В мае 2015 года серьезных всплесков активности против информационной безопасности не наблюдалось, сообщила компания «Доктор Веб». Всего в течение месяца выявлено 84 063 249 вредоносных и потенциально опасных объектов.
Для Mac OS X бесполезные установщики ненужных программ все еще редкость, но совершенным их отсутствием ситуацию не назовешь. Так, в вирусные базы Dr.Web добавлен Adware.Mac.InstallCore.1. Помимо собственно инсталляции ненужных пользователю программ, состоящий из нескольких компонентов установщик способен изменять стартовую страницу и используемую браузерами по умолчанию поисковую систему. Кроме того, эта программа обладает функциями антиотладки: если при запуске ей удается обнаружить работающие на «маке» виртуальные машины, ряд антивирусов, а также некоторые иные приложения, пользователю не будут навязываться какие-либо дополнительные программы.
Еще одной вредоносной программой со схожим функционалом, угрожающей пользователям Mac OS X, стал Mac.Trojan.Crossrider. Распространяется он в виде установочного пакета с названием Safari Helper. При запуске установщика на экран не выводится никаких диалоговых окон, однако в этот момент на компьютер устанавливается расширение FlashMall для браузеров Safari, Chrome и Firefox. Кроме того, в автозагрузку устанавливаются два приложения: «WebSocketServerApp» и «Safari Security»: первое из них осуществляет связь с управляющим сервером, второе — устанавливает расширения в браузеры. Также в автозагрузку прописывается несколько сценариев командного интерпретатора, предназначенных для обновления браузерных расширений.
Аналитики продолжают следить и за целым рядом функционирующих в настоящее время бот-сетей, среди которых — ботнет, созданный злоумышленниками с использованием файлового вируса Win32.Rmnet.12. Это семейство файловых вирусов, распространяющихся без участия пользователя, способных встраивать в просматриваемые пользователям веб-страницы постороннее содержимое (это теоретически позволяет киберпреступникам получать доступ к банковской информации жертвы), а также красть файлы cookies и пароли от наиболее популярных FTP-клиентов и выполнять различные команды, поступающие от злоумышленников.
Как и прежде, продолжает проявлять активность бот-сеть, состоящая из компьютеров, инфицированных файловым вирусом Win32.Sector. Программа имеет множество функциональных возможностей, среди которых загрузка из P2P-сети и запуск на зараженной машине различных исполняемых файлов, встраивание в запущенные на инфицированном компьютере процессы, возможность останавливать работу некоторых антивирусных программ и блокировать доступ к сайтам их разработчиков, инфицирование файловых объектов на локальных дисках и сменных носителях (где в процессе заражения создает файл автозапуска autorun.inf), а также файлов, хранящиеся в общедоступных сетевых папках.
По сравнению с апрелем 2015 года значительно возросло количество атак на различные веб-сайты, осуществляемых злоумышленниками с использованием троянца Linux.BackDoor.Gates.5. Так, в мае число уникальных IP-адресов, на которые осуществлялись атаки, выросло на 65,5% и составило 5498. Вновь изменились и цели проводимых злоумышленниками атак: на первое место по количеству атакованных интернет-ресурсов вновь вышел Китай, а вторую позицию по этому показателю занимают США.
В течение мая 2015 года исследовано несколько вредоносных программ, способных заражать компьютеры под управлением операционных систем семейства Linux. Одна из них, получившая наименование Linux.Kluh.1, является очередным продуктом творчества известной китайской хакерской группы ChinaZ и создана исключительно для заражения роутеров, работающих под управлением Linux. Как и другие вредоносные программы, созданные этими вирусописателями, Linux.Kluh.1 предназначен для организации DDoS-атак, при этом троянец способен реализовать несколько разновидностей подобных атак: среди них — HTTP Flood (в случае получения определенной команды с управляющего сервера Linux.Kluh.1 способен выдавать себя за робота китайской поисковой системы Baidu), Spoofed SYN Flood, SYN Flood, а также несколько разновидностей атак, использующих принцип массированной отправки запросов на DNS-серверы. Среди характерных особенностей троянца можно отметить адрес интернет-ресурса, на котором располагается его управляющий сервер.
Еще одна опасная программа для Linux получила наименование Linux.Iframe.4. Она представляет собой вредоносный плагин для веб-сервера Apache, который встраивает в передаваемые пользователям html-страницы объект Iframe, а тот, в свою очередь, перенаправляет жертву на принадлежащую злоумышленникам веб-страницу с эксплойтами. С целью избежать ложных срабатываний злоумышленники предусмотрели в архитектуре троянца проверку параметра UserAgent, определяющего версию браузера потенциальной жертвы, а также ее IP-адреса.
Кроме того, в мае вновь активизировались сетевые мошенники, под различными предлогами выманивающие деньги у доверчивых пользователей. Для привлечения потенциальных жертв жулики используют массовые SMS-рассылки, в сообщениях которых говорится, что получатель якобы выиграл автомобиль в рамках той или иной рекламной акции. Во всех подобных SMS-сообщениях приводится адрес веб-сайта, который оформлен как официальный интернет-ресурс некоего автосалона и содержит порой довольно подробную информацию о данной «компании», способную усыпить бдительность потенциальной жертвы.
Для получения ценного приза, автомобиля, доверчивым посетителям сайта фальшивого автосалона предлагается в течение короткого времени, как правило, нескольких часов, внести через платежный терминал «налог» в размере 1% от стоимости «приза» или аналогичным способом приобрести страховой полис ОСАГО.
Что касается мобильных угроз, то в мае одной из главных проблем для пользователей Android-устройств стали разнообразные банковские троянцы, распространявшиеся злоумышленниками в ряде стран. Для этого вирусописатели активно использовали рассылку нежелательных SMS, в которых содержалась ведущая на загрузку того или иного троянца ссылка. Так, в России киберпреступники использовали уже привычную тематику MMS-сообщений, якобы поступивших в адрес потенциальных жертв. Среди распространявшихся таким образом Android-банкеров были замечены троянцы семейства Android.SmsBot, в частности, Android.SmsBot.269.origin и Android.SmsBot.291.origin.
Также в прошлом месяце были обнаружены новые троянцы-вымогатели семейства Android.Locker, блокирующие мобильные устройства под управлением ОС Android и требующие у пользователей выкуп за их разблокировку.