Компания Check Point Software Technologies Ltd. рассказала о самых активных вредоносных семействах, которые атаковали корпоративные сети в июле 2016 г. В июле компания зарегистрировала 2300 уникальных активных видов вредоносного ПО, атакующих корпоративные сети, что на 5% меньше, чем в июне. Уже девятый месяц подряд Conficker остается наиболее популярным. Несмотря на общее уменьшение активности вредоносных программ, исследователи отметили рост вредоносного ПО для мобильных устройств, которое в июле составило 9% от всех зарегистрированных вредоносов — это на 50% больше, чем в июне 2016. HummingBad остается наиболее часто используемым мобильным вредоносом четвертый месяц подряд, сообщили CNews в Check Point.

Впервые за последние четыре месяца Check Point отметил уменьшение количества уникальных вредоносных семейств, но по общему числу угроз июль занимает пока второе место за этот год. Сохраняющаяся высокая активность вредоносного ПО еще раз демонстрирует количество угроз, с которыми сталкиваются сети организаций, и ряд задач, которые должны решить специалисты по безопасности, чтобы предотвращать атаки и защищать ценную информацию.

Россия продолжает держаться в первой половине рейтинга наиболее атакуемых стран. В июле она опустилась до 50 места с 48, занимаемого в июне. В топ-10 вредоносных семейств, атакующих российские сети, вошли Kometaur, Conficker, Ranbyus, Sality, Ldpinch, Delf, Cryptowall, HummingBad, Locky. Больше всего атак в июле было совершено на сети Парагвая, Бангладеш и Малави. Меньше всего — Молдавии, Белоруссии и Аргентины.

В июле Conflicker был отмечен в 13% атак; второе место занял JBossjmx — червь, поражающий системы, на которых установлена уязвимая версия JBoss Application Server. Программа создает вредоносную страницу JSP , которая исполняет произвольные команды. При этом создается еще и программная закладка-шпион, которая принимает команды от удаленного IRC-сервера. На JBossjmx пришлось 12% нападений. И на третьем месте расположился Sality — 8%. 60% всех атак были совершены с использованием вредоносных семейств из топ-10.

В июле мобильное вредоносное ПО по-прежнему оставалось значительной угрозой для корпоративных мобильных устройств. 18 мобильных вредоносов вошли в топ-200 всех вредоносных семейств за июль.

HummingBad — вредоносное ПО для Android, которое, используя устойчивый к перезагрузке руткит, устанавливает мошеннические приложения и с небольшими модификациями может проявлять дополнительную вредоносную активность, включая установку ключей-регистраторов, кражу учетных данных и обход зашифрованных email-контейнеров, используемых компаниями.

Ztorg — это троян, использующий рутовые привилегии, чтобы загружать и устанавливать приложения на смартфон пользователя без его ведома.

XcodeGhost — скомпрометированная версия платформы разработчиков iOS Xcode. Эта неофициальная версия Xcode изменена так, что она может внедрять вредоносный код в приложение, которое разработано и скомпилировано с ее помощью. Внедренный код отправляет информацию о приложении на командный сервер, позволяя инфицированному приложению считывать данные из буфера обмена устройства.

«Компании не должны терять бдительность в вопросах безопасности из-за небольшого снижения числа вредоносных программ, отмеченного в июле. Некоторые из них остаются в шаге от рекордных показателей активности, подтверждая масштаб проблемы, с которой сталкивается бизнес в процессе защиты своих сетей от киберпреступников, — отметил Василий Дягилев, глава представительства Check Point Software Technologies в России и СНГ. — Бизнесу нужны продвинутые меры предотвращения угроз на их сети, ПК и мобильные устройства, чтобы останавливать вредоносные программы на стадии до заражения. Например, такие решения, как Check Point’s SandBlast и Mobile Threat Prevention, которые обеспечивают защиту от самых новых угроз».

Proof: http://www.cnews.ru/news/line/2016-08-26_check_point_otmetil...

Специалисты компании GeoEdge представили исследование, которое доказывает, что Flash ошибочно называют корнем всех бед и основной проблемой, приводящей к распространению вредоносной рекламы. Исследователи утверждают, что переход на HTML5 ничего не изменит, так как уязвимы сами рекламные платформы и стандарты.

Flash заслуженно считается одним из самых взламываемых образчиков софта. Так, только в 2014 и 2015 годах во Flash было обнаружено 457 уязвимостей. Неудивительно, что злоумышленники тоже предпочитают использовать для своих кампаний именно Flash, а производители ПО все чаще отказываются работать с технологией. К примеру, браузер Microsoft Edge в Windows 10 автоматически запрещает выполнение Flash-контента на сайтах, если он не является основным элементом страницы (к примеру, игрой). В мае 2016 года разработчики Chrome также сообщили, что до конца года откажутся от Flash в пользу HTML5.

