Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Zagrożenia kwietnia 2012 r. wg Kaspersky Lab

Tagi:

Kwiecień w liczbach

Poniższe statystyki zostały stworzone w kwietniu na podstawie danych zebranych z komputerów, na których zainstalowano produkty firmy Kaspersky Lab:

  • wykryto i zneutralizowano 280 milionów szkodliwych programów;
  • zablokowano 134 miliony (48% wszystkich zagrożeń) infekcji sieciowych;
  • wykryto ponad 24 miliony szkodliwych adresów URL.

Cyberzagrożenia i gorące tematy

Masowe wykorzystywanie systemu Mac OS X oraz złożone, długotrwałe działania skierowane na konkretne cele

Niezwykle duża aktywność szkodliwego oprogramowania dla systemu Mac OS X, jaką zaobserwowaliśmy w marcu, okazała się zaledwie wierzchołkiem góry lodowej. W kwietniu miały miejsce dwa incydenty, które na zawsze zmieniły sposób, w jaki postrzegamy krajobraz bezpieczeństwa systemu Mac OS X: pierwszy dotyczył masowego wykorzystywania tego systemu, drugi wykorzystania Mac OS X w ramach złożonych, długotrwałych działań skierowanych na konkretne cele.

Flashfake

Zacznijmy od botnetu Flashfake, znanego również jako Flashback. Rodzina szkodliwego oprogramowania Flashfake została po raz pierwszy wykryta w 2011 r. w postaci programu Trojan-Downloader.OSX.Flashfake. Trojan ten był rozsyłany jako fałszywa aktualizacja Flash Playera, co wyjaśnia pochodzenie nazwy szkodnika. Od września 2011 r. do lutego 2012 r. Flashfake był rozprzestrzeniany wyłącznie przy użyciu socjotechniki: osoby odwiedzające różne strony internetowe były proszone o pobranie fałszywej aktualizacji Adobe Flash Playera.

W marcowym miesięcznym raporcie dotyczącym szkodliwego oprogramowania zauważyliśmy, że w ramach nowej metody dystrybucji tego szkodliwego oprogramowania wykorzystywane były setki tysięcy zhakowanych blogów na platformie WordPress. Spowodowało to dramatyczną eskalację tego zagrożenia, ponieważ Flashfake wykorzystywał exploity w celu infekowania komputerów ofiar, w efekcie czego powstał botnet Flashfake, który składał się z ponad 750 000 maszyn z systemem Mac OS X.

Cyberprzestępczy gang odpowiedzialny za dystrybucję Flashfake’a rozprzestrzeniał szkodliwe oprogramowanie za pośrednictwem platformy WordPress poprzez wypożyczanie ruchu z blogów WordPress przy użyciu programu partnerskiego oferowanego przez cyberprzestępczy gang rr.nu. Około 85% zhakowanych blogów znajdowało się w Stanach Zjednoczonych, a wykorzystanie ruchu WordPress pozwoliło grupie odpowiedzialnej za Flashfake’a przekierowywać osoby odwiedzające strony WordPress na zhakowane strony kontrolowane przez osoby atakujące. Po tym, jak użytkownik odwiedził zhakowaną stronę, jego komputer próbowały zainfekować trzy różne exploity: CVE 2011-3544, CVE 2008-5353 oraz CVE 2012-0507, lub był nakłaniany do pobrania i zainstalowania pliku JAR ze sfałszowanym podpisem firmy Apple. Jeżeli jeden z exploitów został pomyślnie uruchomiony, atakowana maszyna została zainfekowana bez konieczności dodatkowej interakcji ze strony użytkownika. Podpisany plik JAR działałby tylko wtedy, gdyby użytkownik zaakceptował instalację.

Jednak kluczem do sukcesu tej kampanii była nie tylko nowa metoda dystrybucji, ale również wykorzystywane exploity. Interesujące jest to, że wszystkie z nich atakowały Javę, w przypadku której implementacja i dystrybucja łat bezpieczeństwa dla systemu Mac OS X jest dokonywana przez Apple zamiast bezpośrednio przez Oracle, co spowodowało opóźnienia w dystrybucji łat bezpieczeństwa dla użytkowników końcowych. Na przykład luka CVE 2012-0507 została załatana dla wszystkich innych platform przez Oracle 14 lutego, jednak Apple nie udostępnił swojej łaty aż do 3 kwietnia, pozostawiając użytkowników systemu Mac OS X bez ochrony przez długi czas. Java nie jest instalowana w systemie Lion domyślnie, niemniej każdy użytkownik może zainstalować ją indywidualnie. Wreszcie, w momencie opublikowania łaty była ona dostępna jedynie dla użytkowników systemów Lion oraz Snow Leopard.

W efekcie tej kampanii ponad 700 000 użytkowników zostało zainfekowanych trojanem Flashfake, z czego 58% pochodziło ze Stanów Zjednoczonych. Kaspersky Lab stworzył stronę Flashbackcheck.com, na której użytkownicy mogli sprawdzić, czy ich komputery zostały zainfekowane, i pobrać darmowe narzędzie umożliwiające usunięcie szkodliwego oprogramowania.

