Киберугрозы часто объединяют в себе что-то старое, что-то новое, какие-то ошибки и что-то от «вас». III квартал текущего года демонстрирует примеры того, как старые угрозы перемешиваются с индустриальной социологией, новое вредоносное ПО приходит на смену руткитам, мобильные приложения создают ошибки и как происходит развитие самого слабого звена в экосистеме: вас, т.е. пользователей.

Новый выпуск Отчета об угрозах McAfee Labs за ноябрь 2015 г., подготовленного Intel Security, дополняет наш ежеквартальный анализ киберугроз:

• Исследователи McAfee Labs показывают, как неправильные методы создания программного кода мобильных приложений, включая несоблюдение рекомендаций поставщиков сервисов, могут привести к попаданию данных пользователей в облачные среды. Проведенный анализ также демонстрирует, как пользователи сервисов мобильного банкинга пострадали в аналогичной ситуации.
• В отчете описывается, как вредоносное ПО использует индустриальную социологию для распространения в корпоративных средах – объем вредоносного ПО на основе макросов увеличился с менее чем 10 тыс. новых атак в III кв. 2015 г. до почти 45 тыс. в этом квартале. Таких темпов роста не наблюдалось с 2009 г.
• В документе также рассказывается о том, как функциональные возможности новых платформ и инновации в области разработки угроз создали новое поколение вредоносного ПО без файлов, которое побеждает традиционные методы поиска угроз. Эти атаки без использования файлов приходят на смену атакам на основе руткитов.

III кв. 2015 г. напомнил нам, что помимо постоянного создания новых инноваций для успешного предотвращения киберугроз, мы не должны забывать о таких очевидных вещах, как использование передовых методик для создания защищенного программного кода приложений и обучение пользователей для борьбы с атаками на основе целевого фишинга.

Методики создания программного кода для мобильных приложений

В ходе двухмесячного анализа практически 300 тыс. мобильных приложений специалисты McAfee Labs обнаружили 2 троянские программы для мобильного банкинга, которые нарушили работу тысяч пользователей услуг мобильного банкинга в Восточной Европе. Две модификации вредоносного ПО, получившие название Android/OpFake и Android/Marry, использовали ошибки неправильного программного кода мобильных приложений, который использовался для подключения мобильных приложений к данным управления приложениями поставщиков сервисов.

Мобильные приложения часто используют серверные сервисы для защищенного хранения данных и коммуникаций. При этом разработчики мобильных приложений несут ответственность за реализацию и настройку интеграции своих мобильных приложений с этими серверными сервисами. Данные пользователей могут быть скомпрометированы, если разработчики приложений не будут следовать рекомендациям в отношении безопасности поставщиков сервисов – это, скорее всего, связано с увеличивающимся объемом персональной и корпоративной информации, которая находится в мобильных облачных средах.

Несмотря на то, что действия 2 групп злоумышленников, использующих эти 2 троянский программы, были пресечены, специалисты McAfee Labs нашли подтверждения того, что они использовали имеющиеся уязвимости, чтобы незаметно установить вредоносный код и применяли схему на основе SMS-сообщений для кражи номеров кредитных карт и проведения мошеннических операций. Две троянские программы перехватили 171256 SMS-сообщений 13842 банковских клиентов и в удаленном режиме выполнили команды на 1645 зараженных мобильных устройствах.

Специалисты Intel Security считают, что разработчики должны обращать больше внимание на методики создания кода и рекомендации в отношении безопасности, предоставляемые поставщиками сервисов. Мы также рекомендуем пользователям скачивать приложения только из проверенных источников.

Угрозы, связанные с вредоносным ПО на основе макросов

McAfee Labs также зарегистрировала четырехкратное увеличение количества случаев обнаружения макросов вредоносного ПО за последний год, что приближается к самым высоким показателям с 2009 г. Это связано с атаками на основе целевого фишинга, целью которых было обмануть корпоративных пользователей при открытии вложений в письмах электронной почты. Новые макросы также продемонстрировали способность оставаться незаметными даже после того, как они загрузили вредоносный код.

