Największe zagrożenia w sieci III kw. 2013

Przeczytaj także: Największe zagrożenia w sieci 2013 r.

Najważniejsze zagrożenia trzeciego kwartału 2013 r.

Bazując na danych zebranych przez aplikację Dr.Web CureIt!, za największą liczbę infekcji w omawianym okresie odpowiedzialny był Trojan.LoadMoney.1, opierający swoje działanie na ładowaniu niebezpiecznych plików.

Wykorzystując popularność najnowszej gry z serii Grand Theft Auto (GTA V), na serwerach torrent cyberprzestępcy wraz z jej piracką wersją rozprzestrzeniali plik, będący niebezpiecznym malware. W pobieranym pliku zawarty jest Trojan, przy pomocy którego gracz otrzymuje propozycję wpisania w stosowny formularz numeru telefonu komórkowego i kodu potwierdzającego, otrzymanego w osobnej wiadomości SMS. Jeśli wyśle on SMS z kodem, zostaje zapisany do związanej z grą usługi, a w charakterze opłaty jego rachunek obciążany zostaje kwotą 1 EUR dziennie, tak długo, aż użytkownik jej nie wypowie. Przy pomocy takich trojanów przechwytywane są dane operacji płatniczych z zaatakowanego urządzenia.

Inne często wykrywane w ostatnim czasie zagrożenia to choćby Trojan.Hosts.6815 – niebezpieczny program modyfikujący plik hosts systemu operacyjnego w celu przekierowania przeglądarki internetowej na strony wyłudzające informacje (tzw. phishing) czy Trojan.InstallMonster.28 – kolejny wirus opierający swoje działanie na ładowaniu niebezpiecznych plików. Popularne były także takie złośliwe programy jak trojan reklamowy Trojan.Packed.24524 i Trojan.Mods.3, podmieniający przeglądane przez użytkownika strony www na inne.

W sierpniu wykryto także złośliwy program Trojan.WPCracker.1, ingerujący w zawartość blogów i stron opartych na popularnych systemach CMS (systemy zarządzania treścią) takich jak Wordpress czy Joomla. Niebezpieczeństwo, jakie niesie ze sobą ten trojan polega na tym, że używając go, przestępcy mogą zmienić zawartość bloga lub osadzić w nim inne złośliwe oprogramowanie w celu infekowania komputerów odwiedzających dany blog Internautów. Odnotowany nagły wzrost ataków typu brute-force (polegających na przeprowadzaniu przez człowieka lub program komputerowy prób przełamania zabezpieczeń – na przykład odgadnięcia hasła – przez sukcesywne sprawdzanie wszystkich możliwości) na strony www może być powiązany z rozpowszechnieniem się tego trojana.

Ponadto w atakach na użytkowników bankowości elektronicznej oszuści zaczęli wykorzystywać technologie przetwarzania w chmurze. W takim przypadku oddzielny komponent zmodyfikowanego trojana Zeus lub Ciavax umieszczany jest na serwerze w chmurze, stamtąd trafia na komputer ofiary i również z tego źródła ładuje swoje pozostałe elementy. Przy pomocy takich programów, cyberprzestępcy przechwytują dane operacji płatniczych z zaatakowanego urządzenia. Metody przetwarzania w chmurze wykorzystane do dystrybucji malware opóźniają jego analizę i utrudniają opracowanie efektywnych sposobów walki z nim.

Keyloggery

Analitycy Doctor Web wykryli nową wersję wirusa BackDoor.Maxplus, który działa jako keylogger i podłącza zainfekowane komputery do sieci peer-to-peer zarządzanej przez przestępców. Aby uniknąć wykrycia przez oprogramowanie antywirusowe, trojan ten używa skomplikowanych metod maskowania się. Gdy uruchomi się na zainfekowanym urządzeniu, kopiuje siebie do dwóch losowo wybranych katalogów systemowych. Nazwy pliku wykonywalnego BackDoor'a są zapisywane w rejestrze od lewej do prawej (podobnie jak ma to miejsce w języku arabskim lub hebrajskim).

Na początku jesieni analitycy Doctor Web poinformowali także o wykryciu nowego keyloggera BackDoor.Saker.1. W czasie instalacji na zaatakowanym komputerze, trojan ten wykorzystuje szkodliwy kod zawarty w pliku temp.exe, który pozwala mu na obejście systemu kontroli zabezpieczeń systemu Windows (UAC).