Хищники интернета

Неважно, чем именно пользователь занимается в интернете – общается в социальных сетях, ищет новую информацию или смотрит видеоролики. Не имеет значение и возраст потенциальной жертвы – в арсенале злоумышленников найдутся приемы для всех, от школьников до пенсионеров. Целью киберпреступников является получение доступа к деньгам пользователя, его персональным данным и системным ресурсам ПК. В общем, ко всему, на чем можно заработать.

На просторах Сети пользователь может стать жертвой самых разных атак: «подцепить» вымогателя Gimemo или Foreign, стать частью ботнета Andromeda, лишиться денег на своем банковском счету с помощью ZeuS/Zbot, скомпрометировать свои пароли благодаря шпиону Fareit. В большинстве случаев в ходе веб-атаки на атакуемый компьютер загружается и устанавливается вредоносный исполняемый файл, хотя есть исключения, например XSS или CSRF, когда исполняется внедренный HTML-код.

Механика атаки

Для успешного выполнения атаки требуется, чтобы пользователь перешел на вредоносный сайт, откуда на его компьютер будет загружен исполняемый файл. Чтобы заманить пользователя на свой ресурс, злоумышленник может отправить ему ссылку посредством электронной почты, SMS-сообщения или через социальные сети, либо вывести свой сайт на первые страницы в поисковых системах. Есть и другой путь – взломать популярный легитимный ресурс или популярную баннерную сеть и превратить их в инструмент атаки на посетителей.

Этап загрузки и установки зловреда проводится одним из двух методов. Первый, скрытая drive-by-загрузка, заключается в использовании уязвимостей программного обеспечения пользователя. При этом посетитель зараженного сайта может даже не заметить, что на его компьютер устанавливается зловред – никаких индикаторов, как правило, при этом не появляется.

Второй требует применения социальной инженерии, когда обманутый пользователь сам загружает и ставит на свой компьютер вредоносную программу под видом «обновления flash плеера» или другого популярного ПО.

Схема атаки через интернет с загрузкой вредоносного исполняемого файла

Вредоносные ссылки и баннеры

Простейший способ завлечь жертву на вредоносный сайт – просто разместить на виду привлекательно оформленный баннер со ссылкой. Как правило, в качестве площадки используются сайты с нелегальным контентом, порнографией, нелицензионным программным обеспечением, фильмами и т.д. Такого рода сайты могут долгое время работать «по-честному», набирая аудиторию, и лишь потом начать размещать баннеры и ссылки на вредоносные ресурсы.

Достаточно популярным методом заражения является malwertizing, или перенаправление пользователя на вредоносный сайт с помощью скрытых баннеров. Сомнительные баннерные сети, привлекающие администраторов сайтов высокими выплатами за просмотры рекламы и переходы на рекламируемые ресурсы, нередко «подрабатывают» распространением зловредов.

При заходе на сайт, установивший баннер вредоносной сети, в браузере жертвы открывается так называемый «попандер» (pop-under), то есть всплывающее окно, открывающееся либо под окном сайта, либо в соседней неактивной вкладке. Содержимое такого «попандера» зачастую зависит от местоположения посетителя сайта – жители разных стран могут перенаправляться на разные ресурсы. Посетителям из одних стран может просто показываться реклама, например

Сайт перенаправляет американского посетителя на ресурс watchmygf[]net

Сайт перенаправляет посетителя из России на ресурс runetki[]tv\

…тогда как посетители из других стран будут атакованы эксплойт-паками.

Житель Японии атакован эксплойтом и получает шпионского троянца Zbot

В редких случаях вредоносные баннеры проникают и в честные баннерные сети, несмотря на тщательную проверку со стороны администрации. Такие случаи фиксировались и в баннерной сети Yahoo Advertising, и даже в YouTube.

Спам-рассылки

Спам является одним из наиболее популярных способов заманивания жертв на вредоносные ресурсы. К нему относятся сообщения, отправленные по электронной почте, через SMS и системы мгновенных сообщений, через социальные сети, личные сообщения в форумах и комментарии в блогах.

Опасное сообщение может содержать файл зловреда либо ссылку на зараженный сайт. Чтобы вынудить пользователя кликнуть по ссылке или по файлу, используется социальная инженерия, в частности:

• в качестве имени отправителя используется название реальной организации или имя реального человека,
• письмо маскируется под легитимную рассылку или даже личное сообщение,
• файл назван так, чтобы жертва приняла его за полезную программу или нужный документ.

В ходе целевых атак, когда злоумышленники целенаправленно атакуют определенную организацию, вредоносное письмо может копировать письмо от настоящего корреспондента организации: обратный адрес, содержание, подпись будет таким же, как и в настоящих письмах, например, от партнера компании. Открыв приложенный документ с названием вида «счет.docx», получатель подвергнет свой компьютер угрозе заражения.

Черная поисковая оптимизация

Поисковая оптимизация (SEO, Search Engine Optimization) – набор приемов для поднятия позиции сайта в результатах выдачи поисковых систем. Современные пользователи для получения нужной информации или сервиса чаще всего используют поисковые системы, и потому, чем проще ищется тот или иной веб-сайт, тем больше посетителей у него будет.