По данным компании GeoEdge, все эти меры не помогут бороться с вредоносной видеорекламой. Ведь дело совсем не в том, сколько уязвимостей насчитывается во Flash и HTML5, дело в самих рекламных платформах. Корень проблемы вредоносной рекламы кроется в стандартах VAST и VPAID, разработанных еще в 2012 году. Именно они определяют «правила игры», когда речь заходит о видеорекламе. Взаимодействовать в рекламными баннерами и объявлениями пользователю позволяют как Flash, так и HTML5.

«Так как данные стандарты позволяют рекламодателям получать данные о пользователях, они также позволяют встроить в рекламу сторонний код. А если сторонний код разрешен, дверь для злоумышленников открыта, можно заниматься размещением вредоносного кода», — пишут исследователи.

Аналитики подчеркивают, что JavaScript – это базовый язык для HTML5, а значит, внедрение в такую рекламу вредоносного кода не доставит мошенникам никаких проблем. По сути, проблемой здесь выступает именно JavaScript, так как он позволяет рекламодателям добавлять сторонний JavaScript-код в баннеры, используя значение AdParameter. Его с легкостью можно использовать для распространения вредоносных решений, вместо отслеживания пользователя или каких-либо рекламных инструкций. И совершенно неважно, создана реклама с использованием Flash или HTML5.

Разговоры о том, что HTML5 лучше Flash ведутся давно. Но так ли это на самом деле? Flash определенно предлагает лучшее качество изображения и рендеринга, тогда как реклама HTML5 обычно поставляется в большем размере. Для работы Flash нужен плагин, а HTML5 вообще не работает со старыми браузерами. Рекламу, созданную с использованием Flash, легче оптимизировать, но с HTML5 проще работать и адаптировать рекламу для мобильных устройств. Если говорить о безопасности, HTML5 безусловно выигрывает у Flash, однако, как уже было сказано выше, в случае с рекламой – дело не в этом.

«У Flash-рекламы есть ряд преимуществ, хотя с точки зрения безопасности HTML5 – это более надежный вариант. Тем не менее, основной корень проблемы вредоносной видеорекламы, к сожалению, более фундаментален», — заключают исследователи.

Хотя исследование GeoEdge сконцентрировано вокруг видеорекламы, многие тезисы их отчета можно отнести и к статичным объявлениям. Ключ проблемы в том, что многие рекламные сети разрешают рекламодателям использовать кастомный JavaScript-код. Будь то изображение, Flash-объект или что-то иное, проблема кроется не в самих объявлениях и технологиях, но в лежащих под ними стандартах.

Специалисты компании enSilo детально изучили обнаруженное недавно семейство вредоносов Furtim. Малварь действует настолько скрытно, что исследователям так и не удалось понять, как операторы Furtim распространяют своего вредоноса, или как выбирают жертв. Зато эксперты обнаружили, что Furtim уделяет очень много внимания скрытности.

Исследователи пишут, что Furtim отличается от других образчиков вредоносного ПО. Ни один из известных им вредоносов не уделял столько внимания уходу от различных систем безопасности. Еще во время установки Furtim внимательно проверяет, не запущен ли он на виртуальной машине или в песочнице, а затем педантично обыскивает компьютер жертвы на предмет присутствия более 400 различных антивирусных продуктов. Если Furtim находит хотя бы одну такую программу, установка отменяется и малварь бездействует.

Если установка все же прошла успешно, Furtim избегает сервисов DNS фильтрации, сканируя сетевые интерфейсы зараженной машины и подменяя известные фильтрующие неймсерверы на публичные неймсерверы Google и Level3 Communications. Также малварь блокирует порядка 250 различных доменов связанных с информационной безопасностью.

Однако «паранойя» зловреда на этом не заканчивается. Furtim также отключает механизм уведомлений и всплывающие окна в Windows, и перехватывает контроль над командной строкой и Диспетчером задач, не давая попасть туда жертве.

Убедившись, что все под контролем, вредонос собирает данные о зараженной машине и отправляет на командный сервер. Управляющий сервер, в свою очередь, использует эту информацию для идентификации жертв, и передает Furtim финальную порцию пейлоадов, так как до этого на компьютере, по сути, работал только загрузчик малвари. Эта операция производится всего один раз, что тоже затрудняет работу экспертов по безопасности.

Костяк вредоноса состоит из трех файлов. Первый отключает на зараженной машине спящий режим и не дает жертве изменить соответственные настройки. Второй файл, это малварь Pony, похищающая данные. Pony ворует все, что плохо лежит, от учетных данных FTP-серверов и почтовых клиентов, до истории браузера и паролей, хранящихся на компьютере. Что делает третий пейлоад, эксперты enSilo пока понять не смогли, так как «разобрать» его им пока не удалось.

Также исследователи enSilo смогли определить, что управляющий сервер малвари расположен на российском домене и связан с несколькими украинскими IP-адресами.