 216 351 attacker av Internet-resurser i olika länder i världen.
• Kaspersky Anti - Virus filt 29 122 849 enskilda skadliga objekt (t.ex. skript, webbplatser, utnyttjar och körbara filer).
• Kaspersky Anti - Virus slog larm på 81 736 783 enskilda webbadresser.
• 39 procent av webbattacker som blockerade våra produkter genomfördes med hjälp av skadliga webbresurser som finns i USA och Ryssland.
• Våra antiviruslösningar förhindrade 645 809 230 virusangrepp på datorn av deltagarna i KSN. Som en del av dessa transaktioner totalt 135 227 372 skadliga och potentiellt oönskade föremål registrerades.
Översikt
Riktade attacker/APT
Dimman har lyft
I september 2013 rapporterade vi en riktad attack heter Icefog som riktades främst mot mål i Sydkorea och Japan. Mest APT kampanjer körs i månader eller år, med fortsatt medan data stjäls. Däremot brottslingarna alltid koncentrerade bakom Icefog endast på ett enda mål, inom ramen för en mycket korta, precisa attacker ledde till stöld av mycket specifika uppgifter. Under denna kampanj som var aktiv åtminstone sedan 2011, har ett antal olika versioner av detta skadliga program som används, inklusive en specialiserad Mac OS sort.
Efter publiceringen av vår rapport, de Icefog attackerna upphörde, och angriparna tog alla kända kommando - och - kontroll -servrar offline . Ändå, vi övervakade verksamheten ytterligare genom att styra domäner till en sinkhole server och föreningarna med de personer och enheter som omfattas analyseras. Vår fortfarande pågår analys visade att en annan generation Icefog bakdörrar finns - i det här fallet är det en Java- version av skadlig kod som vi har " Javafog " döpt . Anslutningar till lingdona [ dot] com , en av Sinkhole domäner, påpekade att kunden kan vara ett Java-program . Efterföljande undersökningar tog ett prov av denna ansökan i förgrunden.
Under operationen Sinkholing observerade Kaspersky laget åtta IP-adresser för tre individuella mål Javafog . Allt var beläget i USA, vilket är det är i en för en mycket stor oberoende olje-och gasbolag, med verksamhet i många länder. Det är möjligt att Javafog är speciellt utvecklad för användning i USA, och även för en attack som varar längre än en typisk Icefog attack. En möjlig orsak till att utveckla en Java- version av denna malware är att de bättre kan dölja och därför svårare att upptäcka löv.
Bakom masken
I februari, den forskargrupp vid Kaspersky Lab publicerade en rapport om en omfattande cyberspionagekampanj, som heter " The Mask ”eller” Careto " borrning (vardagligt spanska för " fula ansikten ”eller” mask ”). Syftet med kampanjen var stöld av känsliga data från olika mål. Offren är spridda över 31 länder i världen och inkluderar statliga myndigheter, ambassader, energiföretag, forskningsinstitutioner, privata mäklare och aktivister.
Attacken börjar med ett spjut phishing e-post som innehåller en länk till en skadlig webbplats med en rad bedrifter. Om målobjektet har smittats, är det omdirigeras till legitim webbplats som har lämnats i e - post (till exempel på ett meddelande eller videoportalen). The Mask arbetar med en sofistikerad bakdörr som kan fånga upp alla kommunikationskanaler och alla typer av att stjäla data från en infekterad dator. Som i fallet med röd oktober, en annan riktad attack tidigare datum, är koden i moduler så att angriparna har möjlighet att lägga till nya funktioner efter behag. The Mask höjer nätet också långt ut - det finns versioner av bakdörr för Windows och Mac OS X , och vissa tecken tyder på att det också kan ge versioner för Linux , iOS och Android . Den trojanska använder också sofistikerade dolda tekniker för att dölja sin verksamhet.
Den främsta avsikten med angriparen bakom masken är i datastöld.
Det skadliga programmet samlar ett brett spektrum av uppgifter från ett infekterat system, inklusive krypteringsnycklar, VPN- konfigurationer, SSH-nyckel, RDP-filer och några okända filtyper som kan rymmas med anpassade krypteringsverktyg på militär eller regeringsnivå tillsammans.
Vi vet inte vem som ligger bakom kampanjen. Vissa spår tyder på att användningen av det spanska språket ut, men som också hjälper inte nödvändigtvis, eftersom detta språk talas i många delar av världen. Det är också möjligt att det är ett villospår för att avleda uppmärksamheten hos dem som faktiskt bakom det - vem som kan vara. Den höga nivån av professionalism i gruppen bakom denna attack är ovanligt att cyber kriminella gäng, vilket kan vara en indikation på att det kan vara i The Mask är en finansieras av en nationalstat kampanj.
Kampanjen lyfter fram det faktum att det är mycket professionella angripare som har resurser och kompetens för att utveckla komplexa skadlig kod - i det här fallet, i syfte att stjäla känsliga uppgifter. Den visar också än en gång mycket tydligt att riktade attacker ”under radarn flyga igenom”, eftersom de producerar lite eller ingen aktivitet på de speciella erbjudandena bortom.
Men det är lika viktigt att inse att - oberoende av komplexiteten i The Mask - attackerna liksom på många tidigare riktade attacker börjar alltid få en person att göra något som undergräver säkerheten i organisationen som de fungerar - i detta fall, genom att klicka på en länk.
För närvarande är alla kända kommando - och - kontrollserver (C & C) off-line att hantera infektionen. Men det är möjligt att angriparen kan kampanjen återupplivas i framtiden.
Masken och ormen
I början av mars fanns det inom IT-säkerhet gemenskap utökade diskussioner om en cyber spionage kampanj kallad Turla (även känd som Snake och Uroburos). Experterna vid G - DATA är av den åsikten att det skadliga programmet som används i det här fallet kunde ha utvecklats av ryska specialtjänster. En studie genomförd av BAE Systems utredning tog Turla med ett skadligt program som heter Agent.btz i samverkan, som går tillbaka till 2007 och 2008 användes för att infektera lokala nätverk av verksamheten i den amerikanska militären i Mellanöstern.
Kaspersky Lab kom över dessa riktade attacker som en del av en utredning av en incident med en sofistikerad rootkit som vi heter " Sun rootkit " . Det visade sig att det är en och samma hot på Sun rootkit och Uroburos.
Vi har undersökt Turla ännu inte komplett, eftersom vi anser att denna kampanj är betydligt mer komplicerat än man kan tro på grund av det material som vi har publicerat hittills. Trots detta har vår första analys några intressanta kopplingar ojordade.
Agent.btz är ett självreplikerande mask som sprider sig via USB-minnen, genom att utnyttja en sårbarhet, som gör det möjligt för honom att börja med hjälp av autorun.inf. Denna skadegörare kan spridas runt om i världen med blixtens hastighet. Även utvecklats de senaste åren, har inga nya varianter av masken, och den ovan nämnda sårbar stängd i nyare versioner av Windows, har lösningar från Kaspersky Lab Agent.btz i ensam 2013 upptäcktes 13,832 gånger i 107 länder!
Masken skapar en fil med namnet thumb.dll på alla USB-minnen som är anslutna till den infekterade datorn (den innehåller filerna winview.ocx, wmcache.nld och mssysmgr.ocx). Denna fil är en behållare för stulna data som lagrar masken på minnet, såvida de inte är direkt skickas via Internet till C & C -server, angriparen. Om en sådan USB- flash-enhet ansluten till en annan dator, slutar filen upp thumb.dll under namnet mssysmgr.ocx på den nya datorn.
På grund av omfattningen av epidemin i kombination med den tidigare nämnda funktionalitet Kaspersky experter är av den uppfattningen att världen tiotusentals USB-minnen är i omlopp, de filer med beteckningen innehåller thumb.dll som skapades av Agent.btz . För närvarande erkänner lösningar av Kaspersky Lab, de flesta varianter av denna malware som Worm. Win32. Orbina .
Visst Agent.btz är inte den enda skadligt program som sprids via USB-minnen.
USB Stealer i röd oktober innehåller en lista med filer, efter som den strävar efter att USB-minnen som är anslutna till infekterade datorer. Vi har funnit att denna lista mysysmgr.ocx filerna och innehåller thumb.dll. Två av de filer som skrivs till USB-minnen, kom troligen från Agent.btz .
