Dubna v číslech
Následující statistika byla sestavena v dubnu na základě údajů získaných z počítačů se systémem produkty společnosti Kaspersky Lab:
- 280 milionů škodlivých programů bylo zjištěno a neutralizovat;
- 134000000 (48% všech hrozeb) web-přenášené infekce bylo zabráněno;
- Více než 24 milionů škodlivých URL byly zjištěny.
Počítačové hrozby a Horká Témata:
Mac OS X: Mass-Vykořisťování a APT
Neobvykle vysokou aktivitou jsme byli svědky v březnu, pokud jde o malware pro Mac OS X je jen špičkou ledovce. Dva příběhy v dubnu navždy změnil způsob, jakým jsme se prohlédnout si Mac OS X oblasti bezpečnosti: jeden se zaměřením na masové využití a jeden používajícím Mac OS X jako součást APT.
Flashfake
Pojďme začít s Flashfake botnet, také známý jako Flashback. Flashfake rodina malwaru byla poprvé objevena v roce 2011 jako Trojan-Downloader.OSX.Flashfake. To byl distribuován jako falešný Aktualizace programu Flash Player, která vysvětluje původ názvu malware. Od září 2011 do února 2012, byl Flashfake distribuován pomocí sociálního inženýrství pouze: návštěvníci různých webových stránkách byli požádáni, aby stáhnout falešný Adobe Flash Player aktualizaci.
V měsíčním březnovém malware zprávě jsme uvedli, že stovky tisíc hacknutých blogů WordPress byly používány jako nové distribuční metody pro tento malware. Tento problém eskaloval dramaticky od malwaru Flashfake používal využije k infikování počítačů obětí, což vede k vytvoření Flashfake botnet, který byl složený z více než 750.000 počítačů Mac OS X.
Cybercriminal gang distribuci Flashfake byl schopen se šířit malware pomocí WordPress tím, že najme provoz z blogů WordPress pomocí partnerského programu nabízené rr.nu cybercriminal gangu. Asi 85% z hacknutých blogy byly založeny v USA a využití provozu WordPress umožňuje Flashfake gang přesměrovat návštěvníky navštěvující WordPress stránky, na hacknutých stránek ovládaných útočníků.Jakmile oběť navštívil hacknutý web, tři různé exploity pokoušel infikovat počítač pro návštěvníky: CVE 2011-3544, CVE 2008-5353 a 2012-0507 CVE, nebo stránky se pokusí zmást uživatele do stahování a instalaci souboru JAR s falešným podpisem od Apple. Pokud jeden z využije probíhala úspěšně, byl cílový počítač napaden bez nutnosti dalšího zásahu uživatele. Podepsala JAR by fungovat pouze tehdy, pokud uživatel souhlasí s instalací. Můžete si najít více technických podrobností o procesu instalace a chování Flashfake zde .
Nicméně, klíč k úspěchu této kampaně bylo nejen nový způsob distribuce, ale využije použít. Je zajímavé vidět, jak všichni zaměřena Java, kde byla realizace a distribuce bezpečnostní záplaty pro Mac OS X od Apple udělal místo toho, aby udělal přímo Oracle, který vyústil v prodlení bezpečnostních záplat pro operační systém Mac OS X koncových uživatelů. Například, CVE 2012-0507 zranitelnost oprava Oracle pro všechny ostatní platformy na 14. února, ale Apple se nebude šířit vlastní až do 3. dubna, takže Mac OS X vystavena po dlouhou dobu. Java není nainstalována lva ve výchozím nastavení, ale každý uživatel si může vybrat k jeho instalaci. Nakonec, když byl propuštěn náplast, to bylo k dispozici pouze pro lva a Snow Leopard uživatelů.
V důsledku toho bylo více než 700.000 uživatelů infikovaných Flashfake, 58% z nich z USA Kaspersky nastavit ověřování stránky, Flashbackcheck.com, který dovolil uživatelům zkontrolovat, zda jejich počítače byly infikovány a zdarma stáhnout nástroj na dezinfekční odstranění škodlivého softwaru.
- Anatomie Flashfake. Část 1
- Flashfake Mac OS X botnet potvrzen
- Flashfake Nástroj pro odstranění a on-line kontroly stránky
- OS X Mass Využití - Proč teď?
