Компания «Доктор Веб» обнаружила спам-рассылку, нацеленную на распространение троянца-кодировщика под видом банковского отчета о задолженности.

Русскоязычные «сообщения об увеличении долга», распространяемые от имени сервиса Сбербанк ОнЛ@йн, уведомляют получателя, что он якобы превысил максимальную отсрочку платежа. Для просмотра соответствующей статистики ему предлагается пройти по ссылке, которая при активации загружает rar- или zip-архив, содержащий вредоносный файл с расширением .scr.

При запуске этого файла все документы и изображения, хранящиеся на жестком диске, шифруются, а на экран выводится извещение о заражении. Для возврата доступа к информационным файлам жертве предлагается написать письмо на электронный адрес, указанный злоумышленниками.

Всем, кто стал заложником данного зловреда, «Доктор Веб» советует зафиксировать факт преступления в полиции и оформить запрос на бесплатное лечение в службе техподдержки компании. Эксперты предостерегают пострадавших от таких опрометчивых действий, как переустановка ОС, удаление каких-либо файлов или самостоятельное восстановление зашифрованной информации.

Как уже упоминалось в прошлом блогпосте про Flame, его объем кода и функциональность настолько обширны, что их полный анализ займёт несколько месяцев. Мы планируем по мере обнаружения публиковать наиболее важные и интересные подробности, связанные с его функционалом.

В данный момент мы получаем множество запросов о том, как проверить компьютеры на наличие заражения Flame. Естественно, самый простой ответ (для нас) — это посоветовать использовать Анитвирус Касперского или Kaspersky Internet Security. Наши продукты успешно детектируют и удаляют все возможные модификации главного модуля и дополнительных компонентов Flame.

Однако для тех, кто хочет сам провести тщательную проверку, в конце статьи мы даем необходимые рекомендации и советы.

MSSECMGR.OCX

Основной модуль Flame — это DLL-файл под названием mssecmgr.ocx. Мы обнаружили две модификации этого модуля. На большинстве заражённых машин содержалась «большАя» версия — 6 Мбайт, которая содержит в себе и развёртывает дополнительные модули. «Малая» версия весит всего 900 Кбайт и не содержит дополнительных модулей. После установки малый модуль соединяется к одному из C&C-серверов и пытается загрузить оттуда и установить оставшиеся компоненты.

Вирусы Duqu и Stuxnet повысили градус кибервойны на Ближнем Востоке, однако недавно мы обнаружили, пожалуй, самое изощренное кибероружие на сегодняшний день. Червь Flame, созданный для кибершпионажа, попал в поле зрения экспертов «Лаборатории Касперского» при проведении исследования по запросу Международного союза электросвязи (МСЭ), обратившегося к нам за содействием в поиске неизвестной вредоносной программы, которая удаляла конфиденциальные данные с компьютеров, расположенных в странах Ближнего Востока. В процессе поиска этой программы, получившей название Wiper, мы обнаружили новый образец вредоносного ПО, который был назван Worm.Win32.Flame.

Хотя Flame имеет иной функционал, чем печально известные образцы кибероружия Duqu и Stuxnet, все эти вредоносные программы имеют много общего: географию атак, узкую целевую направленность в сочетании с использованием специфических уязвимостей в ПО. Это ставит Flame в один ряд с «кибернетическим супероружием», развертываемым на Ближнем Востоке неизвестными злоумышленниками. Без сомнения, Flame является одной из самых сложных киберугроз за всю историю их существования. Программа имеет большой размер и невероятно сложную структуру. Она заставляет переосмыслить такие понятия, как «кибервойна» и «кибершпионаж».

Подробную информацию об этой изощренной угрозе читайте ниже.

Британского контент-провайдера обязали вернуть на счета абонентов все деньги, списанные в его пользу с помощью SMS-троянца. A1 Agregator Limited уплатит также 50 тыс. фунтов стерлингов штрафа (около 78,4 тыс. долл.) за мошенничество и нарушение кодекса профессиональной этики.

Эта санкции были утверждены после должного расследования PhonepayPlus, регулятором сферы премиум-услуг Соединенного Королевства. В декабре прошлого года в эту организацию поступили 34 жалобы на необъяснимую утечку денежных средств с абонентских счетов, которые стали регулярно таять после установки новых программ. Данные приложения представляли собой репаки популярных игр, таких как Angry Birds, Assassins Creed, Cut the Rope, и позиционировались в разных Android-магазинах как бесплатные.

Как и следовало ожидать, вместе с пиратской копией игры на смартфоны заявителей попала вредоносная программа, способная отсылать без ведома пользователя текстовые сообщения на короткий номер. Соответствующий премиум-сервис бомбардировал жертву ответными SMS, каждое из которых обходилось абоненту в 5 фунтов (свыше 7,8 долл.). При этом зловред прятал от пользователя входящие уведомления о списании средств в пользу номера, которому он приносил барыши. Обмен разорительными SMS продолжался до тех пор, пока жертва не догадывалась удалить новую «игрушку».