Ännu längre tillbaka i det förflutna, när vi analyserade Flame och hans kusiner Gauss och mini flamma, vi träffade även likheter med Agent.btz . Det finns slående likheter i namngivning, särskilt användningen av förlängningen " ocx " . Dessutom var det också klart att både Gauss och mini flamma hålls på USB-minnen för filen thumb.dll ut.
Slutligen Turla använder samma filnamn som Agent.btz för stocken, som den lagrar på infekterade datorer, nämligen mswmpdat.tlb , winview.ocx och wmcache.nld . Det skadlig programvara använder också samma XOR nyckel för att kryptera sina loggfiler.
Allt vi vet hittills är att dessa skadliga program har vissa likheter. Det är tydligt att Agent.btz en inspirationskälla för dem var som utvecklat andra skadliga program som nämns här. Men vi kan inte med säkerhet säga att bakom alla dessa hot faktiskt sätta samma personer.
Malware Stories : Skala löken
Tor (kort för " The Onion Router ”) är en programvara som gör att du kan surfa på internet anonymt. De har funnits en tid, men det användes främst av experter och entusiaster. Användning av Tor-nätverket, men är inspelad i de senaste månaderna i luften, främst på grund av ökad oro för den personliga integriteten. Tor har blivit en bra lösning för alla som av någon anledning att frukta en uppföljning och dränering av deras konfidentiella uppgifter. Några av Kaspersky Lab genomfört de senaste månaderna studier har dock visat att Tor är också attraktivt för cyberbrottslingar: Du vet den anonymitet som erbjuds av detta program uppskattas också.
Under 2013 först observerade vi att cyberbrottslingar aktivt använda Tor för att vara värd för sin skadliga malware infrastruktur. Experterna vid Kaspersky Lab har olika skadliga program fann att specifikt använda Tor. Studier av Tor-nätverket visade att många resurser med skadliga program kommunicera, inklusive C & C -servrar, administrationskonsoler och mycket mer. Genom att vara värd sina servrar i Tor-nätverket, cyberbrottslingar att dessa är svåra att identifiera, klassificera, och ta bort dem.
Hacker forum och IT-brott marknadsplatser är inte längre något speciellt i den ”normala” internet. Men på senare tid även etablerat en målbaserad jordisk marknad i sk darknet . Det hela började med den ökända Silk Road Market. Det finns nu ett tiotal specialiserade marknader - för droger, vapen, och naturligtvis skadlig kod.
Kardning butiker är fast förankrade i Darknet : Här stulna personuppgifter kommer att erbjudas till försäljning , där det finns ett stort utbud , vilket kan vara smal , exempelvis till ett visst land eller en viss bank . De varor som erbjuds är men inte begränsat till kreditkort, även tippar samt skimming och kardning tillbehör erbjuds till försäljning.
En enkel registrering, Säljaren betyg, garanterad service och ett användarvänligt gränssnitt - det är de vanliga funktionerna i en Tor underground marknad. Vissa butiker kräver lämnar en deposition i form av en fast summa pengar innan handeln kan drivas. Detta syftar till att säkerställa att återförsäljaren är verkligt och det är inte i sina tjänster till bedrägeri eller att de är av god kvalitet.
Utvecklingen av Tor löpte parallellt med ökningen av anonymt krypto valutan Bitcoin. Nästan allt är köpt med Bitcoin och betalas inom Tor-nätverket. Det är nästan omöjligt att få en Bitcoin plånbok och en verklig person med varandra. Utför cyberbrottslingar transaktioner i dark Net använda Bitcoin genom det betyder då att de förblir så gott som omöjliga att spåra.
Det verkar som om porten och andra anonyma nätverk är en vanlig Internet- funktion, som ett växande antal användare av World Wide Web som letar efter ett sätt att skydda sina personuppgifter. Men det är samtidigt en attraktiv mekanism för cyberbrottslingar - ett sätt att utveckla de funktioner som utvecklats av dem och för att dölja skadlig kod , cyberbrottslingar erbjuda tjänster och för att tvätta illegala intäkter . Vi är övertygade om att användningen av sådana nät bara i början.
Webbsäkerhet och dataläckage
De toppar och dalar av Bitcoin
Bitcoin är en digital krypto valuta. Den bygger på ett peer-to - peer- modell, där pengarna i form av en kedja av digitala signaturer som representerar de enskilda aktierna i en Bitcoin. Det finns ingen central styrning och det finns inga internationella transaktionsavgifter. Dessa två egenskaper har bidragit till att göra Bitcoin till ett attraktivt kontanter. En översikt över Bitcoin och information om hur denna valuta fungerar kan hittas på webbplatsen för Kaspersky Daily.
Med den ökande användningen av dessa Bitcoin valuta blir också en allt mer attraktivt mål för cyberkriminella.
I vårt årsskifte prognos från Kaspersky Labs experter förutspådde attacker på Bitcoin. Framför allt förväntade vi att " attacker på Bitcoin pooler, utbyten och användare av Bitcoins blivit en av de hetaste ämnena i år 2014 " . Attacker av den här typen, så vi förutspådde, " kommer att göra mest i popularitet bland cyberbrottslingar, som i att utföra sådana attacker, är ett maximalt utbyte motsatt en låg användning. "
För riktigheten i denna avhandling har vi redan tillräckliga bevis. Mt.Gox , en av de största Bitcoin utbyte , togs offline den 25 februari. Denna händelse var i slutet av en turbulent månad då börsen hade att brottas med en hel del problem. Problem, vilket innebar att handelsprisetför Bitcoin föll dramatiskt. Enligt rapporter, orsaken till kollapsen av aktiemarknaden var i ett hack som resulterade i en förlust på 744 408 Bitcoins . Detta motsvarar ett värde på cirka $ 350 000 000 på den dag då Mt.Gox gick offline . Det ser ut som om det i detta fall en sårbarhet i Bitcoin -protokollet, som kallas " Transaction Malle Ability " , var det centrala problemet . Denna sårbarhet låter angripare under vissa omständigheter, för att skapa olika transaktions-ID för en och samma transaktion, så att det verkar som om transaktionen inte hade ägt rum. Vår bedömning av problemen kring Mt.Gox kollaps hittar du här . Den Transaktions gallerior Förmåga bugg har nu korrigerats. Visst Mt.Gox är inte den enda virtuella leverantör av virtuella banktjänster , som attackerades , precis som vi misstänkte att det mot slutet av förra året . Den ökande användningen av virtuella valutor kommer i framtiden säkert att locka allt fler attacker av sig själv.
Inte bara utbyten för virtuella valutor är känsliga för angrepp. Även de människor som använder krypto valutor kan komma under attack från cyberbrottslingar. I mitten av mars var det personliga blogg samt Reddit hänsyn till VD för Mt.Gox , Mark Karepeles , hackad . Dessa konton användes för att lägga upp en fil med namnet MtGox2014Leak.zip. Förmodligen innehåller filen värdefulla databaser soptippar och specialiserad programvara, vilket möjliggör åtkomst från Mt.Gox uppgifter . I själva verket innehöll den skadliga program lokaliserar Bitcoin Wallet filer och stjäl. Detta är ett bra exempel på hur cyberbrottslingar utnyttjar folkets intressen på de senaste nyheterna att sprida sig på detta sätt deras skadliga program.
En fråga som ställs av sådana angrepp flera gånger, är av största vikt: Hur kan de av oss som använder en kryptovaluta, skydda i en miljö som styrs skillnad valutor i den verkliga världen inte av externa standarder eller riktlinjer är? Kaspersky experter rekommenderar att Bitcoins föredrar att hållas i en öppen källkod offline Bitcoin klient som en online utbytesservice med en okänd historia. Om du har många Bitcoins , så spara dem helst i en plånbok på en dator utan internet . Du bör också göra lösenorden för din Bitcoin plånbok så komplext som möjligt och se till att din dator skyddas av en bra Internet Security produkt.
Spammare är också snabb att när det gäller att engagera användarna genom social ingenjörs tricks i en fraud . Du har dragit i det här fallet, en fördel med prishöjning för Bitcoin under första halvan av kvartalet (före Mt.Gox kollaps ) genom att försöka utnyttja girighet efter snabba pengar för sina egna syften . Som vi rapporterade i februari, spammaren gjorde vid denna tid olika Bitcoin ämnen fördel. Bland dem fanns den påstådda avslöjande av investerings hemligheter en Bitcoin Millionärer samt en inbjudan till en Bitcoin lotteri.