Подобные вредоносные макросы представляли собой настоящую проблему для пользователей в 90-х годах, но их количество сократилось после того, как поставщики платформ, включая Microsoft, остановили возможность автоматического их исполнения.

Первые атаки на основе макросов были ориентированы на любых пользователей, а новое вредоносное ПО направлено, в основном, на крупные организации, которые используют макросы в качестве простых в создании программ для повседневных нужд. Сейчас электронная почта является неотъемлемой частью бизнеса, поэтому корпоративные пользователи в автоматическом режиме запускают макросы.

Помимо распространения информации об угрозах целевого фишинга среди пользователей Intel Security рекомендует организациям установить высокие настройки защиты от макросов и настроить шлюзы электронной почты для фильтрации вложений, которые содержат макросы.

Развитие вредоносного ПО без использования файлов

За первые 3 квартала 2015 г. McAfee Labs зафиксировала 74471 примеров атак без использования файлов. Три основных типа вредоносного ПО загружают вредоносный код непосредственно в разрешенную область памяти функции платформы, прячутся в интерфейсе прикладного программирования на уровне ядра или в регистре операционной системы.

Большинство угроз оставляет в системе некий тип файла, который можно определить и удалить. Новые типы атак, включая Kovter, Powelike и XswKit, созданы таким образом, чтобы использовать сервисы платформы ОС, чтобы попасть в память, не оставляя следов на диске.

Intel Security рекомендует придерживаться предосторожностей при посещении сайтов и во время работы с почтой и внедрять специальные средства защиты для блокировки подобного рода атак.

Статистика по киберугрозам, III кв. 2015 г.

• Общая активность в отношении угроз. Сеть Global Threat Intelligence (GTI), принадлежащая McAfee Labs, в среднем, обнаруживает каждую минут 327 новых угроз, или более 5 угроз каждую секунду. Сеть также обнаружила:

• более 7,4 млн попыток заставить пользователей перейти по опасным URL-ссылка (электронная почта, поисковые запросы и пр.)

• более 3,5 млн зараженных файлов, нацеленных на сети наших заказчиков
• дополнительные 7,4 млн потенциально нежелательных программ, которые предпринимают попытки установки или запуска.

• Мобильное вредоносное ПО. Общее количество примеров вредоносного ПО с II по III кв. увеличилось на 16%. По сравнению с прошлым годом его количество увеличилось на 81%. Количество нового мобильного вредоносного ПО растет на протяжении 5 кварталов, но количество нарушений безопасности растет не такими большими темпами, что, скорее всего, связано с улучшениями защиты ОС.
• Вредоносное ПО для платформы MacOS. Разработчики вредоносного ПО все больше уделяют внимание платформе Mac. В III кв. было зарегистрировано в 4 раза больше вредоносных программ по сравнению с II кв. Большая часть увеличения объема связана с одной угрозой.
• Программы-вымогатели. Количество программ увеличилось на 18% с II по III кв. За последний год количество программ, зарегистрированных McAfee Labs, увеличилось на 155%.
• Уменьшение количества руткитов. Объем новых руткитов уменьшился на 65%, что является самым низким показателем с 2008 г. Вероятно, это связано со снижением эффективности этих атак. С выпуском 64-разрядной версии Windows компания Microsoft реализовала функцию подписи драйверов и добавила Patch Guard, что повысило защиту от вредоносных атак.
• Вредоносные подписанные двоичные файлы. На протяжении 3 кварталов количество подобного рода файлов уменьшается.
• Активность бот-сетей. Бот-сеть Kelihos заняла первое место по объемам отправки спама в III кв. На протяжении предыдущих 2 кварталов объем подобного рода активностей снижался.

Дополнительная информация доступна по ссылке http://www.mcafee.com/November2015ThreatsReport.

Автор документа: Винсент Уифер (Vincent Weafer), вице-президент лаборатории McAfee Labs, Intel Security.