Игра зловредов

Образ человека, в назначенный час сломя голову бегущего к телевизору, чтобы не пропустить любимую передачу или сериал, уходит в прошлое. Но это не значит, что телевидение сдает позиции — просто теперь его можно смотреть на своих условиях, в любое время выбирая зрелище по душе из огромного океана развлекательного контента. Подписаться на такие сервисы, как Netflix или Apple Music, можно за символическую плату, и их услугами пользуется все больше людей. Однако хватает и таких, кому больше по душе бесплатные, хотя и обычно нелегальные, услуги торрент-трекеров и других подобных сайтов.

Многие страны ведут борьбу с нелегально распространяемым контентом. Так, в декабре 2018 года федеральный суд Австралии выпустил распоряжение, обязавшее местных интернет-провайдеров заблокировать 181 пиратский домен, связанный с 78 веб-сайтами, на которые выкладывались файлы с нарушением законов об авторских правах. А в начале 2019 года Бразильское министерство юстиции заручилось помощью Федеральной полиции Бразилии (Polícia Federal) и начало масштабную операцию по борьбе с пиратами — в основном с теми, кто нелегально распространял музыку, фильмы и сериалы. Это лишь две из многочисленных инициатив, запущенных по всему миру как правительствами, так и бизнесом для решения проблемы нелегального контента.

Однако несмотря на эти и другие меры, пиратский контент все еще можно без особых трудностей найти в интернете. Последний ежегодный отчет о пиратстве, подготовленный Muso — международной компанией, поставляющей решения для маркетинговой аналитики, взаимодействия с аудиторией и борьбы с пиратством, — сообщает, что число пользователей, потребляющих пиратский контент, растет. Только в 2017 году компания зафиксировала более 300 миллиардов посещений пиратских веб-сайтов, что на 1,6% больше по сравнению с 2016 годом. Чаще всего на такие ресурсы заходят жители США (27,9 млрд визитов в год), на втором месте Россия (20,6 млрд, что на 46% больше по сравнению с 2016 годом), а на третьем — Индия (17 млрд посещений). Значительная доля пиратского контента все еще распространяется в виде скачиваемых файлов: отчет WebKontrol за 2019 год показал, что в России торрент-трекеры остаются лидерами по объему пиратского контента, опережая стриминговые сервисы. Более того, доля нелегальных торрентов на трекерах возросла на 14 п. п. по сравнению с 2018 годом (с 24 до 38%).

Являясь востребованным источником контента, торренты закономерно стали популярным способом распространения вредоносного кода. Согласно результатам исследований, опубликованных в 2015 году, в среднем 35% файлов, распространяемых с помощью BitTorrent — подделки. Более 99% проанализированных фальшивых торрентов были связаны либо со зловредами, либо с мошенническими сайтами. Данные, недавно полученные «Лабораторией Касперского» и независимыми исследователями, подтверждают, что эта тенденция сохраняется.

Изначально на торрентах посетители искали прежде всего взломанное ПО и игры, а также свежие голливудские блокбастеры. Однако в последние годы на первое место по популярности во всем мире выходит телевизионный контент. Иногда сериалы опережают даже голливудские фильмы. Согласно отчету Muso, ТВ-контент интересует около трети пользователей, готовых нарушать авторские права. Самыми популярными остаются телесериалы (106,9 млрд визитов в год), на втором месте музыка (73,9 млрд), на третьем — полнометражные фильмы (53,2 млрд).

Эта популярность не осталась незамеченной киберпреступниками. Чтобы выяснить, как они эксплуатируют растущий интерес к нелегальному ТВ-контенту, мы провели исследование ландшафта угроз, замаскированных под торрент-раздачи новых эпизодов известных телесериалов. Нашей целью было определить сериалы, которым отдают предпочтение злоумышленники, и проанализировать, какие именно угрозы распространяются таким образом.