По свидетельству экспертов, данный SMS-троянец умеет использовать короткие номера в 18 странах и был скачан с Android Market 14 тыс. раз, прежде чем Google изгнала его из своего магазина и заблокировала аккаунты соответствующего разработчика. По оценке PhonepayPlus, в Великобритании от мошеннической схемы пострадали около 1,4 тыс. абонентов, совокупно потерявших свыше 27,8 тыс. фунтов (43,5 тыс. долл.). К счастью, благодаря оперативным действиям регулятора и участников рынка мошеннический номер был быстро заблокирован, и краденые деньги не успели уйти к хозяевам зловреда.

Провинившийся премиум-провайдер A1 Agregator был опознан одним из держателей сервиса коротких номеров как субподрядчик, который еще не успел завершить регистрацию в PhonepayPlus. Новобранцу предписано в 3-месячный срок вернуть всем пострадавшим деньги, украденные с помощью троянца, в том числе тем, кто не заявил о потере, и представить регулятору соответствующую документацию. В течение года ему также придется обращаться в PhonepayPlus за разрешением каждый раз, когда он вздумает предложить британцам какие-либо премиум-услуги. Что касается кодекса профессиональной этики, A1 Agregator нарушил сразу несколько правил, в том числе оказывал услуги, не имея регистрации; скрывал от абонентов стоимость сервиса; взимал плату, не заручившись согласием пользователей на оказание услуг. Согласно последним поправкам к британскому кодексу премиум-провайдеров, активность абонентского номера, сымитированная зловредом, не может считаться основанием для выставления счета.

За соучастие в групповом мошенничестве городской суд Йошкар-Олы приговорил Леонида Крючкова, 1980 года рождения, к 7,5 годам лишения свободы.

Согласно материалам дела, сей житель республики Марий Эл входил в состав крупной ОПГ, действовавшей на территории республики в 2004-2007 гг. Данная группировка специализировалась на вовлечении иностранцев в переписку с российскими «невестами», выуживая у них деньги от имени подставных возлюбленных. С этой целью брачные аферисты арендовали несколько квартир, оборудовали их компьютерами и наняли фрилансеров, которые круглосуточно строчили послания сетевым романтикам. За 3 года участники мошеннической схемы выманили у жителей далекого зарубежья свыше 5,5 млн. рублей.

Следуя указаниям главарей, Крючков тоже сочинял «романы в письмах», зарегистрировавшись на сайте знакомств под видом симпатичной девушки. В ходе расследования, проведенного местными блюстителями порядка совместно с американскими коллегами, были выявлены 2 жертвы его эпистолярного гения. Поддавшись чарам «перспективной невесты», оба жителя США в совокупности перевели мошенникам 29,7 тыс. рублей.

Крючкову инкриминировали правонарушение, предусмотренное ч. 4 ст. 159 УК РФ (мошенничество, совершенное организованной группой). Признать вину ответчик отказался, однако суд счел его участие в деятельности преступной группы доказанным. Назначенный срок перезрелая «невеста» будет отбывать в исправительной колонии строгого режима.

Процесс в отношении данной ОПГ был запущен в Марий Эл в 2010 году. Крючков ― 62-й фигурант, осужденный в рамках этого судебного разбирательства. Самый большой срок, который получили его «коллеги по цеху», составил 4,5 года. Вердикт, вынесенный по делу Крючкова, побил этот рекорд. Останется ли он предельным, покажет будущее: решения своей участи ожидают еще 23 ответчика.

Компания Sophos предупреждает о вредоносной рассылке, нацеленной на распространение SpyEye под видом обновления для Adobe Flash.

Мошенническое сообщение оформлено в виде запроса Facebook на подтверждение просьбы о закрытии аккаунта, якобы поданной получателем. Для согласия или отмены ему предлагается пройти по указанной ссылке, которая, по свидетельству экспертов, не ведет на служебную страницу социальной сети, но вызывает стороннее приложение, работающее на этой платформе.

При активации мошеннической ссылки появляется сообщение, запрашивающее разрешение на загрузку Java-апплета неопределяемого происхождения. При отказе программа проявляет настойчивость до тех пор, пока пользователь не согласится запустить плагин. Очевидно, злоумышленники сделали ставку на то, что страх потерять ценный профиль заставит потенциальную жертву отважиться на все действия, подсказываемые компьютером, ― вопреки предупреждениям системы безопасности.

При запуске апплета пользователю выводится уведомление о необходимости обновить Adobe Flash. В случае успеха вместо обновления в системную папку будут загружены два вредоносных файла, один из которых был опознан Sophos как вариант SpyEye.