Bra programvara kan tjäna onda syften
På Analyst Summit Kaspersky Security i februari 2014 förklarade vi hur en oren implementeras i den fasta programvaran för vanliga bärbara datorer och vissa stationära datorer stöldskydd teknik i händerna på cyberbrottslingar kan vara ett kraftfullt vapen.
Kaspersky laget började sin undersökning efter upprepade systemprocesser har kraschat på en privat bärbar dator Kaspersky Labs anställd. En analys av händelseloggen och en minnesdump visade att krascher var resultatet av en instabilitet i modulerna identprv.dll och wceprv.dll som laddas in i adressutrymmet för värdprocesser för Windows-tjänster (svchost.exe). Dessa moduler har skapats av Absolute Software, ett legitimt företag, och utgör en del av det Absoluta Computrace -programvaran.
Vår kollega förklarade att han aldrig hade installerat denna programvara och visste inte ens att den körs på sin bärbara dator. Detta i sin tur orsakade oss att oroa sig , eftersom installationen måste utföras av Absolute Software från ägaren till datorn eller företagets IT-avdelning , enligt ett vitt papper . Och medan de flesta av den förinstallerade programvaran kan tas bort eller inaktiveras av ägaren till datorn, Computrace ett professionellt kvalitetssystem rengöring och till och med byta ut hårddisken överleva. Vi kan inte bara avfärda det här fallet som en engångsaffär, som vi funnit bevis för att Computrace programvaran körs även på datorer på några av våra experter, samt några företagsdatorer. Detta innebar att vi genomförde en fördjupad analys.
I vår första titt på Computrace vi trodde felaktigt, om det var skadlig programvara eftersom programmet fungerar med så många tricks som kommer i vilda skadlig kod att använda: Den använder speciell felsökning och anti - reverse engineering tekniker släpps sig in i minnet av andra processer, som bygger på hemliga meddelanden, automatisk släppa filer i systemmappar, patchning systemfiler på hårddisken, inrätta en dold kommunikation, kryptering av konfigurationsfiler och ovanlig rättighetshantering. Därför har denna programvara klassificerats tidigare som skadlig kod. För närvarande finns det körbara Computrace men de flesta antivirusföretag på den vita listan.
Kaspersky Lab anser att Computrace utvecklades i god tro. Men våra studier visar att sårbarheter i programvaran cyberbrottslingar skulle kunna ge möjlighet att missbruka programmet. Enligt vår uppfattning bör en stark autentisering och kryptering integreras i ett sådant kraftfullt verktyg. Vi har inte funnit några bevis för att Computrace moduler var i hemlighet på de datorer som vi har analyserat aktiverade. Men det är uppenbart att det finns mången dator -aktiverade Computrace Agent. Vi anser att det åligger tillverkarna och på Absolute Software, för att identifiera relevanta användare och förklara för dem hur de kan inaktivera programvaran om de inte vill använda. Annars kommer de föräldralösa agenter fortsätta obemärkt, som ger möjligheter till fjärr bruk.
Mobila hot
Under första kvartalet 2014 var andelen Android- hoten var mer än 99 procent av alla mobila malware. Under kvartalet följande mobila hot upptäcktes:
• 1 258 436 installationspaket
• 110 324 nya mobila malware
• 1182 nya mobila bank trojaner
Mobil bank trojaner
Varor Kaspersky laget känt 1321 enskilda körbara filer från mobil bank trojaner i början av kvartalet, så det var i slutet av kvartalet redan 2503 filer . Beståndet av bank trojaner har alltså nästan fördubblats under kvartalet.
En bank trojan som heter Faketoken representerades under det första kvartalet i topp 20 av spåras av Kaspersky Lab mobil skadlig kod. Detta skadliga program stjäl mTAN siffror och arbetar med stationära bankirer tillsammans. På den laddas under en Internetbank session i den webbsida datorn trojan med Web - Inject injicera en uppmaning att ladda ner en Android- applikation. Detta är tänkt att vara avgörande för säker hantering av transaktioner. Begäran innehåller även en länk till Faketoken . Efter den mobila skadedjur har landat på smartphone för användaren, de cyberbrottslingarna får tillgång till deras bankkonto. Faketoken tillåter dem att avlyssna de mTAN siffror och att överföra pengar för användaren på sina konton.
Vi har ofta skrivit om det faktum att de flesta mobila bankirer utvecklas i Ryssland och användes först där. Men senare använder cyberbrottslingar kan de också i andra länder. Faketoken är ett av dessa program. Under det första kvartalet 2014 denna skadedjursangreppregistrerades i 55 länder, däribland Tyskland, Sverige, Italien, Storbritannien och USA.
Nyheter från virusmakare
En kontrollerad via Gate Bot
Det anonyma nätverket Tor, som bygger på ett nätverk av proxyservrar, garanterar användaren anonymitet och gör det möjligt i domänen zonen . ”Lök” att placera anonyma webbplatser som är tillgängliga i målet. I februari upptäckte Kaspersky Lab den första Android trojan som som C & C högkvarter använder en domän i pseudo - zonen. ”lök”.
Den Backdoor.AndroidOS.Torec.a är den modifierade populära Tor klient Orbot , de cyberbrottslingar har lagt sin kod . Det märkliga är att Backdoor.AndroidOS.Torec.a fler rader kod krävs för att använda Tor kan, som hans faktiska programkoden .
Den trojanska kan få från kontrollcentralen av cyberbrottslingar följande kommandon:
• Intercept inkommande SMS start/slut
• Stöld av inkommande SMS- start/slut
• USSD- begäran
• uppgifter om telefon (nummer, land, IMEI, modell, OS-versionen) att skicka till C & C
• Skicka en lista över installerade program på den mobila enheten till C & C
• Ett SMS till det nummer som anges i kommandot inlägget
Vad behövs för cyberbrottslingar en anonym nätverk ? Svaret är enkelt: en C & C -server som ligger i Tor-nätverket kan inte stängas. Detta tillvägagångssätt har utvecklarna av Android trojaner kopieras från virusmakare utveckla Windows skadlig programvara.
Stöld från elektroniska plånböcker
Cyberbrottslingar ständigt stjäla efter nya sätt att tjäna pengar med hjälp av mobila trojaner. I mars upptäckte Kaspersky Lab malware Trojan - SMS.AndroidOS.Waller.a , som är utöver det typisk representant för den typ Trojan - SMS- aktivitet i stånd att stjäla pengar från QIWI -plånböcker av ägarna till infekterade smartphones .
Om trojanerna får ett motsvarande kommando från kommandocentralen, så det kontrollerar saldo av den elektroniska plånboken QIWI plånbok. Därför skickar Trojan - SMS.AndroidOS. Waller.a ett SMS till motsvarande nummer i QIWI systemet. SMS- emot som svar fångar trojaner och skickar den till sina män på.
Om ägaren till en infekterad enhet via en QIWI -plånbok och tar emot trojaner information om en balans positiv konto, så att programmet kan överföra pengar från användarens konto som anges av cyberbrottslingar QIWI -plånbok. För detta ändamål sänder den trojanska att befalla ett SMS till ett speciellt antal QIWI system, i vilket antalet plånboken av cybercriminals och att hänvisa summan ges.
Hittills trojaner ryska användar attacker uteslutande. Men online-brottslingar stjäl med hans hjälp och pengar från användare från andra länder där det finns en möjlighet att hantera elektroniska plånböcker med SMS.
Obehagliga nyheter
Under det första kvartalet 2014 en trojan för iOS upptäcktes. Detta skadliga program är en plug-in för Cydia substrat, ett populärt ramverk för rotade eller hackade enheter. I många partnerprogramfår app-utvecklare som lagt reklam moduler i sina ansökningar, pengar för displayannonser. Den trojanska upptäckte ersattes i vissa reklammoduler, ID för utvecklare programmet genom ID av cyberbrottslingar. Detta får till följd att pengarna kommer att återgå till de kriminella för att visa annonser.
Experter från Turkiet har upptäckt en sårbarhet vars utnyttjande kan leda till DOS för enheten och en efterföljande överbelastning. Den typ av sårbarheten är att en Android- applikation med AndroidManifest.xml kan skapas , "namn" kan innehålla en mycket stor mängd data i fält . ( AndroidManifest.xml är en speciell fil som finns i alla Android- applikation. Den här filen innehåller information om programmet finns med, inklusive behörighet till systemfunktioner och referenser på behandling av olika händelser. ) Installationen av program som skapats är okomplicerad men till exempel när du ringer " Activity " med ett namn som det kraschar enheten . Till exempel kan det finnas inkommande SMS- meddelanden med felaktiga namn, eftersom den tas emot, är telefonen inte längre är användbart. Den mobila enheten börjar starta upp ständigt nya och användaren förblir endast möjligheten av operativsystemet nedgradering. Detta kan i sin tur leda till förlust av data på enheten.
