Группы киберпреступников, распространяющие фальшивые антивирусы, в последние годы столкнулись со значительными трудностями, однако история на этом не заканчивается…
Некоторые преступные группы были арестованы. Деятельность других, включая разработку кода и поддержку колл-центров, была пресечена. Какие-то группы соблазнились легкой добычей, привлекли к себе слишком много внимания и в результате были вынуждены оставить свои ботнеты. В ряде случаев киберпреступникам не хватило навыков и умений по разработке противо-антивирусных технологий, черной поисковой оптимизации и распространению зловредов. Они не поспевали за эволюцией антивирусных технологий,
не прикладывали к этому достаточных усилий, и в результате сошли со сцены.
Тем не менее, некоторые из выживших группировок, распространяющих фальшивые антивирусы, подняли ставки и теперь агрессивно развивают труднодетектируемые полиморфные установщики и трудноудаляемые вспомогательные компоненты. В число последних входят и только начинающие появляться «в дикой среде» по-настоящему опасные 64-разрядные вредоносные компоненты. С другой стороны, сам лже-антивирус по своей сути практически не изменился. Значительные силы тратятся на разработку технологий уклонения от обнаружения антивирусными решениями и «развод» пользователя с целью заставить его заплатить за фальшивый продукт. В качестве примера можно привести такие вспомогательные и руткит-технологии, как TDSS с его крайней сложностью или более свежий Black Internet (также известный как Trojan-Clicker.Win32.Cycler). Эти сложные MBR-вирусы, заражающие главную загрузочную запись диска, и другие руткит-компоненты предназначены для того, чтобы избежать удаления с компьютера пользователя лже-антивирусов, приносящих их создателям деньги. Все говорит о том, что для разработки подобных зловредов предпринимаются значительные усилия.
В то же время, стандартные пакеты эксплойтов, используемые различными киберпреступными группировками для распространения своих фальшивых антивирусов, не усложнились. Налицо обратная тенденция: из интернет-канала сбыта исчезли более сложные пакеты экплойтов, а более простые, типа Eleonore и Phoenix, остались. В большинстве случаев шелл-код, технологии эксплуатации уязвимостей, а также шифрования и уклонения от обнаружения антивирусами практически не развиваются. Для распространения зловредов чаще всего используются уже существующие технологии и методы социальной инженерии, а новые технологии не применяются. По сути, происходит злоупотребление доверием пользователя, которого обманом заставляют запустить на своем компьютере не заслуживающий доверия исполняемый файл.
О чем это говорит? Для доставки зловредов на компьютеры пользователей по-прежнему эффективны простые и недорогие методы. Отсюда можно сделать ряд выводов:
- Конечные пользователи не устанавливают обновления безопасности.
- Уязвимости недостаточно быстро обнаруживаются и/или закрываются, либо утилиты автоматического обновления применяются недостаточно оперативно.
- Многие пользователи все еще работают без эффективной защиты.
Почему так получается? Причин множество, и их можно обсуждать. Возможно, пользователи сознательно не хотят тратить время и усилия на установку/обновление систем безопасности, считая, что риск заражения или взлома незначителен (хотя при общении с владельцами зараженных компьютеров рациональность их решения уже не кажется такой убедительной). Проблема также может заключаться в сетевых политиках, устанавливаемых IT-департаментами предприятий. Также нельзя исключить случаи недостаточного понимания необходимости установки систем безопасности и незнания того, как поддерживать и обновлять ПО. И наконец, может оказаться, что некоторые системы безопасности не вполне справляются с задачей защиты компьютеров от вредоносных программ. Вероятнее всего, мы имеем дело с сочетанием всех этих факторов.
Киберпреступники усложняют свои зловреды только в тех случаях, когда им это выгодно. Поэтому усложнение таких вспомогательных инструментов, как руткит-компоненты, при одновременном упрощении способов доставки зловредов показывает, что наиболее эффективные способы предотвращения drive-by загрузок вредоносного ПО и распространения зловредов по-прежнему используются недостаточно широко.
Плод, висящий ниже других, почти наверняка будет сорван первым.
Фальшивые антивирусы: актуальные тенденции