По данным американского Центра приема жалоб в отношении киберпреступлений (Internet Crime Complaint Center, IC3), наиболее распространенными видами фрода в минувшем году являлись аферы, проводимые от имени ФБР, а также противозаконное использование персональных данных жертвы (identity theft) и мошенничество с предоплатой (advance-fee fraud).

За год IC3, функционирующий под эгидой ФБР, получил и обработал свыше 300 тыс. жалоб от жителей США и других стран ― на 3,4% больше, чем в предыдущем году. В 36,9% случаев заявитель понес финансовые потери, сумма которых в среднем составила около 4,2 тыс. долл. Совокупный ущерб от действий мошенников по всем обращениям превысил 485 млн. долларов.

Около 10% жалоб, поданных в IC3, касались мошенничества с надомной работой. Общая сумма убытков от этих схем превысила 20 млн. долл. Не секрет, что зачастую work at home предложения распространяются с целью вербовки помощников по отмыванию грязных денег, которые будут за вознаграждение аккумулировать краденые капиталы на своем счету или реализовывать товары, купленные на деньги жертвы фишинга. Трудоустройство такого рода весьма рискованно: если правоохранительные органы заинтересуются незаконными операциями, пособники аферистов, подчас не сознающие своей роли в мошеннической схеме, могут первыми попасть под раздачу.

Свыше 5,6 тыс. жалоб (1,8%) поступили от неисправимых романтиков, использующих интернет для поиска «второй половинки». Уступая просьбам и капризам сетевых ромео и джульетт, страдающие от одиночества жертвы слишком поздно обнаруживают, что их избранники ― вовсе не те, за кого себя выдают. Согласно статистике IC3, в прошлом году совокупные потери от брачного мошенничества составили 50,4 млн. долл. Большинству жертв больше 40 лет, причем женщины, судя по результатам, попадаются на эту удочку в 2 раза чаще мужчин (или более смело обнародуют свой промах). Суммы индивидуальных потерь прекрасной половины в этой категории в 4 раза выше ― за исключением возрастной категории 20-29 лет. Видимо, зрелые дамы склонны сильно увлекаться и долго не могут поверить в обман либо просто более самоотверженны и щедры.

27-летний житель Калининграда, обвиненный голландцами в противоправном использовании бот-сети Bredolab, приговорен в Ереване к 4 годам лишения свободы.

Георгий Аванесов осужден за совершение правонарушений, предусмотренных ч.3 ст. 253 УК Армении (компьютерный саботаж, сопряженный с несанкционированным доступом к компьютерной системе, повлекший тяжкие последствия). Ему инкриминировали создание ботнета и проведение с его помощью DDoS-атак на сетевые ресурсы.

Ботнет Bredolab появился на интернет-арене в середине 2009 года. Лежащий в его основе зловред распространяется через спам-рассылки и drive-by загрузки, наделен функционалом бэкдора и способен рассылать спам, проводить DDoS-атаки, а также загружать на зараженный компьютер другие вредоносные программы. По оценкам экспертов, за время своего присутствия в Сети Bredolab поразил около 30 млн. пользовательских ПК.

Большая часть управляющих центров зловреда была нейтрализована голландцами в октябре 2010 года. Главного ботовода идентифицировали и объявили в розыск через Интерпол. Совместными усилиями разных стран Аванесова удалось задержать в ереванском аэропорту, и до суда он находился под стражей.

Тем не менее, с Bredolab еще не покончено. Сразу после масштабного разгрома эксперты FireEye обнаружили несколько активных C&C доменов, продолжающих поддерживать командный трафик. Спустя несколько месяцев была предпринята агрессивная попытка засеять Bredolab заново ― через zip-вложения в спам, распространяемый с ботов Cutwail. Аналогичные спам-рассылки, использующие формат уведомления о недоставке почтового вложения, эксперты фиксировали на протяжении всего прошлого года. Согласно статистике Symantec, Bredolab составлял полезную нагрузку 7,5% писем, заблокированных за год антивирусами компании.

Предполагаемый сообщник Аванесова, некий россиянин, использующий ник Birdie, пока не выявлен. По данным Кребса, оба ботовода сотрудничали со спамерской «партнеркой» SpamIt, предлагая ее участникам доступ к бот-сетям. Birdie, в основном, продавал загрузки, принимая заказы на установку других зловредов на машины, зараженные Bredolab.

За I квартал текущего года в ведущей десятке стран-источников хакерских атак, публикуемой NCC Group, произошли существенные изменения.

В новом Топ 10 фигурирует Великобритания, которая за 3 месяца удвоила свой показатель и поднялась с 15 на 7 место (2,4% попыток несанкционированного вторжения). В 3,5 раза выросли доли России (12,4%) и Нидерландов (11,4%), при этом первая сохранила 3 место, а вторая поднялась на 4-ю ступень.

