Cразу после публикации моего предыдущего поста  о вредоносных атаках на пользователей Skype знакомая из Венесуэлы прислала мне скриншот своего Skype-клиента с аналогичной (с точки зрения распространения) кампанией, отличающейся, однако, своими целями и происхождением. Вот оригинальный скриншот:

(Перевод с испанского: “это моя любимая фотография с тобой”)

На наших глазах разворачивается новая вредоносная кампания против пользователей Skype. На данный момент она находится в активной фазе.

Атака на потенциальных жертв происходила с применением приемов социальной инженерии: с уже зараженных машин пользователям из списка контактов Skype рассылаются сообщения следующего вида:

i don't think i will ever sleep again after seeing this photo http://www.goo.gl/XXXXX?image=IMG0540250-JPG

tell me what you think of this picture i edited http://www.goo.gl/XXXXX?image=IMG0540250-JPG

По данным службы коротких ссылок Goo.gl, до 4-го апреля вредоносная ссылка собрала более 170 тысяч кликов. При этом кампания велась весьма активно – около 10 тысяч кликов в час, или примерно 2,7 кликов в секунду!

Большинство жертв находятся на территории России и Украины:

Уже немало сказано о новейшем вредоносном ПО, распространяемом через сервис мгновенных сообщений Skype. Я лишь хотел добавить то, о чем еще не упоминалось. Прежде всего, это дата начала атаки. По данным сервиса коротких ссылок Google, это произошло 6 октября:

Нет, он ещё жив, особенно в Латинской Америке. Каждый день мы фиксируем множество подобных атак, которые проводятся с использованием локальных DNS-настроек. На самом деле эти атаки немного другие: они вносят изменения в локальный HOST-файл, но принцип тот же — перенаправление жертвы на вредоносный хост через вредоносные DNS-записи.

Латиноамериканские киберпреступники обычно используют повторно старые технологии, которые в прошлом уже использовались в других регионах, и сейчас идет рост количества атак, которые проводятся с использованием локальных DNS-настроек. Примером является последняя вредоносная атака, в которой были задействованы приёмы социальной инженерии, когда злоумышленники выдавали себя за сотрудников налоговой службы Мексики.

Известная бразильская актриса Каролина Дикманн недавно стала жертвой кибератаки: преступники похитили ее собственность — фотографии актрисы в обнаженном виде, хранившиеся на ее компьютере. Многие или, возможно даже все фотографии, попали в Интернет. Этот случай послужил хорошим стимулом для того, чтобы правительство Бразилии задумалось о необходимости новых законов о противодействии киберпреступности (действующее законодательство было принято еще в 40-х годах прошлого века). Результатом стал новый закон, который был представлен для обсуждения и который предусматривает до двух лет тюремного заключения за преступления такого рода. Это движение в правильном направлении! Статью на португальском, опубликованную в СМИ, можно прочитать здесь.

Теперь я бы хотел вспомнить несколько атак, проведенных киберпреступниками, и связать их с менталитетом бразильских злоумышленников. Как правило, они хотят всё и бесплатно.

Мы обнаружили вредоносные электронные рассылки, ведущие на специально зарегистрированные домены с поддельными сертификатами и JAVA-приложениями, устанавливающими вредоносный код.

Забывчивость или недооценка опасности – основные причины потери данных во всем мире. Во время своей последней поездки я обнаружил в зале аэропорта любопытные планшетные устройства на платформе Android, интегрированные с внешней клавиатурой для общественного использования и подсоединённые к сети Интернет.

Будет ли сервис Bouncer эффективным инструментом в борьбе с вредоносным ПО в приложениях на базе Android?

Компания Google приняла правильные и, безусловно, необходимые меры, однако полностью проблема пока не решена. Судя по опубликованным об этом сервисе данным, все приложения будут проверяться на наличие уже известного вредоносного ПО. Другими словами, будет применяться система мультисканирования или нечто подобное, а значит, качество детектирования будет напрямую зависеть от того, какой антивирусный движок для анализа приложений будет использовать Google. Качество у всех движков очень разное, поэтому существует вероятность того, что некоторые вредоносные приложения не будут квалифицированы как вредоносные. Еще одним шагом Google станет эмуляция. Прием хороший, однако и его можно обойти: с помощью «обмана» эмулятора или запрограммировав приложение «вести себя» во время эмуляции как невредоносное. Короче говоря, те же приемы, которые используются для преодоления защиты Windows, теперь могут применяться и на Android.

Наверное, самая плохая ситуация — когда веб-сайт банка содержит вредоносную рекламу: неизвестно, какие программы и когда будут установлены на ваш компьютер, если кликнуть на рекламный баннер.

Нечто похожее происходит и с веб-сайтами, посвященными IT-безопасности, на которых размещена вредоносная реклама. Предполагается, что подобные сайты предоставляют сведения о том, как защитить свой компьютер от IT-угроз. Заходя на такой сайт, пользователи уверены в том, что его содержимое полностью безопасно, однако на деле из-за рекламных баннеров этим ресурсам нельзя доверять.

Знакомо ли вам такое?

Недавно появились сообщения о том, что «облачные» сервисы компании Amazon были успешно использованы злоумышленниками для атак на Sony. А на днях я обнаружил, что с помощью Amazon Web Services (того самого «облака») распространяются зловреды, крадущие финансовые данные.