Киберугрозы в апреле 2012: новый виток атак на Mac

[toxi]

Эксперты "Лаборатории Касперского" провели исследование
киберугроз в апреле 2012 года. Аналитики пришли к выводу, что
необыкновенно высокая активность вредоносного ПО для Mac OS X,
отмеченная в марте, была лишь вершиной айсберга. В апреле произошли два
события, которые навсегда изменят взгляд на безопасность Mac OS X:
массовое применение эксплойтов и использование Mac OS X как части
APT-атаки - устойчивой угрозы повышенной сложности.

Если с сентября 2011 до февраля 2012 года для распространения
Mac-троянца Flashfake использовалась только социальная инженерия
(посетителям различных сайтов предлагалось загрузить поддельное
обновление Adobe Flash Player), то позже создатели этого троянца стали
использовать эксплойты для заражения компьютеров жертв. В результате
Flashback заразил свыше 700 000 ПК. "Лабораторией
Касперского" была создана бесплатная утилита для удаления
зловреда.

В апреле была обнаружена активная угроза класса APT - SabPub. Для
заражения пользовательских компьютеров применялись троянцы-бэкдоры двух
видов. Первый использовал для проникновения на компьютер эксплойт к
уязвимости в Microsoft Word. Второй был нацелен на платформу Mac OS X. В
данном случае использовался эксплойт к уязвимости в Java. После
заражения компьютера жертвы специально созданный бэкдор получал
возможность делать снимки экрана текущей пользовательской сессии и
выполнять на зараженном компьютере команды. В настоящее время группа
киберпреступников, стоящая за SabPub, продолжает атаковать
пользовательские компьютеры.

Кроме активно развивающихся угроз для Mac-компьютеров в апреле эксперты
"Лаборатории Касперского" обнаружили новую рассылку спама в
Twitter, в которой были задействованы свыше 500 000 взломанных учетных
записей. Посредством спама рассылались ссылки, перенаправлявшие
пользователей на вредоносные сайты с пакетом эксплойтов BlackHole. Сайты
устанавливали на компьютеры жертв лжеантивирусы, которые выглядят как
уведомления антивируса и призывают пользователя проверить систему на
вирусы.

В настоящее время большая часть вредоносного ПО для ОС Android имеет
довольно узкую локализацию, поскольку злоумышленники каждой конкретной
страны создают свой тип вредоносного ПО, нацеленного на жителей именно
этой страны. В начале апреля был обнаружен зловред нового типа для ОС
Android, который написан японскими вирусописателями для устройств на
базе Android, используемых в Японии. Этот зловред способен подключаться
к удаленному серверу. Если соединение установлено успешно, он загружает
видеофайл формата MP4. Он также может украсть важную информацию с
зараженного устройства, в том числе имена, адреса электронной почты и
номера телефонов из списка контактов жертвы. Зловред загружает
украденные данные на удаленный сервер.

Эксперты отмечают, что вредоносное ПО для мобильных устройств,
контролируемое посредством SMS-сообщений, становится все более и более
популярным. В апреле был обнаружен бэкдор, получивший название TigerBot.
После заражения приложение скрывает себя и не оставляет следов
присутствия на дисплее устройства. Если жертва проверит список
запущенных процессов, то может и не определить, что название
"System" принадлежит зловреду TigerBot. Вредоносное ПО
осуществляет перехват всех входящих SMS-сообщений и их проверку на
предмет присутствия особых команд.

С подробным обзором вирусной активности в апреле 2012 года можно
ознакомиться на http://www.securelist.ru.