Непочетный список по-прежнему возглавляют США и Китай, однако их вклад уменьшился на несколько пунктов, до 17,4 и 13,7% соответственно. Бразилия (2,0%) спустилась с 4 на 10 позицию, Италия, Франция и Индия покинули Топ 10, а вакантные места, помимо Великобритании, заняли Украина (5-е) и Южная Корея. В итоге Западная Европа сократила все присутствие в Топ 10 на 1 позицию.

Напомним, что рейтинг NCC составляется на основе данных о хакерских атаках, собранных DSHield-комьюнити. Статистика, фиксируемая в рамках этого проекта, запущенного SANS, учитывает все попытки взлома, включая трафик, который для сокрытия источника направляется через IP-адреса других стран.

Окружной суд Лос-Анджелеса приговорил 26-летнюю жительницу Калифорнии к 5 годам лишения свободы за соучастие в организации массовой кражи денежных средств со счетов Bank of America и Wells Fargo с помощью фишинга.

Согласно материалам дела, возбужденного в рамках трансграничной операции Phish Phry, Николь Мишель Мерци (Nichole Michelle Merzi) вместе с двумя другими главарями руководила процессом отмывания денег, украденных посредством фишинга, на территории США. Доступ к банковским счетам обеспечивали их египетские сообщники, занимавшиеся созданием поддельных веб-сайтов и рассылкой фишинговых посланий. Все финансовые операции по взломанным счетам и вербовку агентов по отмыванию денег («дропов») проводила американская сторона, координируя перекачку чужих денег на подставные счета, открытые наемниками в разных штатах. Часть «выручки» в виде комиссионных за фишинг переводилась в Египет. По оценке ФБР, от действий мошенников пострадали тысячи клиентов названных банков, потерявшие в совокупности свыше 1 млн. долларов.

Параллельные аресты в США и АРЕ были проведены осенью 2009 года. Судьба 47 египтян, задержанных в ходе Phish Phry, неизвестна, из 53 американских участников фишинговой схемы к суду привлечены и признаны виновными 47 (вместе с Мерци). Бывший бой-френд Мерци, Кеннет Джозеф Лукас 2-й (Kenneth Joseph Lucas, II), который вместе с ней руководил американскими «дропами», был осужден летом прошлого года. По совокупности правонарушений (ему также инкриминировали разведение конопли в домашних условиях) он получил 13 лет. Третий главарь, Джонатан Престон Кларк (Jonathan Preston Clark), признал свою вину и ожидает приговора.

Группа независимых исследователей HostExploit представила новый инструмент, позволяющий отслеживать географическое распределение и концентрацию зловредного контента в интерактивном режиме. Проект Global Security Map был разработан совместно с российскими экспертами Group-IB и датской аналитической компанией CSIS.

Интерактивная карта киберопасности является пробной попыткой отобразить в географической привязке флуктуацию уровней вредоносной активности, замеряемой по особой методике HostExploit. Разработанный экспертами алгоритм индексации уже несколько лет применяется ими для оценки загрязненности АС-систем; результаты регулярно публикуются в виде квартальных отчетов Top 50 Bad Hosts & Networks («50 самых неблагополучных хостов и сетей»). Отныне эта же статистика и история ее изменений будут доступны на отдельном сайте в разделении по странам.

В настоящее время в базе HostExploit числятся около 41 тыс. публичных АС-систем разной величины, и точно привязать их к определенным регионам порой чрезвычайно трудно. Одним из верных показателей географической принадлежности АС, по мнению экспертов, является страна ее регистрации. Для получения результатов по региональным доменам в каждом были просуммированы уровни криминальной активности по всем прописанным в нем АС. Итоговые сводные рейтинги Топ 10 и Топ 50 неблагополучных стран участники проекта Global Security Map представили в дебютном отчете о глобальной безопасности.

Известная бразильская актриса Каролина Дикманн недавно стала жертвой кибератаки: преступники похитили ее собственность — фотографии актрисы в обнаженном виде, хранившиеся на ее компьютере. Многие или, возможно даже все фотографии, попали в Интернет. Этот случай послужил хорошим стимулом для того, чтобы правительство Бразилии задумалось о необходимости новых законов о противодействии киберпреступности (действующее законодательство было принято еще в 40-х годах прошлого века). Результатом стал новый закон, который был представлен для обсуждения и который предусматривает до двух лет тюремного заключения за преступления такого рода. Это движение в правильном направлении! Статью на португальском, опубликованную в СМИ, можно прочитать здесь.

Теперь я бы хотел вспомнить несколько атак, проведенных киберпреступниками, и связать их с менталитетом бразильских злоумышленников. Как правило, они хотят всё и бесплатно.

Мы обнаружили вредоносные электронные рассылки, ведущие на специально зарегистрированные домены с поддельными сертификатами и JAVA-приложениями, устанавливающими вредоносный код.

20-летний английский студент, воровавший персональные данные с помощью кей-логгера, приговорен к 1,5 годам тюремного заключения.

