Kaspersky Lab: zagrożenia internetowe I kw. 2010

Przeczytaj także: Zaawansowane i ukierunkowane cyberataki 2013

Fałszywe programy antywirusowe, których wysyp zaobserwowaliśmy w angielskojęzycznym Internecie w zeszłym roku, nadal ewoluują. W przeciwieństwie do innych szkodliwych programów, które próbują ukryć swoją aktywność, fałszywe programy antywirusowe próbują zwrócić uwagę użytkowników. Co więcej, twórcy tych fałszywych programów antywirusowych wykorzystują szereg różnych taktyk w celu zmylenia użytkowników Internetu. Niektóre z takich taktyk polegają na kopiowaniu interfejsów wykorzystywanych przez znanych producentów rozwiązań antywirusowych, takich jak Avira, AVG i Kaspersky Lab. Niestety, im lepsza kopia, tym większe szanse, że nawet doświadczony użytkownik chwyci przynętę cyberprzestępców. Do niedawna prawdziwe programy antywirusowe można było odróżnić od fałszywych przede wszystkim dwiema cechami: wielojęzycznością i wsparciem technicznym. Jednak w pierwszych miesiącach 2010 roku odnotowaliśmy kilka przypadków zlokalizowania programów antywirusowych na inne języki. Częściej spotykaliśmy się również z sytuacjami, gdy programy antywirusowe "twierdziły", że oferują pomoc techniczną. Obecnie toczy się poważna wojna przeciwko fałszywym programom antywirusowym, w której priorytetem jest edukacja użytkowników. W rezultacie, cyberprzestępcy musieli wymyślić nowe metody przekonania użytkowników do zakupu ich fałszywych programów.

W pierwszym kwartale cyberprzestępcy wykorzystywali niemal każde nagłośnione wydarzenie, aby zwabić jak najwięcej potencjalnych ofiar na zainfekowane strony internetowe, nie pozostawiając żadnych wątpliwości co do ich braku zasad moralnych. Wypuszczenie iPada, premiera kinowego hitu Avatar , trzęsienie ziemi na Haiti oraz ataki terrorystyczne w Moskwie to tylko kilka tematów, na których żerowali pozbawieni skrupułów cyberprzestępcy. Twórcy wirusów stosowali szereg różnych metod w celu rozprzestrzeniania odsyłaczy do swoich "dzieł": na przykład tworzyli i wykorzystywali fałszywe konta na popularnych portalach społecznościowych, aby rozsyłać z nich wiadomości, organizowali wysyłki spamowe i zatruwali wyszukiwarki. Zatruwanie wyszukiwarek, zwane również jako Black SEO, opiera się na technikach stosowanych do promowania tematycznych stron internetowych. Jeżeli przeglądarki zostaną zhakowane, zwykłe zapytanie użytkownika spowoduje wyświetlenie wyników w postaci odsyłaczy do zainfekowanych stron internetowych. W przeważającej większości przypadków, komputery użytkowników będą próbowały pobrać z takich stron fałszywe programy antywirusowe.

W grudniu 2009 roku doczekaliśmy się wprowadzenia o wiele surowszych przepisów dotyczących rejestracji adresów internetowych z użyciem domeny ‘.cn’. Reguły rejestracji nowych domen CNNIC (China Internet Network Information Center) wymagają teraz pisemnego oświadczenia, w którym wnioskodawca musi przestawić weryfikowalne dane identyfikacyjne oraz numer zezwolenia na prowadzenie działalności handlowej. Strony, które zostały już zarejestrowane, podlegają teraz kontroli i jeżeli właściciel nie przedstawi wymaganych dokumentów, strona zostanie zdjęta. W celu usprawnienia procesu kontroli domen ‘.cn’, rejestracja za pośrednictwem serwisów zagranicznych jest teraz zakazana. Jak pokazują wyniki z pierwszego kwartału 2010 roku, te surowsze zasady miały pozytywny wpływ na sytuację: nastąpił znaczący spadek odsetka szkodliwej zawartości pochodzącej z tej części Internetu. Zjawiskiem tym zajmiemy się w sekcji dotyczącej geograficznego rozkładu zagrożeń w dalszej części tego raportu.

Ogólnie, w minionym kwartale miało miejsce wiele zdarzeń, które podkreśliły znaczenie ochrony przed szkodliwym kodem zarówno dla użytkowników domowych, jak i korporacyjnych. Znamienne jest to, że ataki na systemy korporacyjne wykorzystywały w zasadzie te same taktyki i szkodliwy kod co ataki na użytkowników domowych. Gangi hakerów tworzą i udoskonalają uniwersalne szkodliwe oprogramowanie, które można zastosować do wielu różnych celów - doskonałym przykładem może tu być ewolucja trojana Zbot, zwanego również ZeuSem, oraz nieustannie zmieniające się pakiety exploitów.