Зловреды для Windows

По данным KSN, решения «Лаборатории Касперского» отразили 796 806 112 атак, которые проводились с интернет-ресурсов, размещенных в 194 странах мира.

В январе мы обнаружили сложного многоступенчатого троянца-шпиона Skygofree, который дает злоумышленнику полный удаленный контроль над зараженным Android-устройством. В феврале Olympic Destroyer атаковал инфраструктуру Олимпийских игр в Пхенчхане.

В апреле этого года мы детально разобрали вредоносное ПО, использующе DNS-туннель для взаимодействия с C&C-сервером. Это исследование послужило толчком к развитию технологии детектирования похожих угроз, что позволило нам собрать множество образцов зловредов, использующих DNS-туннелирование.

Рассмотрим несколько последних модификаций троянца Mezzo, нацеленного на кражу денег с помощью подмены файлов в бухгалтерском программном обеспечении, а также укажем на несколько любопытных связей, в частности, с вредоносным ПО, рассмотренного в одной из предыдущих статей.

В конце сентября компания Palo Alto опубликовала отчет о деятельности отдела Unit42, в котором среди прочего шла речь о вредоносной программе PYLOT. Мы фиксируем атаки с использованием этого бэкдора еще с 2015 года и называем его Travle. Так совпало, что «Лаборатория Касперского» недавно участвовала в расследовании успешной атаки с применением Travle, в ходе которого мы тщательно проанализировали этот зловред.

Добро пожаловать в мир программ-вымогателей-2017. В уходящем году в постоянно растущем списке жертв этих зловредов к отдельным пользователям добавились крупные глобальные компании и промышленные системы, а злоумышленники, организующие целевые атаки, начали проявлять к шифровальщикам серьезный интерес.

Авторы вредоносных программ используют различные техники обхода защитных механизмов и сокрытия вредоносной активности. Одной из них является сокрытие вредоносного кода в контексте доверенного процесса. Как правило, вредоносное ПО, использующее технику сокрытия, внедряет свой код в системный процесс, например, explorer.exe. Но встречаются образцы, которые используют другие интересные приемы, об одном из таких зловредов мы и хотим рассказать.

Далее мы расскажем две необычные истории «успеха» на «майнерском фронте». Первая перекликается с историей TinyNuke и во многом дает представление о ситуации с майнерами. Вторая же показывает, что для получения криптовалюты «жечь» процессор совершенно необязательно.

Во вторник 24 октября мы получили уведомления о массовых атаках с использованием вымогателя Bad Rabbit («Плохой кролик»). Пострадали организации и отдельные пользователи — преимущественно в России, но были и сообщения о жертвах из Украины.

Только за последний месяц мы обнаружили несколько крупных бот-сетей, направленных на получение прибыли от скрытого майнинга. Мы также отмечаем рост количества попыток установки майнеров на сервера организаций. В случае успеха страдают бизнес-процессы предприятия, т.к. значительно падает скорость обработки данных.

В одной из предыдущих статей мы рассмотрели банкер NeutrinoPOS в качестве примера постоянно развивающегося и изменяющегося семейства вредоносного ПО. Спустя буквально неделю после публикации это ответвление от Neutrino само «произвело на свет» нового зловреда, классифицируемого продуктами «Лаборатории Касперского» как Trojan-Banker.Win32.Jimmy.

Не так давно мы рассказывали о новом семействе Linux-троянцев, использующих уязвимость в протоколе Samba — SambaCry. Спустя неделю нашим аналитикам удалось обнаружить зловреда для ОС Windows, созданного, по всей вероятности, той же группой, что несет ответственность за появление SambaCry.

Часто вирусописатели не утруждают себя ни шифрованием зловреда, ни сокрытием его взаимодействия. Однако находятся и те, кто не чурается нестандартных подходов. На примере троянца, обнаруженного нашими специалистами в середине марта, мы рассмотрим пример такого подхода — DNS-туннель в качестве линии связи с C&C-сервером.

В 2016 году киберпреступники охотились за крупной рыбой, но это не значит, что мелкая рыбешка может чувствовать себя в безопасности.

Для того, чтобы украсть более 200 миллионов рублей, киберпреступникам не обязательно заражать банкоматы, системы банк-клиент или взламывать платежные системы. Иногда они пользуются более простыми, но оттого не менее действенными методами.