Согласно материалам дела, Льюис Мартин (Lewys Martin) предлагал нетерпеливым участникам популярной видеоигры Call of Duty некий «патч», в котором скрывался троянский кей-логгер. С его помощью предприимчивый юнец собирал финансовые реквизиты игроков и их идентификаторы к различным аккаунтам, включая Paypal, а затем продавал краденую информацию в интернете. Вырученные от продаж деньги он переводил на свой счет в Коста-Рике.

Поймать вирусописателя удалось лишь после того, как он во хмелю совершил несколько попыток выкрасть из университетских колледжей компьютерное оборудование. При обыске у Мартина были найдены распечатки свыше 300 номеров кредитных карт и паролей. Полицейские также обнаружили документы для оформления банковской ссуды в размере 3 тыс. фунтов стерлингов (свыше 4,7 тыс. долл.) на имя Льюиса Мэнсера (Lewys Manser).

В ноябре прошлого года кентерберийский уголовный суд отложил вынесение приговора компьютерному вору и мошеннику, чтобы дать ему возможность дослушать компьютерный курс в местном университете. Однако не прошло и 4-х месяцев, как отпущенный на поруки студент вместе с собутыльником вновь вломился в здание колледжа и попытался вынести кинопроектор, компьютер, жесткий диск, портативные рации и другие устройства.

На счету Мартина уже 12 судимостей, однако, по словам его защитника, юный фанат компьютерной техники обещал покончить с алкоголем и наркотиками, дабы не впадать в искушение. На суде он вновь умолял присяжных разрешить ему закончить учебу, чтобы иметь возможность употребить приобретенные знания на благие дела, однако судья посчитал, что свой шанс правонарушитель уже упустил. В настоящее время служба уголовного преследования графства Кент пытается склонить коста-риканский банк к сотрудничеству и конфисковать капиталы, нажитые противозаконными методами. По словам Мартина, на его оффшорном счету скопились тысячи фунтов стерлингов.

Уже c осени прошлого года разработка головного модуля SpyEye остановилась на версии 1.3.48. Эта версия и доминирует в настоящее время в потоке самплов этого семейства.

Распределение SpyEye по версиям за период с 1 января 2012 г.*
* К другим версиям (7%) относятся 1.2.50, 1.2.58, 1.2.71, 1.2.80, 1.2.82, 1.2.93, 1.3.5, 1.3.9, 1.3.25, 1.3.26, 1.3.30, 1.3.32, 1.3.37, 1.3.41, 1.3.44

То, что автор не развивает платформу, не мешает SpyEye обзаводиться новыми функциями. Все дело в возможности разрабатывать и подключать плагины (библиотеки dll), которые может создать кто угодно. Проанализировав самплы SpyEye с начала года, я насчитал 35 плагинов. Ниже в таблице приведены эти дополнительные модули с указанием количества самплов, в которых они встретились:

30 мая в столице Нигерии Лагосе будет приниматься решение об экстрадиции участника фишинговой группировки, против которой выдвинуты обвинения в американском штате Нью-Джерси.

По свидетельству ФБР, 7 нигерийцев, шестеро из которых давно обосновались в США, на протяжении года грабили банковские и зарплатные счета американцев, выуживая персональные идентификаторы с помощью фишинговых рассылок и поддельных сайтов. Получив доступ к чужим счетам, они связывались с банками по телефону и выводили краденые деньги переводами Western Union и Moneygram в другие штаты, Мексику, Великобританию, Латвию, Францию, Болгарию, Россию и Нигерию. Общая сумма мошеннических переводов составила 3,5 млн. долларов, из них 1,3 млн. фишеры успешно изъяли.

Подставной счет на территории Нигерии держал 26-летний выпускник местного университета Оланийи Виктор Макинде (Olaniyi Victor Makinde), который также подрабатывал в Сети, играя роль перспективной «невесты». Его альтер эго Бренда Стюарт умудрилась своими «капризами» выставить двоих американцев на 620 тыс. долл. В сентябре прошлого года нигерийским властям удалось арестовать фальшивую «невесту», которую они вычислили с помощью ФБР. В связи с новыми обвинениями ― в фишинге ― дело о брачном мошенничестве было приостановлено, и Макинде предстоит воссоединиться с другими «коллегами по цеху» на территории США.

Выявить остальных сообщников ФБР не составило труда. Двое из них задержаны в Джорджии, где они незадолго до этого отбывали срок за подделку банковских чеков. Обвинения по делу о групповом фишинге были официально оглашены в конце января текущего года.

Эксперты GFI Software обнаружили массовую рассылку вредоносных URL с поддельных Twitter-аккаунтов.

Зловредные твиты приглашают русскоязычных пользователей принять участие в свинг-вечеринке, англоязычных ― посмотреть на сексапильных дамочек. Все они доступны как с компьютера, так и со смартфона и снабжены ссылкой на внешний ресурс, размещенный в доменной зоне .tk. Последний по сути является редиректором и перенаправляет пользователя на страницу в зоне .ru, рекламирующую антивирусный сканер для Android-устройств.