SabPub: nowe złożone, długotrwałe działanie skierowane na konkretne cele

W kwietniu został zidentyfikowany SabPub - zaawansowany, długotrwały atak skierowany na konkretne cele, który wykorzystywał dwa rodzaje backdoorów w celu infekowania komputerów użytkowników. Pierwszy z trojanów uzyskiwał dostęp do systemu poprzez wykorzystywanie luki w Microsoft Word i został stworzony w lutym 2012 r. Drugi wariant SabPuba, stworzony w marcu 2012, atakował platformę Mac OS X poprzez wykorzystywanie luki w Javie. Po zainfekowaniu maszyny ofiary backdoor mógł wykonywać zrzuty ekranu bieżącej sesji użytkownika oraz wykonywać zdalne polecenia cyberprzestępców na zainfekowanym komputerze. Obecnie grupa stojąca za SabPubem nadal aktywnie atakuje użytkowników komputerów.

Nowe kampanie spamowe wykorzystujące zestawy tworzenia exploitów BlackHole

Aktywna kampania spamowa na Twitterze

Kaspersky Lab wykrył nową kampanię spamową na Twitterze, w ramach której do użytkowników rozsyłane były osadzone odsyłacze, które przekierowywały ich na szkodliwe strony hostujące BlackHole Exploit Kit. Strony te instalowały oprogramowanie scareware na komputerach ofiar w postaci fałszywych powiadomień antywirusowych, które zachęcały użytkownika do przeskanowania swojego systemu w celu wykrycia infekcji. Klienci firmy Kaspersky Lab byli chronieni już od samego początku tej kampanii, a zagrożenia, o których mowa, wykrywane są jako: Trojan-FakeAV.Win32.Agent.dqs oraz Trojan-FakeAV.Win32.Romeo.dv.

Wiadomości phishingowe wykorzystujące US Airways

Na początku kwietnia Kaspersky Lab poinformował o prowadzonej przez cyberprzestępców kampanii phishingowej zapoczątkowanej pod koniec marca, w wyniku której użytkownicy otrzymywali wiadomości e-mail pochodzące rzekomo od US Airways. Cyberprzestępcy wysyłali wiadomości phishingowe, próbując nakłonić odbiorców do kliknięcia odsyłaczy osadzonych wewnątrz wiadomości, oferujących „szczegóły dotyczące rezerwacji online”, łącznie z opcjami przejścia odprawy lotniczej. Jeżeli użytkownicy kliknęli którykolwiek z tych odsyłaczy, zostali przekierowani na fałszywą stronę zawierającą BlackHole Exploit Kit z zaawansowaną formą szkodnika o nazwie Zeus (GameOver). Ten szkodnik bankowy instalował się na komputerze użytkownika i kradł jego dane uwierzytelniające dotyczące bankowości. Wiadomości te były wysyłane w masowych ilościach, a cyberprzestępcy najwyraźniej liczyli na to, że niektórzy odbiorcy rzeczywiście zarezerwowali lot liniami US Airways (co zwiększyłoby szanse kliknięcia odsyłaczy).

Mobilne szkodliwe oprogramowanie

Japońscy użytkownicy Androida pod ostrzałem

Obecnie ogromna większość szkodliwego oprogramowania dla Androida jest dostosowana do konkretnych regionów geograficznych – cyberprzestępcy z różnych państw tworzą różne rodzaje szkodników, które są specyficzne dla użytkowników danych państw. Innymi słowy, prawdopodobieństwo infekcji użytkownika z Rosji chińskim szkodnikiem jest bardzo niskie. Nie oznacza to jednak, że liczba infekcji – oraz zysków – wygenerowanych przez hakerów nie wzrasta.

Japonia nie jest wyjątkiem jeżeli chodzi o mobilne szkodliwe oprogramowanie dostosowane dla danego regionu. Na początku kwietnia wykryty został nowy rodzaj szkodliwego oprogramowania dla Androida, napisany przez japońskich twórców mobilnych wirusów i atakujący urządzenia z systemem Android w Japonii. Szkodnik ten jest wykrywany przez Kaspersky Lab jako Trojan.AndroidOS.FakeTimer.

Niestety, w Google Play dostępnych było prawie 30 różnych szkodliwych aplikacji i co najmniej 70 000 użytkowników pobrało jedną z nich. Omawiany szkodnik potrafi łączyć się ze zdalnym serwerem. Jeżeli połączenie powiedzie się, szkodnik pobiera plik wideo MP4. Ponadto, program ten kradnie poufne informacje z zainfekowanego urządzenia, łącznie z kontaktami, adresami e-mail i numerami telefonu osób z listy kontaktów ofiary. Szkodliwe oprogramowanie wysyła skradzione dane na zdalny serwer.