Skadligt spam
Mobil skadlig kod är ofta sprids via skadlig skräppost. Denna metod är populärt särskilt bland de cyberbrottslingar som stjäl med hjälp av mobila trojaner pengar från bankkonton för sina offer.
Skadliga spam Sms-meddelanden innehåller vanligtvis antingen uppmaningen att ladda ner ett program - med en länk till ett skadligt program - eller en länk till en webbplats som är spridd från vilket ett skadligt program och användare luras under någon förevändning. Att använda social ingenjörskonst är ett försök att uppmärksamma användarna mot transporten.
OS- spam
De olympiska spelen är en otvivelaktigt viktig händelse. Naturligtvis cyberbrottslingar använder intresse av användarna i denna händelse för sina egna syften.
I februari registrerades Kaspersky experterna ett utskick av spam SMS med en länk som påstås ha pekat på en överföring av den olympiska tävlingen. Klickade oförsiktiga användare på den här länken, det försökte att lasta på sin smartphones en trojan som känner igen de lösningar från Kaspersky Lab som Trojan - SMS.AndroidOS.FakeInst.fb .
Denna trojan kan befalla online gangster att skicka SMS till numret på en större rysk bank, och att föra över pengar från ditt bankkonto på den mobila hänsynen till ägaren av den mobila enheten. Från Mobile offrets konto, kan cyberbrottslingar överföra till sina elektroniska plånböcker pengar igen. I detta fall kommer alla meddelanden om transaktionen av banken innan användaren döljas.
Statistik
Nedanstående statistik bygger på uppgifter som samlats in från olika komponenter i Kaspersky Labs produkter. All statistik som används i rapporten samlades med hjälp av distribuerat nätverks antivirus Kaspersky Security Network (KSN) och utvärderas. Uppgifterna kommer från KSN -användare som har gett sitt samtycke till överföringen av informationen. På det globala utbytet av information om virusaktivitet, miljontals användare av Kaspersky produkter från 213 länder i världen deltar.
Skadliga program på Internet (attacker från webben)
De statistiska uppgifterna i detta avsnitt baseras på modulen Kaspersky Anti - virus som skyddar datorn just nu, laddas i skadlig kod från en skadlig webbplats. Kan vara smittade sidor som cyberbrottslingar har skapats speciellt för detta ändamål, samt webbresurser, vars innehåll skapas av användarna själva (t.ex. forum) och hackad legitima resurser.
Topp 20 skadliga objekt på Internet
Under första kvartalet 2014 fick Kaspersky Anti - Virus 29 122 849 enskilda skadliga objekt (t.ex. skript, webbplatser, utnyttjar och körbara filer).
Av alla de skadliga program som har varit inblandade i Internet-attacker, har Kaspersky laget 20 nedan den mest aktiva. De svarade för 99,8 procent av alla webbattacker.
Efter att ha klickat på knappen Hämta ska försöka ladda skadedjur Trojan. Win32. Agent.aduro på datorn. Uppgiften om den trojanska är att ladda ner bredvid den erbjudna PR- plug - in också en dold från användarprogram till brytning av krypto valuta Litecoin . Som ett resultat, de cyberkriminella använder resurserna i den infekterade datorn för att skapa den virtuella valutan för deras plånbok.
Också mycket intressant är det skadligt skript Trojan - Clicker.JS.FbLiker.k ( 15: e plats ) , som finns i första hand på de vietnamesiska underhållning webbplatser av alla slag, samt resurser som användaren är de ladda ner filmer och program som erbjuds . Inmatning av användaren en sådan sida , skriptet härmar ett klick på " Gilla" -knappen på en viss sida på det sociala nätverket Facebook . Som ett resultat kommer denna sida på Facebook med tillägg av "gillar" visas på Facebook väggen av användaren. Dessutom kommer antalet ”gillar” också påverka deras visning i Facebook sökningen till en specifik sida.
Topp 10 ursprungsländerna för webbattacker
Denna statistik visar fördelningen av källorna till de blockerade Kaspersky Anti-Virus webbattacker på datorerna för deltagarna i KSN per land (exempelvis webbplatser med omdirigeringar till bedrifter, webbplatser med bedrifter och andra skadliga program, samt kontrollcentraler av botnet). Varje enskild värd kan vara ursprunget till ett eller flera webbattacker.
För att bestämma det geografiska ursprunget till attackerna, är domännamnet och den faktiska IP-adressen i jämförelse med motsvarande domän är inrymt. Dessutom Kaspersky experterna bestämmer geografiska ursprung respektive IP-adress (Geo IP).
Under det första kvartalet 2014, de lösningar från Kaspersky Lab slogs ut 353 216 351 attacker som genomfördes av Internet resurser i olika länder i världen. Totalt sett 83,4 procent av meddelanden om blockering av attacker som kan hänföras till attacker från webbresurser som finns i tio länder i världen - vilket är 0,3 procentenheter lägre än föregående kvartal.
Denna rating har inte förändrats nämnvärt under de senaste månaderna. Det är värt att notera att 39 procent av webb attacker blockeras av våra produkter genomfördes med hjälp av skadliga resurser som finns i USA och Ryssland.
Länder där datorer utsätts för den största risken för infektion via Internet
För att fastställa graden av risk för infektion via Internet, är datorerna exponeras i olika länder, har Kaspersky laget beräknas för varje land har i hur många enskilda användare av Kaspersky Lab Kaspersky Anti - Virus under kvartalet slog larm. De sålunda erhållna data finns en indikator för aggressiviteten hos den miljö i vilken datorn arbeta i olika länder.
Under det första kvartalet 2014 skedde en förändring av ledarskap i denna rating: Position man är nu Vietnam, där 51,4 procent av användarna utsattes för webbattacker. Ny Betyget är Mongoliet, som landade med ett värde på 44,7 procent på nummer 5. Resten av de 10 positionerna traditionellt ockupera Ryssland och före detta Sovjetrepubliker.
Bland de säkraste surfa på internet länder är Singapore (10,5 % ) , Japan ( 13,2 % ) , Sverige ( 14,5 % ) , Sydafrika ( 15,6 % ) , Taiwan ( 16,1 % ) , Danmark ( 16,4 % ) , Finland ( 16,8 % ) , Nederländerna ( 17,7 % ) och Norge ( 19,4 % ) .
I genomsnitt under kvartalet, 33,2 procent av världens datorer med Internet-användare minst en gång utsatts för en Webattack.
Lokala hot
En mycket viktig indikator är statistiken av lokala infektioner i datorn. Dessa uppgifter omfattar objekt som inte tränger genom Internet, e-post eller tillgång port in i systemen.
I detta avsnitt presenterar Kaspersky laget statistiska uppgifter som bygger på arbetet i realtid scanner för Kaspersky lösningar. Det finns också statistik om skannings olika medier, bland annat flyttbara media (genomsökning på begäran).
Under det första kvartalet 2014, våra antiviruslösningar 645 809 230 blockerade försök på lokal infektion på datorerna av deltagarna i KSN. I dessa incidenter 135 227 372 enskilda skadliga och potentiellt oönskade föremål registrerades.
Traditionellt som PR -program och virus finns i denna rating vid sidan av hot också representera maskar som sprids via flyttbara media.
Andelen virus i topp 20 minskar jämnt, men långsamt. Under det första kvartalet av virus av familjerna Virus. Win32. Sality.gen och Virus. Win32. Nimnul.a var representerade med sammanlagt åtta procent. Som jämförelse, i det fjärde kvartalet 2013 var den siffran 9,1 procent.
Masken Worm.VBS.Dinihou.r där det är ett VBS script som visades i slutet av förra året , men han är representerad i betyg för första gången , på plats åtta . Denna mask sprids framför allt med hjälp av spam. Masken använder den breda funktionaliteten i en fullfjädrad bakdörr, med början i början av kommandoraden sättet att ladda upp en viss fil till servern . Dessutom infekterade Worm.VBS.Dinihou.r datorn från USB-disk .
• Enligt uppgifter i Kaspersky Security Network (KSN), produkter från Kaspersky Lab blockerad i det första kvartalet 2014 totalt 1131000866 angrepp på datorer och mobila enheter i KSN användare.