При заходе на нее со смартфона потенциальной жертве воспроизводится русскоязычный текст, извещающий владельца устройства о заражении системных файлов с предложением активировать защиту. При нажатии соответствующей кнопки происходит загрузка и установка некоего файла, именуемого VirusScanner; на ПК он загружается с расширением .jar, на смартфон ― с .apk. Первый при выполнении выдает ошибку, второй содержит лжеантивирус, который с успехом инсталлируется на мобильном устройстве под логотипом Лаборатории Касперского.

По данным Websense, количество фишинговых сайтов, размещенных на территории Канады, за год увеличилось на 170%, число C&C ботнетов ― на 39%, вредоносных сайтов на 239%.

Предыдущее исследование профиля этой страны в отношении рисков, связанных с вредоносной активностью, эксперты провели в мае прошлого года. Новая статистика, собранная за истекший период, показала разительное ухудшение результатов. По итогам января-мая Канада заняла 2-ю позицию в Топ 10 стран, приютивших ловушки фишеров. Непочетный рейтинг от Websense возглавляют США, третье место занимает Египет. В десятку лидеров входят также европейские страны, а замыкают ее Россия и Израиль.

По словам экспертов, в недавнем прошлом основная масса вредоносного контента размещалась, как правило, на серверах Европы. Похоже, настало время перемен, злоумышленники активно мигрируют в регионы с более «чистой» репутацией. Примечательно, что канадцы не торопятся исправлять ситуацию: за год Websense не зафиксировала ни одной кампании по массовому истреблению зловредных площадок. Вредоносные сайты, размещенные на территории Канады, сохраняют свою активность дольше, чем в других странах, что указывает на низкую эффективность взаимосвязи публичного и частного секторов интернет-индустрии.

Во 2-й половине прошлого года Антифишинговая рабочая группа (Anti-Phishing Working Group, APWG) зафиксировала немногим более 83 тыс. уникальных фишинговых сайтов ― на 26% меньше, чем в предыдущем полугодии. По мнению экспертов, одной из главных причин уменьшения этого показателя является сокращение использования фишерами виртуальных серверов, взлом которых позволяет им создать целую сеть сайтов-ловушек, привязанных к общей хостинг-площадке.

Количество институтов, избранных фишерами в качестве мишеней, также уменьшилось ― до 487 против 520 в I полугодии. При этом объектами 78% фишинговых атак (уникальных подделок) являлись лишь 20 организаций. Список мишеней, облюбованных фишерами, впервые возглавил китайский аналог eBay и Amazon ― коммерческий сервис Taobao.com, на долю которого в отчетный период пришлось 22,2% имитаций. Бывший лидер этого рейтинга PayPal занял второе место с большим отрывом (8,6% атак).

Особой активностью по-прежнему отличались фишеры, действующие на территории Китая. За II полугодие они использовали свыше 22,2 тыс. поддельных сайтов для проведения кибератак против китайских организаций ― на 26,7% больше, чем в январе-июне. Больше трети из них были бесплатно зарегистрированы фишерами в доменной зоне .tk (Токелау), свыше 30% ― на поддоменах .pl и .cc.

В целом за полугодие фишеры использовали около 50,3 тыс. доменных имен. 39,5% фишинговых сайтов были привязаны к TLD-зоне .com, 9,2% ― к зоне .tk, 7,4% к .pl. Самая высокая плотность абьюзов зарегистрирована в национальных зонах Токелау, Индии и Таиланда, в которых на 10 тыс. зарегистрированных доменов было обнаружено 12,0, 11,7 и 10,6 фишерских имен соответственно при медианном показателе 3,2 (в зоне .com, например, он составил 2,3). По данным APWG, более половины сайтов, созданных фишерами в зоне .in, имитировали игровой сервис Battle.net.

Четверть доменов, используемых для фишинга, были зарегистрированы со злым умыслом, остальные принадлежали владельцам взломанных ресурсов. 62% доменов, зарегистрированных фишерами, использовались для проведения атак на территории Китая. 93% злонамеренных регистраций пришлось на долю TLD-зон .tk, .com, .info и .in, причем на долю первой ― 57%. За июль-декабрь исследователи также насчитали свыше 16,66 тыс. уникальных поддоменов, используемых фишерами, на которых были размещены 17,39 тыс. уникальных сайтов-ловушек ― на 38% больше, чем в предыдущем полугодии.

Среднее время жизни фишинговых сайтов продолжает сокращаться и в минувшем полугодии составило 46 часов 3 минут при медианном значении 11 часов 43 минуты. Быстрее всего эти сайты закрывают в зонах .info, .org, .tk и .cc ― благодаря агрессивной политике операторов соответствующих реестров в отношении абьюзов. Сроки службы подделок, ориентированных на китайских пользователей, не известны, так как китайский инфоцентр CNNIC (China Internet Network Information Center), предоставляющий APWG данные о местном фишинге, их не фиксирует.

