Zagrożenia internetowe II kw. 2010

Przeczytaj także: Kaspersky Lab: zagrożenia internetowe I kw. 2010

W drugim kwartale 2010 roku wykryto w sumie 8 540 223 exploitów. Tabela poniżej zawiera dziesięć najczęściej wykorzystywanych przez cyberprzestępców rodzin exploitów:

Najbardziej rozpowszechnione nadal są exploity wykorzystujące luki w zabezpieczeniach programu Adobe Reader. Jednak w porównaniu z pierwszym kwartałem udział tych programów znacząco spadł (o 17,11%).

Spadek ten jest spowodowany wzrostem rozpowszechnienia rodzin Exploit.JS.CVE-2010-0806 i Exploit.JS.Agent.bab. Te dwie rodziny exploitów wykorzystują lukę CVE-2010-0806 w komponencie Peer Object (zwanym również iepeers.dll) oraz przeglądarce Microsoft Internet Explorer 6 i 7. W raporcie dla pierwszego kwartału opisano sposób rozprzestrzeniania się tych exploitów. Po włączeniu do środowiska metasploita exploity te były dodawane (niemal bez żadnej modyfikacji) do wielu pakietów exploitów; to oznacza, że zostały następnie użyte na dużą skalę. Każdego dnia produkty firmy Kaspersky Lab zwalczały średnio 31 000 ataków tego typu – ataków wykorzystujących lukę CVE-2010-0806 przy użyciu exploitów Exploit.JS.Agent.bab i Exploit.JS.CVE-2010-0806.

Exploity te były wykorzystywane do wielu celów; jednak główny cel stanowiły konta gier online. Badanie pokazuje, że downloadery zainstalowane przez exploita Exploit.JS.CVE-2010-0806 przede wszystkim próbowały pobierać na zainfekowane komputery trojany o nazwie Trojan-GameThief.Win32.Magania oraz Trojan-GameThief.Win32.WOW. Rozkład geograficzny ataków wykorzystujących te exploity również potwierdza hipotezę, że główną nagrodą były konta gier online: wśród pięciu najczęściej atakowanych krajów (odpowiadających za 96,5% wszystkich ataków) znajdują się Chiny, Tajwan, Korea, Stany Zjednoczone i Wietnam. Wszystkie te państwa mają tradycyjnie wysoką liczbę osób grających w gry MMORPG.

Kolejną istotną zmianą jest wzrost udziału exploitów Java, które wykorzystują lukę CVE-2010-0886 i CVE-2009-3867. Dwuprocentowy wzrost udziału szkodliwego oprogramowania stworzonego w języku Java w drugim kwartale 2010 roku możemy przypisać głównie tym exploitom, które były przede wszystkim wykorzystywane do przeprowadzania ataków na użytkowników państw europejskich, takich jak Niemcy, Wielka Brytania, Rosja, Włochy, Ukraina i Hiszpania – oraz krajów Ameryki Północnej, takich jak Stany Zjednoczone i Kanada. Celem tego szkodliwego oprogramowania jest pobieranie i instalowanie innych szkodliwych programów posiadających różne szkodliwe funkcje, od botów spamowych i programów do kradzieży haseł FTP po fałszywe programy antywirusowe

Exploity wykorzystane w ataku Aurora szybko tracą popularność: w drugim kwartale 2010 roku ich udział zmniejszył się o 7,08%. Wygląda na to, że sposób, w jaki media przedstawiły ten atak, wykorzystujący lukę CVE-2010-0249, miał pozytywny efekt: użytkownicy korzystający z przeglądarki Internet Explorer 6.0, w której zidentyfikowano tę lukę, zaczęli ją uaktualniać. Według Net Applications, udział rynkowy przeglądarki Internet Explorer 6.0 zmniejszył się od stycznia o 3%.

Spadek liczby osób wykorzystujących przeglądarkę Internet Explorer 6.0 spowodował spadek udziału exploitów z rodziny Exploit.JS.Adodb, które wykorzystują starą lukę w tej wersji przeglądarki.

Szybko wzrasta liczba exploitów, które wykorzystują lukę w zabezpieczeniach Windows Help oraz Support Center (CVE-2010-1885). W drugim kwartale exploity te uplasowały się na trzynastym miejscu, mimo że luka ta została wykryta dopiero 9 czerwca. Łata została opublikowana ponad miesiąc później, 13 lipca, w biuletynie bezpieczeństwa Microsoft Security Bulletin MS10-042. To oznacza, że cyberprzestępcy mieli mnóstwo czasu na wykorzystanie tej luki. Głównym celem ataków z wykorzystaniem tych exploitów byli użytkownicy z Rosji, Niemiec, Hiszpanii i Ameryki. W większości przypadków były one wykorzystywane w programach partnerskich „pay-per-install”, w których jedna grupa cyberprzestępcza płaci innym za rozprzestrzenianie określonego szkodliwego programu, przy czym wysokość wynagrodzenia zależy od liczby i lokalizacji zainfekowanych maszyn.