Главная | Обратная связь | Поможем написать вашу работу!
МегаЛекции

Вредоносные программы в интернете (атаки через веб-ресурсы)




Вредоносные программы в интернете (атаки через веб-ресурсы)

Статистические данные в этой главе получены на основе работы веб-антивируса, который защищает пользователей в момент загрузки вредоносных объектов с вредоносной/зараженной веб-страницы. Вредоносные сайты специально создаются злоумышленниками; зараженными могут быть веб-ресурсы, контент которых создается пользователями (например, форумы), а также взломанные легитимные ресурсы.

Онлайн-угрозы в финансовом секторе

Настоящая статистика основана на детектирующих вердиктах продуктов «Лаборатории Касперского», которые были предоставлены пользователями, подтвердившими свое согласие на передачу статистических данных. Начиная с первого квартала 2017 года, в статистику входят вредоносные программы для ATM и POS-терминалов, но не входят мобильные угрозы.

В третьем квартале 2017 года решения «Лаборатории Касперского» отразили попытки запуска одной или нескольких вредоносных программ для кражи денежных средств с банковских счетов на компьютерах 204 388 пользователей.

Число пользователей, атакованных финансовым вредоносным ПО, третий квартал 2017

География атак

Чтобы оценить и сравнить степень риска заражения банковскими троянцами и ATM/PoS-зловредами, которому подвергаются компьютеры пользователей в разных странах мира, мы подсчитали в каждой стране процент пользователей продуктов «Лаборатории Касперского», которые столкнулись с этой угрозой в отчетный период, от всех пользователей наших продуктов в стране.

География атак банковского вредоносного ПО в третьем квартале 2017 года (процент атакованных пользователей)

TOP-10 стран по проценту атакованных пользователей

  Страна* % атакованных пользователей**
Того 2, 30
Китай 1, 91
Тайвань 1, 65
Индонезия 1, 58
Республика Корея 1, 56
Германия 1, 53
ОАЭ 1, 52
Ливан 1, 48
Ливия 1, 43
Иордания 1, 33

Настоящая статистика основана на детектирующих вердиктах антивируса, которые были предоставлены пользователями продуктов «Лаборатории Касперского», подтвердившими свое согласие на передачу статистических данных.
* При расчетах мы исключили страны, в которых число пользователей «Лаборатории Касперского» относительно мало (меньше 10 тысяч).
** Процент уникальных пользователей «Лаборатории Касперского», подвергшихся атакам банковских троянцев, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране.

TOP 10 семейств банковского вредоносного ПО

TOP 10 семейств вредоносных программ, использованных для атак на пользователей онлайн-банкинга в третьем квартале 2017 года (по доле атакованных пользователей):

  Название* % атакованных пользователей**
Trojan-Spy. Win32. Zbot 27, 9
Trojan. Win32. Nymaim 20, 4
Trojan. Win32. Neurevt 10, 0
Trickster 9, 5
SpyEye 7, 5
Caphaw 6, 3
Trojan-Banker. Win32. Gozi 2, 0
Shiz 1, 8
ZAccess 1, 6
NeutrinoPOS 1, 6

* Детектирующие вердикты продуктов «Лаборатории Касперского». Информация предоставлена пользователями продуктов «Лаборатории Касперского», подтвердившими свое согласие на передачу статистических данных.
** Процент уникальных пользователей, атакованных данным зловредом, от всех пользователей, атакованных финансовым вредоносным ПО.

В третьем квартале 2017 года рейтинг покинули семейства Dridex и Tinba. Одно из освободившихся мест занял наследник умершего банкера Dyre – бот Trickster (9, 5%), также известный как TrickBot. Небольшие изменения произошли в первой тройке зловредных семейств. На первом и втором местах по-прежнему Trojan-Spy. Win32. Zbot (27, 9%) и Trojan. Win32. Nymaim (20, 4%), а вот на третью позицию поднялся Trojan. Win32. Neurevt (10%), чья доля выросла почти на 4 п. п.

Вредоносные программы-шифровальщики

Главные события квартала

Crysis восстает из мертвых

В отчете за второй квартал мы писали, что злоумышленники, стоящие за шифровальщиком Crysis, прекратили распространение этого троянца, а приватные мастер-ключи, необходимые для расшифровки файлов пострадавших, опубликовали в открытом доступе. Это произошло в мае 2017 года, и всякое распространение этого шифровальщика в тот момент полностью остановилось.

Однако спустя почти 3 месяца, в середине августа, мы обнаружили новую волну активного распространения этого, казалось бы, уже «мертвого» троянца. Адреса почты вымогателей оказались новыми, ранее не замеченными в образцах Crysis. В результате детального анализа выяснилось, что появившиеся образцы троянца полностью идентичны старым за исключением новых адресов почты, расширений зашифрованных файлов и публичных мастер-ключей. Всё остальное осталось неизменным, в том числе дата компиляции в PE-заголовке, и, что более интересно, метки, оставляемые троянцем в служебной структуре в конце каждого зашифрованного файла. При пристальном рассмотрении образцов складывается впечатление, что новые распространители не имели исходников зловреда, потому просто взяли старое тело троянца и с помощью hex-редактора подменили в нём ключ и адрес почты для связи.

Вышеописанное наталкивает на мысль, что распространением этого «зомби» занимаются уже другая группа злоумышленников, а не изначальный разработчик троянца, выложивший все приватные ключи в мае.

Поделиться:





Воспользуйтесь поиском по сайту:



©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...