Забывчивость или недооценка опасности – основные причины потери данных во всем мире. Во время своей последней поездки я обнаружил в зале аэропорта любопытные планшетные устройства на платформе Android, интегрированные с внешней клавиатурой для общественного использования и подсоединённые к сети Интернет.

Не так часто приходится анализировать вредоносные файлы, написанные в виде плагинов к кроссплатформенным браузерам. Еще реже встречаются плагины, написанные на кроссбраузерных движках. В данной публикации мы рассмотрим червя для социальной сети Facebook, написанного с использованием системы Crossrider, которая всё еще находится в стадии бета-тестирования.

Картинка с сайта http://crossrider.com

В IV квартале 2011 года защитные решения Microsoft обнаружили Conficker на 1,7 млн. компьютеров. Общее число атак, проведенных червем по этой базе, составило около 59 миллионов.

Несмотря на ограничительные меры, принятые специализированной рабочей группой и прочими активистами, Conficker, он же Kido, до сих пор возглавляет списки самых распространенных угроз в корпоративных сетях. Согласно статистике Microsoft, в октябре-декабре он был ответственен за 13,5% локальных заражений, зафиксированных в сфере бизнеса. Живучесть грозному червю обеспечивает широкий арсенал средств самозащиты и способов распространения. По данным Microsoft, 92% современных заражений Conficker происходит путем взлома или кражи административных паролей, 8% ― посредством эксплуатации брешей, которые жертвы не удосужились вовремя закрыть.

Тем не менее, в общем списке локальных угроз, обнаруженных MS-антивирусами в III-IV кварталах, Conficker занял лишь 6-е место. Наибольшее количество детектов пришлось на потенциально нежелательное ПО (PUPs) ― кейгены и adware. В пятерку лидеров вошли также autorun-черви и Sality. В абсолютном выражении число заражений сильно возросло в Германии (на 30,4% за квартал) и России (на 28,5%). В первой преобладают SpyEye, JS-компонент Blackhole и кейгены, во второй ― разные PUPs (57,2% детектов), троянцы (39,1%) и эксплойты (преимущественно Blackhole, 17,4%) . Из PUPs у россиян обнаружены фейковые инсталляторы Win32/Pameseg, требующие отправки дорогих SMS за установку приложений, а также кейгены и многокомпонентные программы показа рекламы Win32/Vundo, которые маскируются под расширение браузера и умеют загружать и запускать произвольные файлы.

Самые высокие уровни заражений, зафиксированных в IV квартале, наблюдались в Пакистане, Палестине и Турции, а также в Албании и Египте. Частота детектов в этих странах составила 22,7-32,9 на 1 тыс. прогонов MSRT (Malicious Software Removal Tool — специализированное средство удаления вредоносных программ для Microsoft Windows). Среднестатистический показатель по всему миру за тот же период намного ниже ― 7,1 (в России 7,2).

Актуальная статистика по Conficker и прочим угрозам с разбивкой по регионам представлена в глобальном отчете Microsoft за II полугодие, который можно скачать на сайте компании.

Генпрокуратура РФ утвердила обвинительное заключение по уголовному делу об умышленном блокировании платежного шлюза ASSIST. Дело направлено в Тушинский суд г. Москвы для рассмотрения по существу.

Напомним, что DDoS-атака на сетевые ресурсы ООО «Ассист» была проведена в июле 2010 года. В результате доступ к системе обработки платежей оказался заблокированным, и крупнейший клиент сервис-провайдера, ОАО «Аэрофлот», не смог осуществлять продажи авиабилетов онлайн. Расследование, проведенное силами ФСБ, позволило установить, что заказчиком и дирижером варварского нападения являлся владелец процессингового центра ChronoPay Павел Врублевский, который решил таким образом отбить лакомого клиента у своего конкурента.

Провели заказную DDoS-атаку два брата, Игорь и Дмитрий Артимовичи, которые использовали для этого собственную бот-сеть. Врублевский общался с наемниками через своего подчиненного, ведущего специалиста службы информационной безопасности Максима Пермякова, и заплатил им за услуги свыше 20 тыс. долл. Убытки Ассист оцениваются в 15 млн. руб., Аэрофлота ― в 146,7 млн. руб.

Кабинет министров Украины принял новую редакцию правил в сфере телекоммуникационных услуг. Обновленный регламент обязывает операторов и абонентов не проводить (а последних ― и не заказывать) спам-рассылки.