• De lösningar från Kaspersky Lab slogs ut 353 216 351 attacker av Internet-resurser i olika länder i världen.
• Kaspersky Anti - Virus filt 29 122 849 enskilda skadliga objekt (t.ex. skript, webbplatser, utnyttjar och körbara filer).
• Kaspersky Anti - Virus slog larm på 81 736 783 enskilda webbadresser.
• 39 procent av webbattacker som blockerade våra produkter genomfördes med hjälp av skadliga webbresurser som finns i USA och Ryssland.
• Våra antiviruslösningar förhindrade 645 809 230 virusangrepp på datorn av deltagarna i KSN. Som en del av dessa transaktioner totalt 135 227 372 skadliga och potentiellt oönskade föremål registrerades.
Översikt
Riktade attacker/APT
Dimman har lyft
I september 2013 rapporterade vi en riktad attack heter Icefog som riktades främst mot mål i Sydkorea och Japan. Mest APT kampanjer körs i månader eller år, med fortsatt medan data stjäls. Däremot brottslingarna alltid koncentrerade bakom Icefog endast på ett enda mål, inom ramen för en mycket korta, precisa attacker ledde till stöld av mycket specifika uppgifter. Under denna kampanj som var aktiv åtminstone sedan 2011, har ett antal olika versioner av detta skadliga program som används, inklusive en specialiserad Mac OS sort.
Efter publiceringen av vår rapport, de Icefog attackerna upphörde, och angriparna tog alla kända kommando - och - kontroll -servrar offline . Ändå, vi övervakade verksamheten ytterligare genom att styra domäner till en sinkhole server och föreningarna med de personer och enheter som omfattas analyseras. Vår fortfarande pågår analys visade att en annan generation Icefog bakdörrar finns - i det här fallet är det en Java- version av skadlig kod som vi har " Javafog " döpt . Anslutningar till lingdona [ dot] com , en av Sinkhole domäner, påpekade att kunden kan vara ett Java-program . Efterföljande undersökningar tog ett prov av denna ansökan i förgrunden.
Under operationen Sinkholing observerade Kaspersky laget åtta IP-adresser för tre individuella mål Javafog . Allt var beläget i USA, vilket är det är i en för en mycket stor oberoende olje-och gasbolag, med verksamhet i många länder. Det är möjligt att Javafog är speciellt utvecklad för användning i USA, och även för en attack som varar längre än en typisk Icefog attack. En möjlig orsak till att utveckla en Java- version av denna malware är att de bättre kan dölja och därför svårare att upptäcka löv.
Bakom masken
I februari, den forskargrupp vid Kaspersky Lab publicerade en rapport om en omfattande cyberspionagekampanj, som heter " The Mask ”eller” Careto " borrning (vardagligt spanska för " fula ansikten ”eller” mask ”). Syftet med kampanjen var stöld av känsliga data från olika mål. Offren är spridda över 31 länder i världen och inkluderar statliga myndigheter, ambassader, energiföretag, forskningsinstitutioner, privata mäklare och aktivister.
Attacken börjar med ett spjut phishing e-post som innehåller en länk till en skadlig webbplats med en rad bedrifter. Om målobjektet har smittats, är det omdirigeras till legitim webbplats som har lämnats i e - post (till exempel på ett meddelande eller videoportalen). The Mask arbetar med en sofistikerad bakdörr som kan fånga upp alla kommunikationskanaler och alla typer av att stjäla data från en infekterad dator. Som i fallet med röd oktober, en annan riktad attack tidigare datum, är koden i moduler så att angriparna har möjlighet att lägga till nya funktioner efter behag. The Mask höjer nätet också långt ut - det finns versioner av bakdörr för Windows och Mac OS X , och vissa tecken tyder på att det också kan ge versioner för Linux , iOS och Android . Den trojanska använder också sofistikerade dolda tekniker för att dölja sin verksamhet.
Den främsta avsikten med angriparen bakom masken är i datastöld.
Det skadliga programmet samlar ett brett spektrum av uppgifter från ett infekterat system, inklusive krypteringsnycklar, VPN- konfigurationer, SSH-nyckel, RDP-filer och några okända filtyper som kan rymmas med anpassade krypteringsverktyg på militär eller regeringsnivå tillsammans.
Vi vet inte vem som ligger bakom kampanjen. Vissa spår tyder på att användningen av det spanska språket ut, men som också hjälper inte nödvändigtvis, eftersom detta språk talas i många delar av världen. Det är också möjligt att det är ett villospår för att avleda uppmärksamheten hos dem som faktiskt bakom det - vem som kan vara. Den höga nivån av professionalism i gruppen bakom denna attack är ovanligt att cyber kriminella gäng, vilket kan vara en indikation på att det kan vara i The Mask är en finansieras av en nationalstat kampanj.
Kampanjen lyfter fram det faktum att det är mycket professionella angripare som har resurser och kompetens för att utveckla komplexa skadlig kod - i det här fallet, i syfte att stjäla känsliga uppgifter. Den visar också än en gång mycket tydligt att riktade attacker ”under radarn flyga igenom”, eftersom de producerar lite eller ingen aktivitet på de speciella erbjudandena bortom.
Men det är lika viktigt att inse att - oberoende av komplexiteten i The Mask - attackerna liksom på många tidigare riktade attacker börjar alltid få en person att göra något som undergräver säkerheten i organisationen som de fungerar - i detta fall, genom att klicka på en länk.
För närvarande är alla kända kommando - och - kontrollserver (C & C) off-line att hantera infektionen. Men det är möjligt att angriparen kan kampanjen återupplivas i framtiden.
Masken och ormen
I början av mars fanns det inom IT-säkerhet gemenskap utökade diskussioner om en cyber spionage kampanj kallad Turla (även känd som Snake och Uroburos). Experterna vid G - DATA är av den åsikten att det skadliga programmet som används i det här fallet kunde ha utvecklats av ryska specialtjänster. En studie genomförd av BAE Systems utredning tog Turla med ett skadligt program som heter Agent.btz i samverkan, som går tillbaka till 2007 och 2008 användes för att infektera lokala nätverk av verksamheten i den amerikanska militären i Mellanöstern.
Kaspersky Lab kom över dessa riktade attacker som en del av en utredning av en incident med en sofistikerad rootkit som vi heter " Sun rootkit " . Det visade sig att det är en och samma hot på Sun rootkit och Uroburos.
Vi har undersökt Turla ännu inte komplett, eftersom vi anser att denna kampanj är betydligt mer komplicerat än man kan tro på grund av det material som vi har publicerat hittills. Trots detta har vår första analys några intressanta kopplingar ojordade.
Agent.btz är ett självreplikerande mask som sprider sig via USB-minnen, genom att utnyttja en sårbarhet, som gör det möjligt för honom att börja med hjälp av autorun.inf. Denna skadegörare kan spridas runt om i världen med blixtens hastighet. Även utvecklats de senaste åren, har inga nya varianter av masken, och den ovan nämnda sårbar stängd i nyare versioner av Windows, har lösningar från Kaspersky Lab Agent.btz i ensam 2013 upptäcktes 13,832 gånger i 107 länder!
Masken skapar en fil med namnet thumb.dll på alla USB-minnen som är anslutna till den infekterade datorn (den innehåller filerna winview.ocx, wmcache.nld och mssysmgr.ocx). Denna fil är en behållare för stulna data som lagrar masken på minnet, såvida de inte är direkt skickas via Internet till C & C -server, angriparen. Om en sådan USB- flash-enhet ansluten till en annan dator, slutar filen upp thumb.dll under namnet mssysmgr.ocx på den nya datorn.
På grund av omfattningen av epidemin i kombination med den tidigare nämnda funktionalitet Kaspersky experter är av den uppfattningen att världen tiotusentals USB-minnen är i omlopp, de filer med beteckningen innehåller thumb.dll som skapades av Agent.btz . För närvarande erkänner lösningar av Kaspersky Lab, de flesta varianter av denna malware som Worm. Win32. Orbina .
Visst Agent.btz är inte den enda skadligt program som sprids via USB-minnen.
USB Stealer i röd oktober innehåller en lista med filer, efter som den strävar efter att USB-minnen som är anslutna till infekterade datorer. Vi har funnit att denna lista mysysmgr.ocx filerna och innehåller thumb.dll. Två av de filer som skrivs till USB-minnen, kom troligen från Agent.btz .