Методология и основные выводы

Чтобы убедиться, что выбранные нами телешоу действительно популярны, мы составили список главных сериалов 2018 года, используя их рейтинг на таких ресурсах, как IMDB, Rotten Tomatoes и т.п. Мы также составили список телесериалов, которые чаще всего распространяются нелегально, — то, насколько упорно сериал воруют, тоже немало говорит о его популярности. В результате мы получили список из 45 позиций. Затем, учтя, что некоторые наиболее популярные сериалы входят в несколько рейтингов одновременно, мы проредили его и оставили только 31.

1. Американская история ужасов
2. Американская семейка
3. Анатомия страсти
4. В лучшем мире
5. Видоизмененный углерод
6. Викинги
7. Детство Шелдона
8. Доктор Кто
9. Игра престолов
10. Карточный домик
11. Легенды завтрашнего дня (DC)
12. Легенды завтрашнего дня
13. Лучше звоните Солу
14. Мир Дикого Запада
15. Острые предметы
16. Очень странные дела
17. Призраки дома на холме
18. Рассказ служанки
19. Родина
20. Розанна
21. Сверхъестественное
22. Секретные материалы
23. Сорвиголова
24. Стрела
25. Теория Большого взрыва
26. Убивая Еву
27. Флэш
28. Форс-мажоры
29. Ходячие мертвецы
30. Хороший доктор
31. Это мы

Затем, с помощью обобщенной статистики угроз, полученной из Kaspersky Security Network (KSN) — инфраструктуры, специально созданной для обработки потоков данных по кибербезопасности, поступающих от миллионов добровольных участников по всему миру, — мы выяснили, сталкивались ли эти пользователи с вредоносными файлами, выдающими себя за эти сериалы.

Затем мы отдельно проверили названия эпизодов наиболее популярных у злоумышленников сериалов, чтобы определить, не предпочитают ли они серии с определенными порядковыми номерами или сезоны с тем или иным числом серий.

Мы также дополнительно оценили общий потенциал каждого сериала по распространению вредоносного ПО. Для этого мы разделили совокупное число уникальных пользователей, атакованных связанными с сериалом вредоносными файлами, на число этих файлов. Так мы определили среднее число пользователей, хотя бы раз столкнувшихся с замаскированным под сериал зловредом. Это, в свою очередь, помогло с некоторой степенью достоверности заключить, какой телесериал оказался самой лучшей приманкой.

Затем мы проанализировали, угрозы какого типа с наибольшей вероятностью скрываются под видом популярных телесериалов.

По результатам исследования были сделаны следующие выводы:

• Общее число пользователей, столкнувшихся с замаскированным под сериалы вредоносным ПО, в 2018 году составило 126 340 по всему миру, что на треть меньше, чем в 2017 году. Количество атак с помощью такого ПО понизилось на 22%, до 451 636 (количество зарегистрированных попыток заразить пользователей).
• Три наиболее популярных сериала, чаще всего служивших приманкой и поразивших больше всего пользователей, — это «Игра престолов», «Ходячие мертвецы» и «Стрела».
• На долю «Игры престолов» в 2018 году приходилось 17% зараженного контента и 20 934 атакованных пользователя, несмотря на то что только у этого сериала из списка в 2018 году не выходило новых эпизодов.
• Наиболее опасными оказались первый и последний эпизоды всех исследованных сезонов «Игры престолов»: с ними было связано больше всего вредоносных файлов в коллекции «Лаборатории Касперского» и с их помощью было поражено больше всего пользователей.
• «Зима близко» — самый первый эпизод телесериала — использовался киберпреступниками активнее всего.
• В общей сложности мы обнаружили 33 типа угроз и 505 различных семейств зловредов, скрывавшихся за названием «Игра престолов» в течение двух лет.
• В среднем каждый зловред атаковал 2,23 пользователя семь раз.
• Наиболее эффективным для маскировки вредоносного ПО сериалом оказалась «Американская история ужасов» — каждый вредоносный файл, спрятанный под этим названием, поразил в среднем трех пользователей.
• В тройку самых популярных «сериальных» угроз попали загрузчики (Not-a-virus:Downloader) и рекламные приложения (Not-a-virus:AdWare), но безусловным чемпионом все же стало по-настоящему опасное ПО — троянцы.

Malware morghulis: общее описание исследования

Анализ вредоносных файлов, замаскированных под популярные сериалы, и сравнение статистики 2017 и 2018 годов позволили заметить сокращение числа вредоносных файлов, атак и столкнувшихся с ними пользователей.

Всего в 2018 году «сериальное» вредоносное ПО поразило 126 340 пользователей — на треть меньше, чем годом ранее, когда количество заражений достигло 188 769. Однако это все еще сравнительно большая цифра. Характерно, что и в целом, как показало недавнее исследование, вредоносное ПО, замаскированное под популярный контент, в том числе под порно, в 2018 году привлекло на 45% меньше людей.

Сокращение числа атакованных пользователей сопровождалось снижением числа вредоносных файлов: если 2017 год был урожайным на вредоносное ПО и мы добавили в базу данных 82 091 образец, то в 2018 году количество новых угроз снизилось на 30%, составив 57 133.

Трекер, предлагающий все варианты пиратского контента

Общее число атак, обнаруженных нашими защитными решениями, тоже уменьшилось, но лишь на 22%, составив 451 636.

Такой спад может быть связан с рядом факторов, снизивших доступность торрентов и, как следствие, число их загрузок. Во-первых, в 2018 году Google понизила рейтинг более чем 65 000 трекеров — основных точек распространения пиратского контента, — поэтому пользователям стало сложнее их найти. Многие сайты также были заблокированы или выводились из строя в ходе направленных против торрентов мероприятий. Например, не так давно два крупных трекера (Pirate Bay и Demonoid) столкнулись с перебоями в работе, а один из старейших ресурсов — Leechers Paradise, — был закрыт навсегда.

В свете этого все большую долю аудитории трекеров перетягивают на себя пиратские стриминговые сайты, транслирующие фильмы и телесериалы.

Однако торренты все еще популярны, и, как видно из нашей статистики, попытки заражать пользователей через них не прекращаются. Для измерения эффективности распространения зловредов мы соотнесли общее количество уникальных атакованных пользователей с числом вредоносных файлов и обнаружили, что в среднем каждый такой файл, замаскированный под телесериал, в 2018 году поразил 2,23 пользователя.

Кроме того, мы сравнили список наиболее популярных торрентов 2018 года со списком наиболее часто «заражаемых» телесериалов.

Наиболее популярные торренты 2018 г. по версии TorrentFreak и наиболее популярные сериалы, использованные как приманка при распространении зловредов

Как видно из таблицы, 6 телесериалов из 10 попали в оба списка. Этого и следовало ожидать: чем популярнее сериал, тем вероятнее, что его будут использовать киберпреступники. Интересно, что несколько широко рекламируемых и весьма известных сериалов, таких как «Мир Дикого Запада» и «Легенды завтрашнего дня» от DC, не попали в список злоумышленников. Возможно, это в некоторой степени отражает их реальную популярность.

Зловредные материалы: какие сериалы заражают чаще всего

Чтобы определить, какие телесериалы для злоумышленников наиболее привлекательны в качестве маскировки, мы взяли такие характеристики, как количество вредоносных файлов, замаскированных под каждый сериал, количество атак, произведенных такими файлами, и число пользователей, которые хотя бы единожды столкнулись с этими атаками (по данным наших защитных решений). Сравнив эти показатели, мы выявили лидеров: «Игра престолов», «Ходячие мертвецы», «Стрела», «Форс-мажоры», «Викинги», «Теория Большого взрыва», «Сверхъестественное», «Анатомия страсти», «Это мы» и «Хороший доктор». Последний попал в десятку вместо «Карточного домика», который завершал список в 2017 году.

Десять самых популярных сериалов, использованных для маскировки вредоносного ПО в 2018 г.

Из всех проанализированных телесериалов больше всего пользователей было атаковано вредоносным ПО под маской «Игры престолов» — 20 934. Такие зловреды попытались заразить пользователей 129 819 раз, а общее количество опасных файлов, в чьих названиях использовались вариации на тему этого сериала, в нашей коллекции достигло 9986. Таким образом, «Игра престолов» стала абсолютным рекордсменом по популярности не только среди телезрителей, но и среди преступников, которые пытаются найти наиболее эффективный способ распространения вредоносного ПО.

Еще раньше, в 2017 году, волна вредоносного ПО, чьи названия так или иначе относились к «Песне льда и пламени», была почти вдвое больше: 42 330 человек и 19 180 файлов соответственно. Число атак в 2017 году превысило показатели 2018 года на 22%: зловреды были обнаружены 167 691 раз.

Десять самых популярных сериалов под которые маскировались зловреды по доле атакованных пользователей, 2017 г.

Десять самых популярных сериалов под которые маскировались зловреды по доле атакованных пользователей, 2018 г.

Второе место, как в 2018 году, так и в 2017 году, досталось сериалу «Ходячие мертвецы» (18 794 атакованных пользователя), а третье — «Стреле» (12 163 пользователя). Разрыв между числом жертв фальшивых «Ходячих мертвецов» и «Игры престолов» составляет всего 380 человек и кажется незначительным. Однако нужно учитывать, что «Игра престолов» — единственный сериал в десятке, который в 2018 году даже не выходил в эфир.

Для сравнения мы взглянули на 2017 год, когда выпускались новые эпизоды у всех этих сериалов. Как видно, разница между «Игрой престолов» и «Ходячими мертвецами» была заметнее: количество пользователей, атакованных с помощью «Игры престолов», превысило то же значение для «Ходячих мертвецов» и «Стрелы» на 33 и 50% соответственно.

Три самых популярных сериала, использованных для маскировки онлайн-угроз

Мы также подробнее проанализировали зараженные эпизоды из двух последних сезонов (шестого и седьмого) и из самого первого. Оказалось, что количество зараженных файлов, обнаруженных нашими защитными технологиями, значительно колеблется от эпизода к эпизоду. Нам удалось обнаружить следующую закономерность: в каждом сезоне первый и последний эпизод непременно использовались как маскировка для вредоносного ПО. Кроме того, названия открывающего и завершающего эпизода в каждом сезоне применялись для маскировки зловредов чаще прочих.

Эпизоды «Игры престолов»: количество зараженных файлов и уникальных атакованных пользователей для сезонов 1, 6 и 7

Поскольку анализ такого рода требует больших затрат времени и ресурсов, мы не проверяли все остальные сериалы. Тем не менее, основываясь на анализе трех разных сезонов одного сериала, можно с высокой степенью вероятности предположить, что и все остальные эксплуатируются схожим образом.

Но сделать вывод о том, что этот сериал стал наиболее эффективным орудием в руках злоумышленников, нельзя, пусть даже вредоносное ПО с его помощью достигло значительного числа пользователей. Однако из десяти наиболее популярных у киберпреступников эпопей «Игра престолов» стала лишь седьмой по соотношению числа вредоносных файлов к числу зараженных пользователей, продемонстрировав результат ниже среднего: всего лишь 2,1 пользователя на каждый файл «с сюрпризом».

В десятке лидеров этот показатель был самым высоким у «Ходячих мертвецов» — каждую замаскированную под видения зомби-апокалипсиса заразу загрузили в среднем 2,69 пользователя. Второе место заняла «Анатомия страсти» (2,65), а третье — «Сверхъестественное» (2,34).

Но наибольшего успеха достигли зловреды, которые скрывались за названием телесериала, не вошедшего в ТОП-10. Каждый вредоносный файл, замаскированный под «Американскую историю ужасов», занявшую четвертое место в рейтингах 2017 года, в среднем заразил трех пользователей в 2018 году. В 2017 году первая тройка наиболее эффективных файлов, притворяющихся телесериалами, выглядела иначе. Третье место занимала «Американская семейка» (2,95), второе — «Анатомия страсти» (3), а каждый файл, замаскированный под «Теорию Большого взрыва», смог заразить в среднем 3,15 пользователя, что обеспечило сериалу первое место, однако в 2018 году он резко сдал и оказался лишь на восьмом.

Среднее количество заражений уникальных пользователей файлами, замаскированными под телесериалы, в 2018 г.

Среднее количество заражений уникальных пользователей файлами, замаскированными под телесериалы, в 2017 г.

Анатомия угроз: векторы атаки и типы вредоносного ПО

Чтобы определить, какими неприятностями чаще всего чреваты фальшивки, мы проанализировали зараженные файлы с именами наиболее популярных телесериалов в 2017 и 2018 годах, чтобы получить статистику различных типов и семейств угроз.

В общей сложности мы обнаружили 33 типа угроз и 505 различных семейств зловредов, скрывающихся за названием «Игра престолов». Самыми популярными категориями угроз среди этих файлов были троянцы (почти треть от общего числа), загрузчики (21%) и рекламное ПО (28%). Последние два типа обычно не классифицируются как вредоносное ПО, однако такие программы все же могут помешать работе пользователя, выполняя нежелательные действия. Например, рекламные приложения демонстрируют пользователям баннеры с объявлениями, изменяют результаты поиска и собирают данные для показа целевой контекстной рекламы.

Десять наиболее популярных типов угроз по доле уникальных пользователей, атакованных в 2017–2018 гг.

Десять наиболее популярных семейств угроз по доле уникальных пользователей, атакованных в 2017–2018 гг.

При анализе наиболее популярных семейств угроз закономерно выяснилось, что три самых распространенных из них принадлежат к трем самым популярным типам.

Наиболее распространенная угроза: троянцы

По статистике, наиболее популярным типом угроз оказались троянцы. В 17% всех случаев пользователи, пытаясь скачать пиратский сериал, загружали зловреда семейства Trojan.WinLNK.Agent. Зловреды, наиболее часто атаковавшие пользователей, притворяясь «Игрой престолов», обычно выглядят как ярлык к какому-то файлу.

Пример троянца, загруженного на ПК под видом телесериала

Обычно такое вредоносное ПО действует по следующему сценарию: пользователь скачивает торрент-файл или получает по электронной почте архив, содержащий ярлык. Название файла заставляет думать, что это и есть эпизод сериала.

На самом деле помимо ярлыка архив содержит скрытую папку с установленным атрибутом «системный», которая остается невидимой, даже если в настройках Проводника Windows включен показ скрытых файлов.

Пример троянца, загруженного на ПК под видом телесериала

Когда пользователь кликает по ярлыку, запускается сценарий AutoIt, который прятался в скрытой папке вместе с интерпретатором и несколькими дополнительными файлами .lnk:

Пример троянца, загруженного на ПК под видом телесериала

Пример поведения троянца, загруженного на ПК под видом телесериала

Данный сценарий AutoIt является червем, который распространяется через съемные диски и запускает бэкдор, который также добавляется в автозапуск вместе с другими файлами .lnk из скрытой папки. Далее червь выполняет следующие инструкции:

1. Отобразить определенное сообщение.
2. Выполнить команды в cmd.exe.
3. Загрузить файлы в папку %Temp% и запустить их.
4. Выключить/перезагрузить компьютер.
5. Открыть определенный URL-адрес.
6. Автоматически кликнуть определенные ссылки на странице.
7. Закончить работу, перезапуститься, обновиться.

Следующие по популярности: нежелательные программы

Второе и третье места в рейтинге наиболее популярных угроз принадлежат различным семействам нежелательного ПО: рекламных приложений и загрузчиков.

Одним из наиболее популярных вердиктов здесь был not-a-virus:AdWare.Win32.FileTour. «Лаборатория Касперского» классифицирует это семейство как разновидность рекламного ПО. Технически оно может быть вполне легитимным, однако пользователи, на чьих компьютерах оно установлено, могут стать жертвой недобросовестной партнерской программы, благодаря которой на пользовательские устройства может быть загружено партнерское ПО, в том числе и весьма небезопасное. Нередко среди него попадаются майнеры, утилиты для кражи паролей, банковские троянцы и другие зловреды.

Рекламные приложения распространяются не только через порталы для загрузки контента, но и через торрент-трекеры.