В предыдущей редакции было приведено лишь определение спама, однако прямого запрета на его распространение не было. В итоговой трактовке спамом являются «электронные, текстовые или мультимедийные сообщения, которые без предварительного согласия потребителя умышленно и массово рассылаются на адрес электронной почты или абонентское конечное устройство, за исключением сообщений оператора или сервис-провайдера». При этом абонент вправе потребовать от оператора прекратить предоставление услуг, которые он не заказывал, включая рассылку спама.

В правила введены также положения, регламентирующие предоставление контент-услуг. Оператор обязан предварительно сообщить потребителю о названии контент-услуги и тарифе, а также дать ему возможность подтвердить свое согласие (на это отводится 12 секунд). Предоставлять услуги без согласия абонента запрещается. При наличии технической возможности информацию о списанных суммах следует сообщать потребителю незамедлительно

С введением новых правил предыдущая редакция (2005 года) теряет силу.

По оценке Symantec, в минувшем году суточная норма спама в электронной почте уменьшилась на треть ― до 41,1 млрд. сообщений против 61,6 млрд. в 2010 году. Содержание мусора в почтовом трафике снизилось на 13,4 пункта и составило 75,1%.

Наиболее высокие уровни спама

Вклад ботнетов в спам-трафик уменьшился на 9,4 пункта и в среднем составлял 78,8%, однако к концу года этот показатель увеличился до 81,2%. С ликвидацией Rustock флуктуации спама, генерируемого ботами, заметно возросли: на протяжении всего II полугодия мощные 2-3-дневные всплески чередовались с периодами затишья. Рейтинг ботнетов-спамеров в конце года возглавил Lethic (21,8% глобального спама), вплотную за ним следовал Grum (21,3%), с большим отрывом обогнав Cutwail (13,5%). Мировым лидером по числу ботов-спамеров являются США. Непочетный рейтинг таких заражений по региону ЕМЕА возглавляет Россия (17,6% местных ботов).

Отсутствие Rustock, специализировавшегося на рассылке фармаспама, отразилось и на тематическом составе спам-рассылок. Вклад рекламы медикаментов в спам-трафик сократился почти в 2 раза, до 39,6%. Спамеры начали усиленно продвигать подделки элитных товаров (18,6%, прирост 12,1 пункта), порно и сайты знакомств (14,7%, прирост 11,4). Доля рекламы БАДов возросла в 7 раз, вредоносных посланий ― в 6 раз, мошеннических писем в 3,6 раза.

61,0% нелегитимных сообщений, заблокированных Symantec в течение года, по размеру не превышали 2-5 КБ. URL-спам составил 86,2% мусорных сообщений. Наибольшей популярностью у спамеров пользовалась TLD-зона .com (58,5% ссылок), .ru и .info тоже не остались без внимания (11,5% и 10,5% соответственно). 88,7% непрошеных писем, заблокированных в конце года, были оформлены на английском языке.

85,2% фишинговых сайтов, обнаруженных экспертами, имитировали ресурсы финансовых организаций. 36,2% сайтов-ловушек были созданы автоматизированными средствами. Главным хостером фишерских подделок являются США. Как и в прошлом году, больше прочих от фишинга страдали жители Южной Африки (1 письмо на 96,3), а из отраслей хозяйственной деятельности ― государственный сектор (1 на 49,4).

39,1% вредоносных сообщений были снабжены ссылками ― в полтора раза больше, чем в предыдущем году. Полезной нагрузкой 7,5% писем, заблокированных за год антивирусами Symantec, являлся Bredolab, который распространялся, в основном, в виде вложений. Это эквивалентно примерно 35 млн. потенциальных кибератак.

Совместными усилиями органов правопорядка разных стран закрыты 36 сайтов, которые торговали в розницу крадеными реквизитами банковских карт и онлайн-счетов.

Эти торговые точки функционировали как интернет-магазины, предоставляя визитерам электронную корзину для самостоятельного отбора «товаров». Идентификацию ресурсов, занимающихся противозаконной коммерцией, осуществила британская спецслужба SOCA (Serious Organised Crime Agency), проводящая мониторинг аналогичной активности в Сети вместе с коллегами из США, Голландии, Украины, Австралии и Румынии. За 2 года участники антикардерского альянса перехватили свыше 2,5 млн. краденых записей личного и финансового характера, предотвратив хищение свыше 0,5 млн. фунтов стерлингов (0,8 млн. долл.).

Захват доменов, ассоциированных с кардерской деятельностью, был произведен 25 апреля с санкции американского суда, выданной по ходатайству ФБР и министерства юстиции США. Основанием для ходатайства послужили доказательные материалы, собранные агентами ФБР, которые под прикрытием совершили контрольные покупки. Посетителям соответствующих сайтов воспроизводится сообщение о наложении ареста на доменное имя.

В тот же день в Великобритании были задержаны двое местных граждан, подозреваемых в массовой скупке краденой информации, и захвачены несколько компьютеров, предположительно используемых пособниками кардеров. Македонские киберкопы по просьбе SOCA произвели арест оператора одного из кардерских интернет-магазинов.