SabPub: Nový Advanced Persistent Threat (APT)
V dubnu aktivní APT SabPub bylo zjištěno, že používá dva typy backdoor trojské koně infikovat počítače uživatelů. První Trojan použil exploit v aplikaci Microsoft Word ke vstupu a byl vytvořen v únoru 2012.Druhá varianta SabPub, který byl vytvořen v březnu 2012, byl útok na Mac OS X platformy tím, že využívá zranitelnosti Java. Jakmile vlastní backdoor Trojan infikují oběti stroj, to bylo schopné přijmout screenshoty uživatele aktuální relaci a spouštět příkazy na infikovaném počítači. K dnešnímu dni se ke skupině za SabPub je stále aktivně zaměřují na počítače uživatelů.
Nové spamových kampaní pomocí Blackhole využívají sady
Aktivní Twitter Spam kampaně
Společnost Kaspersky Lab objevil nový spam probíhající kampaň na Twitteru, že ohrožena více než 500 účtů. Kampaň byla posílat spam vložené odkazy na uživatele, je přesměrován na nebezpečné lokalit na blackhole Exploit Kit. Místa instalované scareware na počítačích oběti v podobě falešných antivirových oznámení, který podnítil uživateli skenování svůj systém pro infekci. Kaspersky Lab zákazníci chráněni od samého počátku kampaně na hrozby odhalení jako: Trojan-FakeAV.Win32.Agent.dqs a Trojan-FakeAV.Win32.Romeo.dv.
US Airways phishingových e-mailů
Na začátku dubna společnost Kaspersky Lab hlášeny e-mailovou podvodnou kampaň, která začala na konci března, kde lidé obdrží falešné e-maily US Airways. Počítačoví zločinci poslal podvodné e-maily, ve snaze přimět lidi, aby klikli na vložené odkazy uvnitř zpráv, které nabízí "on-line rezervace detaily", včetně letu Check-in možností. Pokud uživatelé klikli na některý z odkazů, byli přesměrováni na falešné webové stránky obsahující blackhole Exploit Kit s pokročilou formou Zeus malware GameOver). Bankovní malware instaluje na počítači uživatele a ukradne své bankovní údaje. Tyto spamy byly rozeslány v masové množství, se zločinci bankovnictví na některé lidi, kteří mají letenky rezervovat US Airways (zvýšení šance, že by kliknout na odkaz).
Mobilní malware
Android uživatelé v Japonsku pod útokem
V současné době se drtivá většina malwaru Android je specifický pro geografických regionů s počítačovým pirátům v různých zemích vytvářejí různé typy malwaru do cílových uživatelů v konkrétních zemích. Jinými slovy, pravděpodobnost uživatele Android z Ruska infekce čínské malware je velmi nízká.Nicméně, to neznamená, že počet infekcí - a zisky - vytvořené hackery se nezvyšuje.
Japonsko není výjimkou, aby pro určitou oblast mobilní malware - a začínáme vidět, že se více aktivní. Na začátku dubna byl nový typ malwaru Android objevil, který byl napsán japonské mobilní autory virů zaměřených na Android zařízení v Japonsku. Malware je detekován Kaspersky Lab jako Trojan.AndroidOS.FakeTimer.
Bohužel, téměř 30 různých škodlivé aplikace byly dostupné na Play Google a nejméně 70.000 uživatelů si stáhli jeden z nich. Tento konkrétní kus malware se může připojit ke vzdálenému serveru. Pokud je připojení úspěšné, že stahuje MP4 video soubor. Je také schopen krást citlivé informace z infikovaného zařízení, včetně jmen kontaktních osob, e-mailové adresy a telefonní čísla osob, z oběti seznamu kontaktů. V malware nahraje odcizených dat na vzdálený server.
TigerBot - další SMS bot
Mobilní malware, který se ovládá pomocí SMS zpráv získává stále větší popularitu. V dubnu, byl objeven další backdoor s názvem TigerBot. Tento kus malware masek sám po infekci a nevykazuje žádný druh existence na domovské obrazovce zařízení. Pokud oběť kontroluje spuštěné procesy seznamu na svém mobilním zařízení, nemusí identifikovat TigerBot je název procesu, jako 'System, jeden. Malware registruje přijímač s názvem "android.provider.Telephony.SMS_RECEIVED" s cílem využít všechny příchozí SMS zprávy a zkontrolovat, zda mají speciální příkaz nebo ne.