Ännu längre tillbaka i det förflutna, när vi analyserade Flame och hans kusiner Gauss och mini flamma, vi träffade även likheter med Agent.btz . Det finns slående likheter i namngivning, särskilt användningen av förlängningen " ocx " . Dessutom var det också klart att både Gauss och mini flamma hålls på USB-minnen för filen thumb.dll ut.
Slutligen Turla använder samma filnamn som Agent.btz för stocken, som den lagrar på infekterade datorer, nämligen mswmpdat.tlb , winview.ocx och wmcache.nld . Det skadlig programvara använder också samma XOR nyckel för att kryptera sina loggfiler.
Allt vi vet hittills är att dessa skadliga program har vissa likheter. Det är tydligt att Agent.btz en inspirationskälla för dem var som utvecklat andra skadliga program som nämns här. Men vi kan inte med säkerhet säga att bakom alla dessa hot faktiskt sätta samma personer.
Malware Stories : Skala löken
Tor (kort för " The Onion Router ”) är en programvara som gör att du kan surfa på internet anonymt. De har funnits en tid, men det användes främst av experter och entusiaster. Användning av Tor-nätverket, men är inspelad i de senaste månaderna i luften, främst på grund av ökad oro för den personliga integriteten. Tor har blivit en bra lösning för alla som av någon anledning att frukta en uppföljning och dränering av deras konfidentiella uppgifter. Några av Kaspersky Lab genomfört de senaste månaderna studier har dock visat att Tor är också attraktivt för cyberbrottslingar: Du vet den anonymitet som erbjuds av detta program uppskattas också.
Under 2013 först observerade vi att cyberbrottslingar aktivt använda Tor för att vara värd för sin skadliga malware infrastruktur. Experterna vid Kaspersky Lab har olika skadliga program fann att specifikt använda Tor. Studier av Tor-nätverket visade att många resurser med skadliga program kommunicera, inklusive C & C -servrar, administrationskonsoler och mycket mer. Genom att vara värd sina servrar i Tor-nätverket, cyberbrottslingar att dessa är svåra att identifiera, klassificera, och ta bort dem.
Hacker forum och IT-brott marknadsplatser är inte längre något speciellt i den ”normala” internet. Men på senare tid även etablerat en målbaserad jordisk marknad i sk darknet . Det hela började med den ökända Silk Road Market. Det finns nu ett tiotal specialiserade marknader - för droger, vapen, och naturligtvis skadlig kod.
Kardning butiker är fast förankrade i Darknet : Här stulna personuppgifter kommer att erbjudas till försäljning , där det finns ett stort utbud , vilket kan vara smal , exempelvis till ett visst land eller en viss bank . De varor som erbjuds är men inte begränsat till kreditkort, även tippar samt skimming och kardning tillbehör erbjuds till försäljning.
En enkel registrering, Säljaren betyg, garanterad service och ett användarvänligt gränssnitt - det är de vanliga funktionerna i en Tor underground marknad. Vissa butiker kräver lämnar en deposition i form av en fast summa pengar innan handeln kan drivas. Detta syftar till att säkerställa att återförsäljaren är verkligt och det är inte i sina tjänster till bedrägeri eller att de är av god kvalitet.
Utvecklingen av Tor löpte parallellt med ökningen av anonymt krypto valutan Bitcoin. Nästan allt är köpt med Bitcoin och betalas inom Tor-nätverket. Det är nästan omöjligt att få en Bitcoin plånbok och en verklig person med varandra. Utför cyberbrottslingar transaktioner i dark Net använda Bitcoin genom det betyder då att de förblir så gott som omöjliga att spåra.
Det verkar som om porten och andra anonyma nätverk är en vanlig Internet- funktion, som ett växande antal användare av World Wide Web som letar efter ett sätt att skydda sina personuppgifter. Men det är samtidigt en attraktiv mekanism för cyberbrottslingar - ett sätt att utveckla de funktioner som utvecklats av dem och för att dölja skadlig kod , cyberbrottslingar erbjuda tjänster och för att tvätta illegala intäkter . Vi är övertygade om att användningen av sådana nät bara i början.
Webbsäkerhet och dataläckage
De toppar och dalar av Bitcoin
Bitcoin är en digital krypto valuta. Den bygger på ett peer-to - peer- modell, där pengarna i form av en kedja av digitala signaturer som representerar de enskilda aktierna i en Bitcoin. Det finns ingen central styrning och det finns inga internationella transaktionsavgifter. Dessa två egenskaper har bidragit till att göra Bitcoin till ett attraktivt kontanter. En översikt över Bitcoin och information om hur denna valuta fungerar kan hittas på webbplatsen för Kaspersky Daily.
Med den ökande användningen av dessa Bitcoin valuta blir också en allt mer attraktivt mål för cyberkriminella.
I vårt årsskifte prognos från Kaspersky Labs experter förutspådde attacker på Bitcoin. Framför allt förväntade vi att " attacker på Bitcoin pooler, utbyten och användare av Bitcoins blivit en av de hetaste ämnena i år 2014 " . Attacker av den här typen, så vi förutspådde, " kommer att göra mest i popularitet bland cyberbrottslingar, som i att utföra sådana attacker, är ett maximalt utbyte motsatt en låg användning. "
För riktigheten i denna avhandling har vi redan tillräckliga bevis. Mt.Gox , en av de största Bitcoin utbyte , togs offline den 25 februari. Denna händelse var i slutet av en turbulent månad då börsen hade att brottas med en hel del problem. Problem, vilket innebar att handelsprisetför Bitcoin föll dramatiskt. Enligt rapporter, orsaken till kollapsen av aktiemarknaden var i ett hack som resulterade i en förlust på 744 408 Bitcoins . Detta motsvarar ett värde på cirka $ 350 000 000 på den dag då Mt.Gox gick offline . Det ser ut som om det i detta fall en sårbarhet i Bitcoin -protokollet, som kallas " Transaction Malle Ability " , var det centrala problemet . Denna sårbarhet låter angripare under vissa omständigheter, för att skapa olika transaktions-ID för en och samma transaktion, så att det verkar som om transaktionen inte hade ägt rum. Vår bedömning av problemen kring Mt.Gox kollaps hittar du här . Den Transaktions gallerior Förmåga bugg har nu korrigerats. Visst Mt.Gox är inte den enda virtuella leverantör av virtuella banktjänster , som attackerades , precis som vi misstänkte att det mot slutet av förra året . Den ökande användningen av virtuella valutor kommer i framtiden säkert att locka allt fler attacker av sig själv.
Inte bara utbyten för virtuella valutor är känsliga för angrepp. Även de människor som använder krypto valutor kan komma under attack från cyberbrottslingar. I mitten av mars var det personliga blogg samt Reddit hänsyn till VD för Mt.Gox , Mark Karepeles , hackad . Dessa konton användes för att lägga upp en fil med namnet MtGox2014Leak.zip. Förmodligen innehåller filen värdefulla databaser soptippar och specialiserad programvara, vilket möjliggör åtkomst från Mt.Gox uppgifter . I själva verket innehöll den skadliga program lokaliserar Bitcoin Wallet filer och stjäl. Detta är ett bra exempel på hur cyberbrottslingar utnyttjar folkets intressen på de senaste nyheterna att sprida sig på detta sätt deras skadliga program.
En fråga som ställs av sådana angrepp flera gånger, är av största vikt: Hur kan de av oss som använder en kryptovaluta, skydda i en miljö som styrs skillnad valutor i den verkliga världen inte av externa standarder eller riktlinjer är? Kaspersky experter rekommenderar att Bitcoins föredrar att hållas i en öppen källkod offline Bitcoin klient som en online utbytesservice med en okänd historia. Om du har många Bitcoins , så spara dem helst i en plånbok på en dator utan internet . Du bör också göra lösenorden för din Bitcoin plånbok så komplext som möjligt och se till att din dator skyddas av en bra Internet Security produkt.
Spammare är också snabb att när det gäller att engagera användarna genom social ingenjörs tricks i en fraud . Du har dragit i det här fallet, en fördel med prishöjning för Bitcoin under första halvan av kvartalet (före Mt.Gox kollaps ) genom att försöka utnyttja girighet efter snabba pengar för sina egna syften . Som vi rapporterade i februari, spammaren gjorde vid denna tid olika Bitcoin ämnen fördel. Bland dem fanns den påstådda avslöjande av investerings hemligheter en Bitcoin Millionärer samt en inbjudan till en Bitcoin lotteri.
