Мнение

Фальшивые антивирусы: актуальные тенденции

Группы киберпреступников, распространяющие фальшивые антивирусы, в последние годы столкнулись со значительными трудностями, однако история на этом не заканчивается…

Некоторые преступные группы были арестованы. Деятельность других, включая разработку кода и поддержку колл-центров, была пресечена. Какие-то группы соблазнились легкой добычей, привлекли к себе слишком много внимания и в результате были вынуждены оставить свои ботнеты. В ряде случаев киберпреступникам не хватило навыков и умений по разработке противо-антивирусных технологий, черной поисковой оптимизации и распространению зловредов. Они не поспевали за эволюцией антивирусных технологий,
не прикладывали к этому достаточных усилий, и в результате сошли со сцены.

Тем не менее, некоторые из выживших группировок, распространяющих фальшивые антивирусы, подняли ставки и теперь агрессивно развивают труднодетектируемые полиморфные установщики и трудноудаляемые вспомогательные компоненты. В число последних входят и только начинающие появляться «в дикой среде» по-настоящему опасные 64-разрядные вредоносные компоненты. С другой стороны, сам лже-антивирус по своей сути практически не изменился. Значительные силы тратятся на разработку технологий уклонения от обнаружения антивирусными решениями и «развод» пользователя с целью заставить его заплатить за фальшивый продукт. В качестве примера можно привести такие вспомогательные и руткит-технологии, как TDSS с его крайней сложностью или более свежий Black Internet (также известный как Trojan-Clicker.Win32.Cycler). Эти сложные MBR-вирусы, заражающие главную загрузочную запись диска, и другие руткит-компоненты предназначены для того, чтобы избежать удаления с компьютера пользователя лже-антивирусов, приносящих их создателям деньги. Все говорит о том, что для разработки подобных зловредов предпринимаются значительные усилия.

В то же время, стандартные пакеты эксплойтов, используемые различными киберпреступными группировками для распространения своих фальшивых антивирусов, не усложнились. Налицо обратная тенденция: из интернет-канала сбыта исчезли более сложные пакеты экплойтов, а более простые, типа Eleonore и Phoenix, остались. В большинстве случаев шелл-код, технологии эксплуатации уязвимостей, а также шифрования и уклонения от обнаружения антивирусами практически не развиваются. Для распространения зловредов чаще всего используются уже существующие технологии и методы социальной инженерии, а новые технологии не применяются. По сути, происходит злоупотребление доверием пользователя, которого обманом заставляют запустить на своем компьютере не заслуживающий доверия исполняемый файл.

О чем это говорит? Для доставки зловредов на компьютеры пользователей по-прежнему эффективны простые и недорогие методы. Отсюда можно сделать ряд выводов:

  1. Конечные пользователи не устанавливают обновления безопасности.
  2. Уязвимости недостаточно быстро обнаруживаются и/или закрываются, либо утилиты автоматического обновления применяются недостаточно оперативно.
  3. Многие пользователи все еще работают без эффективной защиты.

Почему так получается? Причин множество, и их можно обсуждать. Возможно, пользователи сознательно не хотят тратить время и усилия на установку/обновление систем безопасности, считая, что риск заражения или взлома незначителен (хотя при общении с владельцами зараженных компьютеров рациональность их решения уже не кажется такой убедительной). Проблема также может заключаться в сетевых политиках, устанавливаемых IT-департаментами предприятий. Также нельзя исключить случаи недостаточного понимания необходимости установки систем безопасности и незнания того, как поддерживать и обновлять ПО. И наконец, может оказаться, что некоторые системы безопасности не вполне справляются с задачей защиты компьютеров от вредоносных программ. Вероятнее всего, мы имеем дело с сочетанием всех этих факторов.

Киберпреступники усложняют свои зловреды только в тех случаях, когда им это выгодно. Поэтому усложнение таких вспомогательных инструментов, как руткит-компоненты, при одновременном упрощении способов доставки зловредов показывает, что наиболее эффективные способы предотвращения drive-by загрузок вредоносного ПО и распространения зловредов по-прежнему используются недостаточно широко.

Плод, висящий ниже других, почти наверняка будет сорван первым.

Фальшивые антивирусы: актуальные тенденции

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике