Уязвимости и эксплойты

В 2017 году мы нашли большое количество сэмплов, которые «эксплуатировали» RTF-парсер в Microsoft Word, чтобы “сломать” все другие имплементации RTF-парсера, включая те, которые используются в антивирусном программном обеспечении.

Доля спама в почтовом трафике в 2017 году сократилась на 1,68 п.п. и составила 56,63%. Самый низкий показатель зафиксирован в декабре 2017 года — 52,67%. Самый высокий (59,56%) — в сентябре. На компьютерах пользователей продуктов «Лаборатории Касперского» было зафиксировано 246 231 645 срабатываний системы «Антифишинг» при попытках перехода на фишинговые сайты.

В октябре 2017 года нам стало известно об эксплуатируемой in-the-wild уязвимости Windows-клиента мессенджера Telegram. Она заключается в использовании классической атаки right-to-left override при отправке файлов собеседнику.

Несколько месяцев назад, занимаясь исследованием устройств, имеющих подключение к интернету, мы обнаружили нечто неожиданное и почти сразу поняли, что, вероятно, имеем дело с критической угрозой безопасности. Нам попался простой веб-интерфейс, который оказался связан с реальной заправочной станцией.

С первого взгляда это выглядело так, словно мы обнаружили уязвимость нулевого дня для повышения привилегий в Windows. Однако подозрительный файл оказался чистым и подписанным исполняемым файлом, являющимся частью дистрибутива многопользовательской игры.

В четвертом квартале 2017 наблюдалось затишье: по сравнению с предыдущим кварталом уменьшились и число, и продолжительность DDoS-атак: последние месяцы 2017 года выдались даже спокойнее первых. При этом повышение числа атак на honeypot-ловушки в канун праздничных распродаж показывает желание злоумышленников расширить бот-сети в наиболее выгодный для этого момент.

Мы обнаружили и решили подробнее рассмотреть несколько спам-рассылок, в которых мошенники эксплуатировали страх пользователей перед информационными угрозами, а в качестве оплаты за безопасность принимали биткойны. Целью атак были сотрудники небольших компаний, но подобные письма могли приходить на личную почту любому пользователю.

В апреле этого года мы детально разобрали вредоносное ПО, использующе DNS-туннель для взаимодействия с C&C-сервером. Это исследование послужило толчком к развитию технологии детектирования похожих угроз, что позволило нам собрать множество образцов зловредов, использующих DNS-туннелирование.

Рассмотрим несколько последних модификаций троянца Mezzo, нацеленного на кражу денег с помощью подмены файлов в бухгалтерском программном обеспечении, а также укажем на несколько любопытных связей, в частности, с вредоносным ПО, рассмотренного в одной из предыдущих статей.

Мы ежедневно сталкиваемся с сотнями тысяч новых угроз и видим, что злоумышленники постоянно ищут новые возможности для атак. Как показало наше исследование, подключение к компьютеру токена для контроля лицензий ПО может открывать скрытый канал удаленного доступа для злоумышленника.

В начале октября 2017 года мы обнаружили нового троянца-шпиона для ОС Android, имеющего в своем арсенале несколько интересных функций, до этого не использовавшихся в известных нам троянцах. Мы уверены, что разработчик Skygofree является итальянской ИТ-компанией, которая работает над решениями для слежки за пользователями, как и HackingTeam.

В одной из предыдущих статей мы упоминали, что для установки этого ПО на компьютеры жертв злоумышленники используют методы социальной инженерии. В этот раз остановимся подробней на том, как именно компьютеры доверчивых пользователей начинают работать на злоумышленников.

В 2017 году веб-антивирус «Лаборатории Касперского» выявил 15 714 700 уникальных вредоносных объектов (скриптов, эксплойтов, исполняемых файлов и т.д.) и 199 455 606 уникальных URL, на которых происходило срабатывание веб-антивируса. Решения «Лаборатории Касперского» отразили 1 188 728 338 атак, которые проводились с интернет-ресурсов, находящихся в 206 странах мира.

В конце сентября компания Palo Alto опубликовала отчет о деятельности отдела Unit42, в котором среди прочего шла речь о вредоносной программе PYLOT. Мы фиксируем атаки с использованием этого бэкдора еще с 2015 года и называем его Travle. Так совпало, что «Лаборатория Касперского» недавно участвовала в расследовании успешной атаки с применением Travle, в ходе которого мы тщательно проанализировали этот зловред.

Среди этого множества угроз, мы обнаружили весьма интересный экземпляр – Trojan.AndroidOS.Loapi. Благодаря сложной модульной архитектуре он может добывать криптовалюту, заваливать пользователя рекламой, осуществлять DDoS-атаки и многое другое.