Bra programvara kan tjäna onda syften
På Analyst Summit Kaspersky Security i februari 2014 förklarade vi hur en oren implementeras i den fasta programvaran för vanliga bärbara datorer och vissa stationära datorer stöldskydd teknik i händerna på cyberbrottslingar kan vara ett kraftfullt vapen.
Kaspersky laget började sin undersökning efter upprepade systemprocesser har kraschat på en privat bärbar dator Kaspersky Labs anställd. En analys av händelseloggen och en minnesdump visade att krascher var resultatet av en instabilitet i modulerna identprv.dll och wceprv.dll som laddas in i adressutrymmet för värdprocesser för Windows-tjänster (svchost.exe). Dessa moduler har skapats av Absolute Software, ett legitimt företag, och utgör en del av det Absoluta Computrace -programvaran.
Vår kollega förklarade att han aldrig hade installerat denna programvara och visste inte ens att den körs på sin bärbara dator. Detta i sin tur orsakade oss att oroa sig , eftersom installationen måste utföras av Absolute Software från ägaren till datorn eller företagets IT-avdelning , enligt ett vitt papper . Och medan de flesta av den förinstallerade programvaran kan tas bort eller inaktiveras av ägaren till datorn, Computrace ett professionellt kvalitetssystem rengöring och till och med byta ut hårddisken överleva. Vi kan inte bara avfärda det här fallet som en engångsaffär, som vi funnit bevis för att Computrace programvaran körs även på datorer på några av våra experter, samt några företagsdatorer. Detta innebar att vi genomförde en fördjupad analys.
I vår första titt på Computrace vi trodde felaktigt, om det var skadlig programvara eftersom programmet fungerar med så många tricks som kommer i vilda skadlig kod att använda: Den använder speciell felsökning och anti - reverse engineering tekniker släpps sig in i minnet av andra processer, som bygger på hemliga meddelanden, automatisk släppa filer i systemmappar, patchning systemfiler på hårddisken, inrätta en dold kommunikation, kryptering av konfigurationsfiler och ovanlig rättighetshantering. Därför har denna programvara klassificerats tidigare som skadlig kod. För närvarande finns det körbara Computrace men de flesta antivirusföretag på den vita listan.
Kaspersky Lab anser att Computrace utvecklades i god tro. Men våra studier visar att sårbarheter i programvaran cyberbrottslingar skulle kunna ge möjlighet att missbruka programmet. Enligt vår uppfattning bör en stark autentisering och kryptering integreras i ett sådant kraftfullt verktyg. Vi har inte funnit några bevis för att Computrace moduler var i hemlighet på de datorer som vi har analyserat aktiverade. Men det är uppenbart att det finns mången dator -aktiverade Computrace Agent. Vi anser att det åligger tillverkarna och på Absolute Software, för att identifiera relevanta användare och förklara för dem hur de kan inaktivera programvaran om de inte vill använda. Annars kommer de föräldralösa agenter fortsätta obemärkt, som ger möjligheter till fjärr bruk.
Mobila hot
Under första kvartalet 2014 var andelen Android- hoten var mer än 99 procent av alla mobila malware. Under kvartalet följande mobila hot upptäcktes:
• 1 258 436 installationspaket
• 110 324 nya mobila malware
• 1182 nya mobila bank trojaner
Mobil bank trojaner
Varor Kaspersky laget känt 1321 enskilda körbara filer från mobil bank trojaner i början av kvartalet, så det var i slutet av kvartalet redan 2503 filer . Beståndet av bank trojaner har alltså nästan fördubblats under kvartalet.
En bank trojan som heter Faketoken representerades under det första kvartalet i topp 20 av spåras av Kaspersky Lab mobil skadlig kod. Detta skadliga program stjäl mTAN siffror och arbetar med stationära bankirer tillsammans. På den laddas under en Internetbank session i den webbsida datorn trojan med Web - Inject injicera en uppmaning att ladda ner en Android- applikation. Detta är tänkt att vara avgörande för säker hantering av transaktioner. Begäran innehåller även en länk till Faketoken . Efter den mobila skadedjur har landat på smartphone för användaren, de cyberbrottslingarna får tillgång till deras bankkonto. Faketoken tillåter dem att avlyssna de mTAN siffror och att överföra pengar för användaren på sina konton.
Vi har ofta skrivit om det faktum att de flesta mobila bankirer utvecklas i Ryssland och användes först där. Men senare använder cyberbrottslingar kan de också i andra länder. Faketoken är ett av dessa program. Under det första kvartalet 2014 denna skadedjursangreppregistrerades i 55 länder, däribland Tyskland, Sverige, Italien, Storbritannien och USA.
Nyheter från virusmakare
En kontrollerad via Gate Bot
Det anonyma nätverket Tor, som bygger på ett nätverk av proxyservrar, garanterar användaren anonymitet och gör det möjligt i domänen zonen . ”Lök” att placera anonyma webbplatser som är tillgängliga i målet. I februari upptäckte Kaspersky Lab den första Android trojan som som C & C högkvarter använder en domän i pseudo - zonen. ”lök”.
Den Backdoor.AndroidOS.Torec.a är den modifierade populära Tor klient Orbot , de cyberbrottslingar har lagt sin kod . Det märkliga är att Backdoor.AndroidOS.Torec.a fler rader kod krävs för att använda Tor kan, som hans faktiska programkoden .
Den trojanska kan få från kontrollcentralen av cyberbrottslingar följande kommandon:
• Intercept inkommande SMS start/slut
• Stöld av inkommande SMS- start/slut
• USSD- begäran
• uppgifter om telefon (nummer, land, IMEI, modell, OS-versionen) att skicka till C & C
• Skicka en lista över installerade program på den mobila enheten till C & C
• Ett SMS till det nummer som anges i kommandot inlägget
Vad behövs för cyberbrottslingar en anonym nätverk ? Svaret är enkelt: en C & C -server som ligger i Tor-nätverket kan inte stängas. Detta tillvägagångssätt har utvecklarna av Android trojaner kopieras från virusmakare utveckla Windows skadlig programvara.
Stöld från elektroniska plånböcker
Cyberbrottslingar ständigt stjäla efter nya sätt att tjäna pengar med hjälp av mobila trojaner. I mars upptäckte Kaspersky Lab malware Trojan - SMS.AndroidOS.Waller.a , som är utöver det typisk representant för den typ Trojan - SMS- aktivitet i stånd att stjäla pengar från QIWI -plånböcker av ägarna till infekterade smartphones .
Om trojanerna får ett motsvarande kommando från kommandocentralen, så det kontrollerar saldo av den elektroniska plånboken QIWI plånbok. Därför skickar Trojan - SMS.AndroidOS. Waller.a ett SMS till motsvarande nummer i QIWI systemet. SMS- emot som svar fångar trojaner och skickar den till sina män på.
Om ägaren till en infekterad enhet via en QIWI -plånbok och tar emot trojaner information om en balans positiv konto, så att programmet kan överföra pengar från användarens konto som anges av cyberbrottslingar QIWI -plånbok. För detta ändamål sänder den trojanska att befalla ett SMS till ett speciellt antal QIWI system, i vilket antalet plånboken av cybercriminals och att hänvisa summan ges.
Hittills trojaner ryska användar attacker uteslutande. Men online-brottslingar stjäl med hans hjälp och pengar från användare från andra länder där det finns en möjlighet att hantera elektroniska plånböcker med SMS.
Obehagliga nyheter
Under det första kvartalet 2014 en trojan för iOS upptäcktes. Detta skadliga program är en plug-in för Cydia substrat, ett populärt ramverk för rotade eller hackade enheter. I många partnerprogramfår app-utvecklare som lagt reklam moduler i sina ansökningar, pengar för displayannonser. Den trojanska upptäckte ersattes i vissa reklammoduler, ID för utvecklare programmet genom ID av cyberbrottslingar. Detta får till följd att pengarna kommer att återgå till de kriminella för att visa annonser.
Experter från Turkiet har upptäckt en sårbarhet vars utnyttjande kan leda till DOS för enheten och en efterföljande överbelastning. Den typ av sårbarheten är att en Android- applikation med AndroidManifest.xml kan skapas , "namn" kan innehålla en mycket stor mängd data i fält . ( AndroidManifest.xml är en speciell fil som finns i alla Android- applikation. Den här filen innehåller information om programmet finns med, inklusive behörighet till systemfunktioner och referenser på behandling av olika händelser. ) Installationen av program som skapats är okomplicerad men till exempel när du ringer " Activity " med ett namn som det kraschar enheten . Till exempel kan det finnas inkommande SMS- meddelanden med felaktiga namn, eftersom den tas emot, är telefonen inte längre är användbart. Den mobila enheten börjar starta upp ständigt nya och användaren förblir endast möjligheten av operativsystemet nedgradering. Detta kan i sin tur leda till förlust av data på enheten.
