4 Июля 2013

Обзор информационных угроз июня 2013 года

Москва, 4 июля 2013 года, — Компания ESET, ведущий международный разработчик антивирусного ПО и эксперт в сфере киберпреступности и защиты от компьютерных угроз, представляет отчет о наиболее активных угрозах июня 2013 года. Месяц был отмечен минимизацией активности банковского трояна Zeus, а также утечкой исходных кодов вредоносного ПО Carberp.

В первом летнем месяце эксперты ESET зафиксировали значительное снижение активности семейства Win32/Spy.Zbot, майский рейтинг которого составлял 1,36%. Под этим названием нами детектируются самые разные модификации троянской программы Zeus, включая Citadel и Gameover.

Причиной падения активности Win32/Spy.Zbot, скорее всего, стала операция компании Microsoft, проведенная против угрозы Citadel – одной из наиболее распространенных модификаций Zeus. Таким образом, в июне рейтинг активности Zeus не поднимался выше 0,4%, тогда как в пиковый период, пришедшийся на 2 мая, уровень его распространенности достигал 4,83%.

По подсчетам Microsoft Digital Crimes Unit (подразделение компании по борьбе с киберпреступлениями), угрозой Citadel заражено более 5 млн пользователей в 90 с лишним странах мира. В силу того, что боты Citadel имеют гибкую структуру настройки на новые управляющие сервера, даже такая масштабная спецоперация не способна полностью уничтожить активность этой угрозы.

Однако, проведенная Microsoft операция нарушила работу более тысячи ботнетов Citadel, сделав бизнес злоумышленников более дорогостоящим и невыгодным.

Отметим, что данное вредоносное ПО в первую очередь направлено на кражу данных онлайн-банкинга и кредитных карт, с последующей отправкой этой информации на сервер злоумышленников. Microsoft отмечают, что прибыль киберпреступников от ботнетов, построенных на Citadel, на данный момент превысила полмиллиарда долларов.

Первая версия Citadel появилась в 2012 году, как ответ киберпреступников на неподдерживаемую вредоносную программу Zeus. В отличие от последней, Citadel обладает более гибкими настройками и предоставляет распространителям целую социальную сеть «Citadel CRM». С помощью этой сети можно организовать коллективную разработку модификаций бота, совершенствуя его и расширяя функционал.

Активность самой угрозы Zeus спала в 2012 году, когда специалисты Microsoft Digital Crimes Unit осуществили операцию по выведению из строя ботнета Zeus, а также ботнета SpyEye – другого известного представителя банковского вредоносного ПО. Тем не менее, несколько месяцев назад активность Zeus снова возросла; антивирусная лаборатория ESET зафиксировала сильный всплеск активности его модификаций, в т. ч. Citadel и Gameover.

Глобальный рейтинг угроз в июне не претерпел существенных изменений, однако активность большинства угроз в мировом масштабе несколько спала. Нужно отметить, что отрицательная динамика угроз в десятке не является абсолютным показателем ослабления вредоносного фона сети, поскольку каждый месяц появляются новые вредоносные программы, а также растет активность малоизвестных угроз. Речь скорее идет о перераспределении вредоносного ландшафта между более и менее известными угрозами, нежели об ослаблении самого фона.

В глобальном рейтинге угроз рост испытали Win32/Bundpil (3,71%), HTML/ScrInject (2,54%) и HTML/Iframe (2,32%). Троянская программа Win32/Bundpil, которая имеет механизмы распространения через съемные носители, уже не первый месяц занимает первую строку мирового рейтинга.

Другим важным событием июня стала утечка архива с исходными текстами банковского вредоносного ПО Carberp. Это крупнейшая утечка за всю историю онлайн-угроз, с очень высоким потенциальным показателем опасности.

Дело в том, что архив содержал реализацию ключевых RK/VX-технологий, таких как код построения буткита (Rovnix), код реализации грабберов форм и внедрения кода в браузере (Carberp, Zeus), код локального повышения привилегий (LPE-эксплойты) для установки вредоносных драйверов в систему, а также исходные тексты других буткитов и троянских программ (Zeus, Stoned bootkit, Sinowal).

Это событие может иметь значительные негативные последствия как для AV-индустрии, так и для пользователей, поскольку попадание в свободный доступ данных исходников готовит почву для появления целого ряда опасных модификаций вредоносного ПО.

В российском рейтинге в июне было отмечено повышение активности HTML/Iframe (под этим названием детектируются вредоносные элементы веб-страниц) и червя Win32/Dorkbot. Также в рейтинге появилась троянская программа Win32/TrojanDropper.Gepys. Этот троян может маскироваться под программное обеспечение Mozilla, за счет самокопирования в одноименную директорию; он также умеет внедрять свой код в запущенные процессы.

В июне доля России в мировом объеме вредоносного ПО составила 8,58%.

Глобальный рейтинг наиболее активных угроз выглядит следующим образом:

Угроза Уровень распространенности Динамика
Win32/Bundpil 3,71% +
HTML/ScrInject 2,54% +
INF/Autorun 2,43% -
HTML/Iframe 2,32% +
Win32/Sality 2,25% -
Win32/Dorkbot 1,98% -
Win32/Conficker 1,77% -
Win32/Ramnit 1,45% -
Win32/Qhost 1,39% -
JS/IFrame 1,19% -

Статистика угроз по России:

Угроза Уровень распространенности Динамика
Win32/Qhost11,94%-
HTML/ScrInject2,76%-
JS/IFrame2,66%-
Win32/Spy.Ursnif2,06%-
Win32/Dorkbot2,05%+
Win32/Bicololo1,97%-
HTML/IFrame1,79%+
Win32/TrojanDropper.Gepys1,65%+
INF/Autorun1,45%-
Win32/Conficker0,86%-