№9 (сентябрь 2016)
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Начало статьи<br />
=<br />
ТЩЕСЛАВНЫЕ<br />
ХАКЕРЫ<br />
В апреле текущего года специалисты команды IBM X-Force описывали в своем<br />
блоге интересную ситуацию: автор популярного мобильного банкера GM Bot<br />
оказался заблокирован на крупных торговых площадках даркнета, и за освободившееся<br />
место немедленно развернулась активная борьба. Среди претендентов<br />
на роль нового лидера в этой области был и мобильный троян Bilal Bot,<br />
который исследователи IBM X-Force описали не совсем верно. Об этом им недавно<br />
сообщил сам автор этой малвари.<br />
«Здравствуйте! Я разработчик и владелец малвари Bilal Bot. На вашем сайте<br />
опубликована неверная информация. Вы рассматривали бета-версию моего<br />
Bilal Bot. С тех пор было много изменений и улучшений, так что ваш текст в целом<br />
и перечисленные в нем цены в частности абсолютно устарели. Если хотите, я дам<br />
вам интервью относительно моей малвари Bilal Bot, или я хотел бы попросить вас<br />
изменить или обновить вашу публикацию», — написал автор.<br />
Исследователи IBM X-Force не могли оставить послание без внимания и изучили<br />
Bilal Bot повторно. Малварь действительно обновилась: среди новых<br />
функций исследователи обнаружили перехват SMS-сообщений, перенаправление<br />
голосовых звонков и перекрытие экрана устройства. Остается гадать,<br />
действительно ли публичное мнение независимых исследователей так сильно<br />
влияет на заработки разработчиков зловредов, или же просто автор Bilal Bot<br />
обладает повышенным чувством собственной важности?<br />
Если принять во внимание судьбу еще одного зловреда, можно предположить,<br />
что публичное мнение имеет вес. Речь идет о шифровальщике Shark, про<br />
который мы писали еще в августе. Тогда эксперты изучили схему распространения<br />
и предположили, что она мошенническая: авторы Shark распространяли<br />
трояна бесплатно по «партнерской программе», предлагая любому желающему<br />
стать «оператором» и получать 80% от всех выкупов. Вот только все выкупы<br />
от жертв зловреда идут на биткойн-кошелек создателей шифровальщика, так<br />
что нет никаких гарантий, что те в итоге поделятся с «партнерами».<br />
В итоге авторы Shark были вынуждены сменить имя своего проекта на Atom<br />
и поменять домен в попытках избавиться от такого «пятна» на «репутации». Теперь<br />
сайт проекта Shark переадресует своих посетителей на другой домен, где<br />
их вниманию предлагается «шифровальщик Atom». Под новым именем скрывается<br />
все тот же Shark, пользователям по-прежнему бесплатно предоставляется<br />
готовая версия шифровальщика, а «партнерская программа» предлагает все<br />
те же условия 80/20. Судя по всему, эксперты оказались правы, и информация<br />
в СМИ действительно может влиять на планы мошенников.<br />
Стоит упомянуть и об интересном персонаже, обнаруженном специалистами<br />
компании Sophos в ходе мониторинга хакерских форумов. Исследователи<br />
заметили пользователя под ником Pahan (с различными вариациями на разных<br />
форумах), который бесплатно распространял образцы чужой малвари, зараженные<br />
кейлоггерами и троянами. Таким способом злоумышленник «охотился»<br />
на других хакеров (или тех, кто только собирался ими стать) и использовал<br />
украденные учетные данные от аккаунтов на хакерских форумах для повышения<br />
собственной репутации.<br />
77%<br />
россиян пользуются<br />
устаревшим ПО<br />
Аналитики «Лаборатории Касперского»<br />
собрали интересную статистику<br />
с помощью облачной инфраструктуры<br />
Kaspersky Security Network. По данным<br />
KSN, 77% российских пользователей<br />
работают с устаревшим ПО, в среднем<br />
на одном ПК содержится семь приложений,<br />
которым нужны обновления.<br />
Более 80% уязвимостей в первой половине<br />
<strong>2016</strong> года пришлось на веб-браузеры<br />
и Microsoft Office, их «забывают»<br />
обновить чаще всего. Также у 3/4<br />
пользователей имеется ряд программ,<br />
о существовании которых они не подозревают.<br />
Как правило, это модули<br />
и приложения, которые устанавливаются<br />
автоматически при скачивании<br />
различного бесплатного ПО. Подобная<br />
bloatware есть у каждого четвертого<br />
пользователя, в среднем по две программы<br />
на человека.<br />
73,7%<br />
исследователей —<br />
это самоучки<br />
Разработчики платформы<br />
HackerOne, на базе которой работают<br />
bug bounty программы сотен крупных<br />
компаний, представили отчет за <strong>2016</strong><br />
год, где рассказали немного о самих<br />
хакерах. Согласно данным компании,<br />
за <strong>2016</strong> год исследователи подали<br />
617 отчетов об уязвимостях, получив<br />
деньги за свой труд. При этом<br />
90% хакеров моложе 34 лет и 97% из<br />
них — это мужчины. Также известно,<br />
что большинство (17%) исследователей<br />
занимают поиском багов на<br />