Různé příkazy mohou vést k nahrávání telefonních hovorů, kradou GPS souřadnic, zasílání SMS zpráv nebo změn nastavení sítě. Všechny tyto funkce mohou způsobit vážné úniku informací. Malware může také restartovat infikované telefony, i když to je méně pravděpodobné, protože oběť upozorní na problém se zařízením.
Naštěstí tam byl žádný důkaz, že TigerBot byl (nebo je) k dispozici ve hře Google, ale je to stále důležité být opatrný při instalaci jakékoli aplikace z libovolného zdroje.
Kaspersky Mobile Security detekuje tuto hrozbu jako Backdoor.AndroidOS.TigerBot.
Dubna hodnocení
* Tyto statistiky představují zjištěné verdikty o antivirových modulů a byly předloženy uživatelé produkty společnosti Kaspersky Lab, kteří souhlasili, aby se podělili o své lokální data.
Webové hrozby
Mapa rizika infekce a zároveň surfovat na internetu
Top 10 škodlivé zóny domén
Zdroj internetových útoků zóně domény *
* Počet útoků z webových zdrojů podle domén zjištěné modulem web antivirového programu.
Top 10 zemí, kde byly nasazené webové zdroje s malware
(globální distribuce infikovaných stránek a malwaru hostitele)
10 nejrozšířenějších na internetu
| TOP 10 WAV března | % Ze všech útoků formátu * | Změna v pořadí | |
| 1 | Škodlivý URL | 87,6% | 0 |
| 2 | Trojan.Script.Iframer | 2,9% | 0 |
| 3 | Trojan.Script.Generic | 2,4% | 0 |
| 4 | Trojan.JS.Popupper.aw | 0,4% | 4 |
| 5 | Trojan.Win32.Generic | 0,3% | -1 |
| 6 | Trojan.JS.Agent.bxw | 0,3% | nový |
| 7 | Exploit.Script.Blocker | 0,3% | nový |
| 8 | Trojan-Downloader.Win32.Generic | 0,2% | nový |
| 9 | Trojan-Downloader.Script.Generic | 0,2% | -4 |
| 10 | Trojan.JS.Redirector.ux | 0,2% | nový |
Využije zjištěné modulu webové antivirové v počítačích uživatelů o cílenou aplikaci
* Podíl všech blokovaných webových přenášených využívají útoky
Nové mobilní malware úpravy nalezen, duben 2012
Počet nových podpisů pro případ ohrožení Mac OS X, březen-duben 2012
V 20 zemích, kde uživatelé čelí největší riziko infekce přes internet
| Země | % * | Změna v pořadí | |
| 1 | Ruská federace | 50 | - |
| 2 | Arménie | 47,1 | - |
| 3 | Bělorusko | 45 | 1 |
| 4 | Kazachstán | 44,4 | -1 |
| 5 | Ázerbajdžán | 42,9 | - |
| 6 | Uzbekistán | 42,7 | 2 |
| 7 | Súdán | 41,7 | - |
| 8 | Ukrajina | 40,3 | -2 |
| 9 | Moldavská republika | 36 | nový |
| 10 | Bangladéš | 35,9 | - |
10 zemí, kde se uživatelé setkávají nejmenší riziko infekce přes internet
| Země | % * | Změna v pořadí | |
| 1 | Burkina Faso | 6,8238 | 5 |
| 2 | Mali | 6,8483 | nový |
| 3 | Benin | 7,8883 | -1 |
| 4 | Japonsko | 8,1372 | -1 |
| 5 | Tchaj-wan | 9577 | -4 |
| 6 | Lucembursko | 10,2856 | nový |
| 7 | Dánsko | 11,1927 | 4 |
| 8 | Jižní Afrika | 11,7979 | nový |
| 9 | Senegal | 11,9672 | nový |
| 10 | Pobřeží slonoviny | 11979 | nový |
Při výpočtu jsme vyřadili ty země, v nichž počet uživatelů produktů společnosti Kaspersky Lab je relativně malý (menší než 10000). * Podíl unikátních uživatelů v zemi s počítači se systémem produkty společnosti Kaspersky Lab, které blokovaly hrozbami online.
Žádné komentáře:
Okomentovat