Пример страницы браузера на ПК с установленным рекламным ПО

Еще одно качество, которое отличает рекламное ПО от загрузчика, — более агрессивные стратегии выживания и распространения. Рекламное ПО часто обманом пробирается на пользовательские устройства и не гнушается нечестными трюками: например, маскирует исполняемые файлы (с расширением .exe) под мультимедийные (например, The.Walking.Dead.S06E04.FASTSUB.VOSTFR.HDTV.XviD-ZT.avi.exe).

Пример страницы браузера на ПК с установленным рекламным ПО

Третье место заняли загрузчики. Этот тип программ может быть совершенно безобиден, но часто раздражает, загружая на устройство разные утилиты. Угрозы такого типа позиционируются как приложения, упрощающие скачивание файлов из интернета. Наиболее популярный загрузчик, скрывающийся под названием «Игры престолов», — MediaGet (наши решения детектируют его как Downloader.Win32.MediaGet). Также встречаются представители таких семейств, как uBar, AppDater и др.

Как правило, распространение загрузчика происходит по простой схеме: пользователь заходит на сайт, чтобы загрузить сериал или другой файл, и видит множество разных кнопок, подписанных «СКАЧАТЬ».

Пример скрытых опций в окне загрузчика

Понять, какая именно позволит загрузить эпизод напрямую, сложно, поэтому пользователь часто игнорирует или пропускает описание кнопки — например, «загрузить с помощью менеджера загрузки».

В результате вместо нужного файла пользователь получает только утилиту-загрузчик, через которую можно скачать сериал.

Пример окна загрузчика

Как правило, сами по себе загрузчики не вредят компьютеру. Однако они стараются плотно закрепиться в системе и могут показывать рекламу или предлагать установить другое ненужное ПО. Это не опасно, но может сильно раздражать.

Очень опасные дела: как не дать себя в обиду преступникам

По мере того, как по всему миру ужесточаются политики в отношении пиратского контента, а к интеллектуальной собственности начинают относиться как к физической, распространители вредоносного ПО, похоже, понемногу покидают хостинги и торренты. Однако, как мы сказали раньше, спад заражений через торренты может быть связан с растущей популярностью стриминговых сайтов, которые не требуют загрузки файлов, но при этом могут быть источником угроз других типов.

В то же время мы видим, что многие пользователи по-прежнему сталкиваются с вредоносным ПО, замаскированным под записи телепередач. В особенности это касается популярных сериалов, таких как «Игра престолов», «Ходячие мертвецы», «Стрела» и др. «Игру престолов» стоит упомянуть отдельно, поскольку это единственный сериал, оставшийся на вершине рейтинга угроз согласно телеметрии «Лаборатории Касперского», несмотря на то что его продолжение в 2018 году не выходило.

Принимая это во внимание, следует ожидать очередной мощной волны вредоносной активности одновременно с выпуском последнего сезона «Игры престолов» в этом месяце.

Чтобы избежать угроз, которые могут поджидать на сомнительных платформах по распространению контента, мы настоятельно рекомендуем:

• Обращайте внимание на добросовестность веб-сайтов и избегайте тех, в подлинности которых вы не уверены.
• Всегда проверяйте, официальный ли веб-сайт перед вами. Для этого внимательно присмотритесь к URL-адресу и названию ресурса перед закачиванием файла. Фальшивые веб-сайты могут почти ничем не отличаться от настоящих, однако те или иные несоответствия всегда найдутся.
• Обращайте внимание на формат загружаемых файлов. Если вы сохраняете эпизоды сериала, файлы не должны заканчиваться расширением .exe.
• Будьте осторожны с выбором торрентов и проверяйте комментарии в разделах с нужными вам файлами. Если в отзывах бессмысленный набор слов и посторонние замечания, скорее всего, перед вами вредоносное ПО.
• Не переходите по подозрительным ссылкам, которые обещают эксклюзивный предпремьерный показ нового эпизода: сначала проверьте, когда этот эпизод выходит официально.
• Используйте надежные решения безопасности для комплексной защиты от широкого спектра угроз, например Kaspersky Internet Security.