Помимо легальных методов оптимизации, допустимых с точки зрения поисковых систем, есть запрещенные, заключающиеся в обмане поисковиков. Сайт может «раскручиваться» с помощью ботнета – тысячи ботов задают определенные поисковые запросы и выбирают в выдаче вредоносный сайт, поднимая его рейтинг. Сам сайт может иметь различный вид в зависимости от того, кто на него зашел: если это робот поисковика, ему будет показана страница, релевантная запросу, если это обычный пользователь, он будет перенаправлен на вредоносный сайт.

Помимо этого, ссылки на сайт с помощью специальных утилит раскидываются по форумам и другим сайтам, известным поисковым системам, что повышает рейтинги сайта и, соответственно, позицию в поисковой выдаче.

Как правило, сайты, продвигаемые «черной» оптимизацией, оперативно блокируются администрацией поисковых систем. Поэтому они создаются и продвигаются десятками и сотнями, с использованием автоматических инструментов.

Зараженные легитимные сайты

Иногда злоумышленники для распространения своих программ могут заразить легитимный сайт, который посещает большое число пользователей. Это может быть популярный новостной ресурс, интернет-магазин, какой-либо портал или агрегатор новостей.

Для заражения ресурса используются два метода. Если на целевом сайте обнаружено уязвимое программное обеспечение, на него можно загрузить вредоносный код (например, внедрением SQL-кода). В других случаях злоумышленники используют аутентификационные данные, добытые с компьютера администратора сайта одним из множества троянцев-шпионов, либо с помощью фишинга и социальной инженерии. После получения контроля над сайтом, последний тем или иным способом заражается. В самом простом случае в HTML-код страницы дописывается скрытый тег iframe со ссылкой на вредоносный ресурс.

«Лаборатория Касперского» ежедневно регистрирует тысячи легитимных сайтов, загружающих посетителям вредоносный код без их ведома. Из нашумевших случаев стоит отметить троянскую программу Lurk, найденную на сайтах агентства РИА Новости и gazeta.ru, а также заражение сайта PHP.Net.

Посетитель зараженного сайта атакуется с использованием скрытой drive-by-загрузки, т.е. заражение происходит незаметно для пользователя и не требует его участия. Со станицы загружается эксплойт, либо набор эксплойтов, который, при наличии на машине пользователя уязвимого программного обеспечения запускает исполняемый вредоносный файл.

Наборы эксплойтов

Наиболее эффективным инструментом заражения компьютера жертвы являются наборы эксплойтов, например, Blackhole. Это ликвидный товар на черном рынке: эксплойт-паки разрабатываются на заказ или для широкой продажи, поддерживаются и обновляются. Цена набора определяется количеством и «свежестью» включенных в него эксплойтов, удобством администрирования, качеством поддержки, регулярностью обновления и жадностью продавца.

Так как описываемые атаки на компьютер происходят через браузер, эксплойты должны использовать уязвимости самого браузера, программ-расширений к нему или стороннего ПО, которое загружает браузер для обработки контента. Результатом успешного срабатывания одного из эксплойтов будет запуск вредоносного исполняемого файла на машине жертвы.

Типичный набор расширений для браузера Internet Explorer, по умолчанию не требующих разрешения на запуск. Красным подчеркнуты расширения, уязвимости в которых часто используются для атаки на систему.

Эффективный набор содержит эксплойты для актуальных уязвимостей в популярных браузерах и расширениях для них, а также для Adobe Flash Player и других популярных программ. Нередко эксплойт-паки оснащаются инструментарием для тонкой настройки и сбора статистики по заражениям.

Панель управления эксплойт-пака Styx

Прямая загрузка пользователем

Далеко не всегда злоумышленникам требуются замысловатые и дорогие инструменты для того, чтобы внедрить в компьютер жертвы вредоносную программу. Пользователя можно просто обмануть и заставить самостоятельно загрузить и запустить зловреда.

К примеру, зайдя на вредоносный порносайт, пользователь видит preview видео «для взрослых». Кликнув по нему, он видит требование обновить свой Adobe Flash Player, причем сайт сразу предложит ему для загрузки файл с достоверным названием. Установив «обновление» пользователь заражает свой компьютер троянской программой.

Сообщение, появляющееся при попытке просмотреть видео «для взрослых» на вредоносном сайте

Или у пользователя может появиться веб-страничка, имитирующая окно «Мой Компьютер», где будет сказано, что на компьютере найдено большое количество вирусов. А совсем рядом появится окошко, предлагающее загрузить «бесплатный антивирус», который все вылечит.

Предложение установить бесплатный антивирус, под видом которого скрывается троянец

Заражение через социальные сети

Неискушенные пользователи социальных сервисов подвергаются атакам так называемых полуавтоматических червей. Будущей жертве приходит сообщение якобы от ее виртуального знакомого с предложением получить какую-либо привлекательную функцию, отсутствующую в социальной сети («дизлайк» постов, предоставление конфиденциальных данных о других пользователях и т.д.). Для получения привлекательной функции пользователю предлагается открыть JavaScript-консоль браузера и ввести туда определенный код.