протяжении трех лет, а 73,7% и вовсе<br />
являются самоучками. Интересно и<br />
то, что 57% багов были добавлены в<br />
программы, которые вообще не выплачивают<br />
финансовых вознаграждений.<br />
Хакеры утверждают, что ломают,<br />
«чтобы заработать» (71,5%), «для<br />
развлечения» (70,5%), а также «чтобы<br />
сделать мир лучше» (50,8%).<br />
«Отсутствие разъема 3,5 мм будет раздражать<br />
многих людей. Лично я не стал<br />
бы пользоваться Bluetooth, так как не<br />
люблю беспроводной звук. У меня есть<br />
машины, в которых можно подключить<br />
источник напрямую или через Bluetooth,<br />
и в случае Bluetooth музыка звучит очень<br />
плоско. Вообще, я считаю, что будущее<br />
за разъемом USB-C. Один из моих любимых<br />
Android-смартфонов — это Nexus 5X,<br />
и он использует именно такой разъем».<br />
Стив Возняк<br />
о новых iPhone 7 и отсутствии разъема 3,5 мм<br />
ВЗЛОМ КАК СЕРВИС<br />
В наше время уже никого не удивить тем, что хакеры предлагают свою малварь<br />
как услугу (RaaS, ransomware-as-a-service), как тот же Shark, описанный<br />
выше. Однако экспертам компании Fortinet удалось обнаружить кое-что более<br />
интересное: русскоязычный сайт, который работает по модели Phishing-asa-Service,<br />
предлагая в качестве услуги фишинг. Ресурс под названием Fake-<br />
Game за скромную плату предоставляет всем желающим возможность создать<br />
поддельные копии страниц социальных сетей, почтовых сервисов, игровых<br />
платформ и так далее. Прямо на главной странице сообщают, что «на данный<br />
момент суммарно угнано 753 916 аккаунтов», и приглашают «быстро и бесплатно<br />
получить желаемые аккаунты: ВКонтакте, Одноклассники, Танки Онлайн,<br />
Wargaming, STEAM, Warface и другие».<br />
Самое интересное заключается в том, что фишинговые услуги предоставляются<br />
бесплатно: все, что должен сделать атакующий, — отправить фальшивую<br />
ссылку своей жертве. Операторы Fake-Game монетизируют свой бизнес, продвигая<br />
платные VIP-аккаунты, которые имеют расширенную функциональность<br />
по сравнению с базовыми: за 230 рублей в месяц (больше — дешевле) пользователям<br />
предлагается доступ к редактированию поддельных ссылок, доступ<br />
ко всем пользовательским аккаунтам, кроме VIP, подробная статистика, чат<br />
технической поддержки и так далее. Исследователи пишут, что Fake-Game насчитывает<br />
уже 61 269 подписчиков и привлекает пользователей партнерскими<br />
программами и скидками.<br />
Другая необычная вариация RaaS, обнаруженная в сентябре, — киберсеть<br />
RAUM, которая специализируется на заражении и распространении зараженных<br />
torrent-файлов. При помощи сервиса RAUM участники сети (попасть туда<br />
можно лишь по специальному приглашению) добавляют пейлоады малвари<br />
в популярные торрент-файлы и автоматизируют их распространение. Сеть работает<br />
по модели Pay-Per-Install: клиенты RAUM получают деньги каждый раз,<br />
когда малварь, которую они распространяют с помощью вредоносных торрентов,<br />
доходит до «конечного адресата» и поражает очередную жертву.<br />
Процесс распространения малвари автоматизирован: взломанные аккаунты<br />
извлекаются из логов ботнетов или приобретаются у «коллег», а инфраструктура<br />
для распространения состоит из выделенных и виртуальных серверов,<br />
скомпрометированных девайсов и частично располагается в Tor. Специалисты<br />
InfoArmor пишут, что через RAUM распространяется троян Dridex, спайварь<br />
Pony, вымогатели Cerber, CryptXXX и CTB-Locker. Ежемесячно из-за вредоносных<br />
торрентов страдают не менее 12 миллионов пользователей.<br />
WORDPRESS ПО-ПРЕЖНЕМУ ОСТАЕТСЯ<br />
САМОЙ АТАКУЕМОЙ CMS<br />
Аналитики компании Sucuri подготовили статистический отчет о самых взламываемых<br />
сайтах второго квартала <strong>2016</strong> года. Исследование показало, что среди различных популярных<br />
CMS хакеры все так же предпочитают WordPress и атакуют платформу куда чаще остальных.<br />
Во втором квартале <strong>2016</strong> года заражения распределились следующим образом:<br />
WordPress (78%), Joomla! (14%), Magento (5%) и Drupal (2%)<br />
Количество взломанных сайтов в сравнении с первым кварталом <strong>2016</strong> года<br />
При этом только 55% установок WordPress являются устаревшими. Другие CMS<br />
показывают более плачевные результаты: Joomla! (86%), Drupal (84%)<br />
и Magento (96%)<br />
22% WordPress-сайтов взламывают, используя старые уязвимости в трех плагинах:<br />
TimThumb, GravityForms и RevSlider<br />
После взлома скомпрометированные ресурсы страдают от бэкдоров, распространяют малварь<br />
и SEO-спам, становятся жертвами дефейсов и используются для фишинга<br />
Только 18% изученных экспертами сайтов попадали в черные списки, то есть 82% остались<br />
незамеченными<br />
Наилучший результат по части обнаружения заражений показал Google, на него пришлось<br />
52% добавленных в черные списки сайтов