Skadligt spam
Mobil skadlig kod är ofta sprids via skadlig skräppost. Denna metod är populärt särskilt bland de cyberbrottslingar som stjäl med hjälp av mobila trojaner pengar från bankkonton för sina offer.
Skadliga spam Sms-meddelanden innehåller vanligtvis antingen uppmaningen att ladda ner ett program - med en länk till ett skadligt program - eller en länk till en webbplats som är spridd från vilket ett skadligt program och användare luras under någon förevändning. Att använda social ingenjörskonst är ett försök att uppmärksamma användarna mot transporten.
OS- spam
De olympiska spelen är en otvivelaktigt viktig händelse. Naturligtvis cyberbrottslingar använder intresse av användarna i denna händelse för sina egna syften.
I februari registrerades Kaspersky experterna ett utskick av spam SMS med en länk som påstås ha pekat på en överföring av den olympiska tävlingen. Klickade oförsiktiga användare på den här länken, det försökte att lasta på sin smartphones en trojan som känner igen de lösningar från Kaspersky Lab som Trojan - SMS.AndroidOS.FakeInst.fb .
Denna trojan kan befalla online gangster att skicka SMS till numret på en större rysk bank, och att föra över pengar från ditt bankkonto på den mobila hänsynen till ägaren av den mobila enheten. Från Mobile offrets konto, kan cyberbrottslingar överföra till sina elektroniska plånböcker pengar igen. I detta fall kommer alla meddelanden om transaktionen av banken innan användaren döljas.
Statistik
Nedanstående statistik bygger på uppgifter som samlats in från olika komponenter i Kaspersky Labs produkter. All statistik som används i rapporten samlades med hjälp av distribuerat nätverks antivirus Kaspersky Security Network (KSN) och utvärderas. Uppgifterna kommer från KSN -användare som har gett sitt samtycke till överföringen av informationen. På det globala utbytet av information om virusaktivitet, miljontals användare av Kaspersky produkter från 213 länder i världen deltar.
Skadliga program på Internet (attacker från webben)
De statistiska uppgifterna i detta avsnitt baseras på modulen Kaspersky Anti - virus som skyddar datorn just nu, laddas i skadlig kod från en skadlig webbplats. Kan vara smittade sidor som cyberbrottslingar har skapats speciellt för detta ändamål, samt webbresurser, vars innehåll skapas av användarna själva (t.ex. forum) och hackad legitima resurser.
Topp 20 skadliga objekt på Internet
Under första kvartalet 2014 fick Kaspersky Anti - Virus 29 122 849 enskilda skadliga objekt (t.ex. skript, webbplatser, utnyttjar och körbara filer).
Av alla de skadliga program som har varit inblandade i Internet-attacker, har Kaspersky laget 20 nedan den mest aktiva. De svarade för 99,8 procent av alla webbattacker.
Efter att ha klickat på knappen Hämta ska försöka ladda skadedjur Trojan. Win32. Agent.aduro på datorn. Uppgiften om den trojanska är att ladda ner bredvid den erbjudna PR- plug - in också en dold från användarprogram till brytning av krypto valuta Litecoin . Som ett resultat, de cyberkriminella använder resurserna i den infekterade datorn för att skapa den virtuella valutan för deras plånbok.
Också mycket intressant är det skadligt skript Trojan - Clicker.JS.FbLiker.k ( 15: e plats ) , som finns i första hand på de vietnamesiska underhållning webbplatser av alla slag, samt resurser som användaren är de ladda ner filmer och program som erbjuds . Inmatning av användaren en sådan sida , skriptet härmar ett klick på " Gilla" -knappen på en viss sida på det sociala nätverket Facebook . Som ett resultat kommer denna sida på Facebook med tillägg av "gillar" visas på Facebook väggen av användaren. Dessutom kommer antalet ”gillar” också påverka deras visning i Facebook sökningen till en specifik sida.
Topp 10 ursprungsländerna för webbattacker
Denna statistik visar fördelningen av källorna till de blockerade Kaspersky Anti-Virus webbattacker på datorerna för deltagarna i KSN per land (exempelvis webbplatser med omdirigeringar till bedrifter, webbplatser med bedrifter och andra skadliga program, samt kontrollcentraler av botnet). Varje enskild värd kan vara ursprunget till ett eller flera webbattacker.
För att bestämma det geografiska ursprunget till attackerna, är domännamnet och den faktiska IP-adressen i jämförelse med motsvarande domän är inrymt. Dessutom Kaspersky experterna bestämmer geografiska ursprung respektive IP-adress (Geo IP).
Under det första kvartalet 2014, de lösningar från Kaspersky Lab slogs ut 353 216 351 attacker som genomfördes av Internet resurser i olika länder i världen. Totalt sett 83,4 procent av meddelanden om blockering av attacker som kan hänföras till attacker från webbresurser som finns i tio länder i världen - vilket är 0,3 procentenheter lägre än föregående kvartal.
Denna rating har inte förändrats nämnvärt under de senaste månaderna. Det är värt att notera att 39 procent av webb attacker blockeras av våra produkter genomfördes med hjälp av skadliga resurser som finns i USA och Ryssland.
Länder där datorer utsätts för den största risken för infektion via Internet
För att fastställa graden av risk för infektion via Internet, är datorerna exponeras i olika länder, har Kaspersky laget beräknas för varje land har i hur många enskilda användare av Kaspersky Lab Kaspersky Anti - Virus under kvartalet slog larm. De sålunda erhållna data finns en indikator för aggressiviteten hos den miljö i vilken datorn arbeta i olika länder.
Under det första kvartalet 2014 skedde en förändring av ledarskap i denna rating: Position man är nu Vietnam, där 51,4 procent av användarna utsattes för webbattacker. Ny Betyget är Mongoliet, som landade med ett värde på 44,7 procent på nummer 5. Resten av de 10 positionerna traditionellt ockupera Ryssland och före detta Sovjetrepubliker.
Bland de säkraste surfa på internet länder är Singapore (10,5 % ) , Japan ( 13,2 % ) , Sverige ( 14,5 % ) , Sydafrika ( 15,6 % ) , Taiwan ( 16,1 % ) , Danmark ( 16,4 % ) , Finland ( 16,8 % ) , Nederländerna ( 17,7 % ) och Norge ( 19,4 % ) .
I genomsnitt under kvartalet, 33,2 procent av världens datorer med Internet-användare minst en gång utsatts för en Webattack.
Lokala hot
En mycket viktig indikator är statistiken av lokala infektioner i datorn. Dessa uppgifter omfattar objekt som inte tränger genom Internet, e-post eller tillgång port in i systemen.
I detta avsnitt presenterar Kaspersky laget statistiska uppgifter som bygger på arbetet i realtid scanner för Kaspersky lösningar. Det finns också statistik om skannings olika medier, bland annat flyttbara media (genomsökning på begäran).
Under det första kvartalet 2014, våra antiviruslösningar 645 809 230 blockerade försök på lokal infektion på datorerna av deltagarna i KSN. I dessa incidenter 135 227 372 enskilda skadliga och potentiellt oönskade föremål registrerades.
Traditionellt som PR -program och virus finns i denna rating vid sidan av hot också representera maskar som sprids via flyttbara media.
Andelen virus i topp 20 minskar jämnt, men långsamt. Under det första kvartalet av virus av familjerna Virus. Win32. Sality.gen och Virus. Win32. Nimnul.a var representerade med sammanlagt åtta procent. Som jämförelse, i det fjärde kvartalet 2013 var den siffran 9,1 procent.
Masken Worm.VBS.Dinihou.r där det är ett VBS script som visades i slutet av förra året , men han är representerad i betyg för första gången , på plats åtta . Denna mask sprids framför allt med hjälp av spam. Masken använder den breda funktionaliteten i en fullfjädrad bakdörr, med början i början av kommandoraden sättet att ladda upp en viss fil till servern . Dessutom infekterade Worm.VBS.Dinihou.r datorn från USB-disk .
Admin- Admin
- Antal inlägg : 129
Registreringsdatum : 14-05-07
Ort : Umeå -
Liknande ämnenBehörigheter i detta forum:
Du kan inte svara på inlägg i det här forumet