Инструкция по установке полуавтоматического Facebook-червя

После выполнения этих действий червь активируется и начинает собирать данные о пользователе, рассылать ссылки на себя знакомым жертвы, ставить «лайки» на различные посты. Последнее ‑ платная услуга, которую владелец червя предоставляет своим заказчикам. И тут мы подходим к тому, ради чего злоумышленники идут на различные ухищрения и нарушение закона.

Деньги, деньги, деньги

Разумеется, злоумышленники атакуют наши компьютеры не из спортивного интереса – их целью всегда является нажива. Очень популярным способом незаконного получения денег жертвы является использование троянца-вымогателя, делающего невозможным использование компьютера до уплаты определенной суммы.

Проникнув на компьютер пользователя, троянец определяет страну, где расположен зараженный компьютер, и показывает жертве соответствующий экран блокировки, содержащий угрозы и инструкции по оплате выкупа. От страны пользователя зависит и язык сообщения, и предлагаемый киберпреступниками способ оплаты.

Обычно злоумышленники обвиняют пользователя в просмотре детской порнографии или какой-либо незаконной деятельности, а затем угрожают уголовным преследованием или обнародованием этих сведений в расчете на то, что жертва примет эти угрозы всерьез и не рискнет обращаться за помощью в правоохранительные органы. Для дополнительной стимуляции пользователя троянцы-вымогатели могут угрожать уничтожить содержимое жесткого диска, если выкуп не будет уплачен в короткий срок.

Экран блокировки, который троянец-вымогатель Trojan-Ransom.Win32.Foreign демонстрирует жителям США

Оплатить указанный киберпреступниками «штраф» предлагается посредством отправки SMS-сообщения на премиальный номер или денежным переводом через одну из платежных систем. В ответ пользователь должен получить код разблокировки, после ввода которого троянец деактивируется, но на практике это происходит не всегда.

Канал связи с жертвой может вывести правоохранительные органы на злоумышленников, и они зачастую предпочитают не рисковать, оставляя жертву с фактически неработающим компьютером.

Еще одним распространенным методом незаконного заработка является сбор и продажа конфиденциальных данных пользователей. Контактные и персональные данные – ликвидный товар, который можно сбыть на черном рынке, пусть и за сравнительно небольшую сумму. Тем более, что для сбора информации необязательно заражать компьютер пользователя зловредом. Часто жертва сама передает всю необходимую информацию – главное, чтобы сайт, на котором расположена форма для ввода данных, выглядел солидно и достоверно.

Поддельный сайт, собирающий контактные и персональные сведения о посетителях, а затем подписывающий их на платные мобильные услуги

Большую прибыль приносят хозяевам троянцы-банкеры. Эти программы рассчитаны на кражу денег с банковских счетов пользователя через систему дистанционного банковского обслуживания. Зловред этого типа ворует аутентификационные данные пользователя, используемые в системах онлайн-банкинга. Обычно этого недостаточно, так как почти все банки и платежные системы требуют аутентификации по нескольким факторам – с вводом SMS-кода, установкой USB-ключа и т.д. В таких случаях, дождавшись момента, когда пользователь проводит какой-либо платеж через интернет-банкинг, троянец подменяет реквизиты платежа, уводя деньги на специальные счета, с которых злоумышленники выводят деньги в наличные. Существуют и другие технологии обхода двухфакторной аутентификации: троянцы могут перехватывать SMS с одноразовыми паролями или «вешать» систему в момент вставки USB-ключа, чтобы удаленно завершить операцию за пользователя, пока последний анализирует ситуацию и раздумывает, стоит ли перезагружать компьютер.

Наконец, выгодным занятием является содержание ботнетов. Зараженные ботами компьютеры могут незаметно заниматься различной деятельностью, приносящей деньги злоумышленнику: майнить биткоины, рассылать спам, выполнять DDoS-атаки, «раскручивать» сайты через поисковые запросы.

Противодействие угрозе

Как мы уже убедились, интернет-угрозы достаточно разнообразны и могут подстерегать пользователя практически везде – во время чтения почты, общения в социальных сетях, изучения новостей и просто серфинга. Способов защиты от этих угроз также немало, но все их можно свести к трем ключевым советам:

• Всегда внимательно относитесь к тому, что вы делаете в интернете: на какие сайты ходите, какие файлы загружаете и что запускаете на своем ПК.
• Не доверяйте сообщениями от незнакомых пользователей и организаций, не кликайте по присланным ссылкам и не открывайте вложения.
• Регулярно обновляйте активно используемое программное обеспечение, особенно то, которое работает в связке с браузером.
• Установите современное защитное решение и поддерживайте его антивирусные базы в актуальном состоянии.

Звучит довольно просто, но растущее количество заражений наглядно демонстрирует, что далеко не все пользователи серьезно относятся к своей безопасности и следуют этим советам. Надеемся, наш обзор актуальных интернет-угроз поможет изменить ситуацию.