TigerBot – kolejny bot SMS

Coraz większą popularność zyskuje mobilne szkodliwe oprogramowanie kontrolowane za pośrednictwem wiadomości SMS. W kwietniu wykryto kolejnego backdoora o nazwie TigerBot. Po infekcji szkodnik ten maskuje się, nie dając oznaki swojego istnienia na ekranie urządzenia. Jeżeli ofiara sprawdzi listę uruchomionych procesów na swoim urządzeniu mobilnym, może nie zidentyfikować nazwy procesu TigerBota, takiej jak „System”. Szkodliwe oprogramowanie rejestruje odbiornik o nazwie „android.provider.Telephony.SMS_RECEIVED” w celu podsłuchiwania wszystkich przychodzących SMS-ów i sprawdzania, czy posiadają specjalne polecenie czy nie.

Różne polecenia mogą obejmować nagrywanie połączeń telefonicznych, kradzież współrzędnych GPS, wysyłanie wiadomości SMS lub zmiany ustawień sieciowych. Wszystko to może powodować poważne wycieki informacji. Szkodnik potrafi również powtórnie uruchamiać zainfekowane telefony, chociaż prawdopodobieństwo, że tak się zdarzy, jest mniejsze, ponieważ będzie to ostrzeżeniem dla ofiary, że z jego urządzeniem coś jest nie tak.

Na szczęście, nic nie wskazuje na to, że TigerBot był (lub jest) dostępny w Google Play, warto jednak zachować ostrożność podczas instalowania aplikacji z dowolnego źródła.

Kaspersky Mobile Security wykrywa to zagrożenie jako Backdoor.AndroidOS.TigerBot.

Ranking kwietniowy

*Statystyki te przedstawiają werdykty dotyczące szkodliwego oprogramowania wykrytego przez moduły antywirusowe i zostały dostarczone przez użytkowników produktów Kaspersky Lab, którzy zgodzili się udostępnić informacje o zagrożeniach, które ich atakowały.

Zagrożenia sieciowe

 


Mapa ryzyka infekcji podczas surfowania po Internecie

 

 enlarge.gif
Top 10 stref szkodliwych domen

źródło ataków sieciowych według strefy domen*

*Liczba ataków pochodzących z zasobów sieciowych według domeny, wykrytych przez moduł ochrony WWW.

 

 enlarge.gif
Top 10 państw, w których w zasobach sieciowych zaszyte było szkodliwe oprogramowanie
(Globalny rozkład zainfekowanych stron oraz hostów szkodliwego oprogramowania)

10 najbardziej rozpowszechnionych zagrożeń w Internecie

  Zagrożenie % wszystkich ataków* Zmiana w rankingu
1 Malicious URL 87,6% Bez zmian
2 Trojan.Script.Iframer 2,9% Bez zmian
3 Trojan.Script.Generic 2,4% Bez zmian
4 Trojan.JS.Popupper.aw 0,4% +4
5 Trojan.Win32.Generic 0,3% -1
6 Trojan.JS.Agent.bxw 0,3% Nowość
7 Exploit.Script.Blocker 0,3% Nowość
8 Trojan-Downloader.Win32.Generic 0,2% Nowość
9 Trojan-Downloader.Script.Generic 0,2% -4
10 Trojan.JS.Redirector.ux 0,2% Nowość

 

 enlarge.gif
Exploity wykryte na komputerach użytkowników przez moduł ochrony WWW według atakowanej aplikacji

* Odsetek wszystkich zablokowanych ataków exploitów przeprowadzanych za pośrednictwem sieci.

 


Wykryte nowe modyfikacje mobilnego szkodliwego oprogramowania, kwiecień 2012

 


Liczba nowych sygnatur zagrożeń dla systemu Mac OS X, marzec-kwiecień 2012

20 państw, w których użytkownicy są narażeni na największe ryzyko infekcji za pośrednictwem Internetu

  Kraj % * Zmiana w rankingu
1 Federacja Rosyjska 50 Bez zmian
2 Armenia 47,1 Bez zmian
3 Białoruś 45 +1
4 Kazachstan 44,4 -1
5 Azerbejdżan 42,9 Bez zmian
6 Uzbekistan 42,7 +2
7 Sudan 41,7 Bez zmian
8 Ukraina 40,3 -2
9 Republika Mołdawii 36 Nowość
10 Bangladesz 35,9 Bez zmian

 

 enlarge.gif

10 państw, w których użytkownicy są narażeni na najmniejsze ryzyko infekcji za pośrednictwem Internetu

  Kraj % * Zmiana w rankingu
1 Burkina Faso 6,8238 +5
2 Mali 6,8483 Nowość
3 Benin 7,8883 -1
4 Japonia 8,1372 -1
5 Tajwan 9,577 -4
6 Luksemburg 10,2856 Nowość
7 Dania 11,1927 +4
8 Afryka Południowa 11,7979 Nowość
9 Senegal 11,9672 Nowość
10 Wybrzeże Kości Słoniowej 11,979 Nowość

Przy obliczeniach wyłączyliśmy te państwa, w których liczba użytkowników produktów firmy Kaspersky Lab jest stosunkowo niewielka (niższa niż 10 000). *Odsetek unikatowych użytkowników w danym państwie posiadających komputer z zainstalowanym produktem firmy Kaspersky Lab, który zablokował zagrożenia online.

 

Źródło:
Kaspersky Lab