Летом 2017 года исследователи Check Point Software Technologies обнаружили зловред Fireball, который поражает браузеры, может управлять трафиком, а также скачивать и запускать любой другой зловред на компьютер жертвы без ее ведома. По всему миру заражению подверглись 250 млн компьютеров.
Вирус для каждой четвертой компании
Разнообразие инструментов, с которыми хакеры реализуют свои преступные цели, растет вместе с появлением новых технологий, устройств и подходов к вычислениям. Например, когда смартфоны стали продолжением наших рук, количество мобильных угроз начало расти в геометрической прогрессии. Аналитики по всему миру постоянно ищут и находят уязвимости в мобильных платформах и гаджетах, в устройствах IoT, веб-платформах, социальных сетях и многом другом. И новый бич безопасников — это шифровальщики, подобные WannaCry.
Одна из крупнейших в истории человечества хакерских атак, когда 12 мая жертвами нападения вируса WannaCry, по данным Европола, стали более 200 тыс. компьютеров в 150 странах мира (это более 75% всех государств планеты), напомнила нам о том, что мы действительно живем в новой эре — цифровой.
18.05.2017 00:00Однако не стоит забывать и о давно известных векторах атак, которые тем не менее тоже совершенствуются и могут преподнести неприятный сюрприз. Например, атаки через веб-браузеры. Летом 2017 года исследователи Check Point Software Technologies обнаружили зловред Fireball, который поражает браузеры, может управлять трафиком, а также скачивать и запускать любой другой зловред на компьютер жертвы без ее ведома. По всему миру заражению подверглись 250 млн компьютеров. Распространителем зловреда оказалась китайская рекламная компания Rafotech, которая использует зловред для генерации рекламного трафика.
Вредонос скачивается на компьютер жертвы в связке с легальным бесплатным ПО так, что пользователь этого даже не замечает. Удалить Fireball с ПК без помощи специалистов нельзя, а помимо генерации трафика зловред может быть использован для совершения практически любой атаки, будь то сбор личных данных пользователя, получение доступа к личным кабинетам, мобильному банку, вымогательства. Если это корпоративный компьютер, то через него злоумышленники могут получить доступ ко всей сети организации. Тем более что в России в каждой четвертой компании вирусом Fireball заражен хотя бы один компьютер.
Человек в браузере
Атаки через браузеры особенно эффективны для кражи данных и получения доступа, например, к онлайн-банку. Согласно исследованиям Check Point, во второй половине 2016 года так называемые банковские трояны лишь немного уступали по активности программам-вымогателям. В лидерах оказывались Zeus, Tinba и Ramnit. Есть и новые трояны — например, Panda, впервые появившийся в 2016 году. Его использовали во вредоносной кампании против бразильских банков незадолго до Олимпийских игр — 2016.
Банковские трояны часто используют технику Man-in-browser («Человек в браузере») — веб-инъекции или механизмы перенаправления. Они способны подменять картинку в браузере так, что пользователь не замечает, что находится уже не на странице своего банка. Пользователь вводит логин и пароль, и они попадают прямо к злоумышленнику. Другая техника предполагает использование подложных страниц с предупреждениями якобы от банка жертвы и просьбой ввести учетные данные. Еще один вариант — когда пользователя якобы выкидывает из личного кабинета и он должен снова ввести свои данные. Хотя на самом деле это подложная страница, и вы просто отдаете информацию хакеру.
Цель таких атак — получить доступ к счетам и деньгам жертвы. А их особенность в том, что подобные зловреды очень хорошо маскируются и никак себя не проявляют до тех пор, пока пользователь не зайдет на сайт банка.
Почему браузерные атаки эффективны?
Популярность браузерных атак среди хакеров объясняется как раз тем, что для их работы пользователи особенно часто скачивают и устанавливают различные приложения типа ActiveX, Cookies, Plug-In, Flash Player, Java и т. д. Многие веб-сайты фактически требуют от пользователя установки дополнительного программного обеспечения для включения некоторых функций (Google Earth, Webex, Zoom и пр.). Но если в случае с Webex любое расширение будет безопасно, то плагины с неизвестных сайтов вполне могут содержать вредоносные элементы. Таким образом, по привычке скачав расширение из непроверенного источника, пользователь может стать жертвой атаки.
Заражение происходит, как правило, посредством скачивания через браузеры файлов или программ, содержащих вредоносный код, а также переходов по ссылкам в почте. При этом пользователи сами активируют работу вредоносной программы, нажимая «Установить программное обеспечение». Однако иногда, как в случае с Fireball, можно скачать вполне легальное ПО или получить доступ к сервису, в связке с которым устанавливается вредоносный бонус.
Согласно отчету SANS 2016 Threat Landscape Study, загрузка вредоносных программ через браузер является серьезной проблемой в том числе для корпоративных сетей — 41% самых серьезных инцидентов безопасности приходится на браузерные атаки. Так, согласно одному из последних разоблачений WikiLeaks, ЦРУ использовала программу «Архимед», которая действовала внутри корпоративных сетей. Она получала контроль над компьютером и через браузер перенаправляла трафик на сторонний сервис. При этом пользователь не замечает ничего необычного, а обнаружить подозрительный исходящий трафик можно только при анализе кода веб-страницы.
Банковские трояны становятся все более разнообразными и изощренными. Как они работают и как пользователям защитить себя от онлайн-ограбления?
02.05.2017 00:00Использование браузеров часто становится частью фишинговых атак, как это было в начале мая с Google Docs: злоумышленники создали поддельный документ в Google, при переходе на который жертва попадает на реальную страницу почты Google в браузере. Если пользователь заходит в аккаунт, доступ к нему получает и зловред, который был в поддельном Google Docs. К счастью, это зловредное приложение можно легко удалить, зайдя в настройки браузера. В отличие от Fireball, который удалить своими силами практически невозможно.
Впечатляющие масштабы
Одним из выделяющихся признаков последних громких атак, включая вымогательские, DDoS, браузерные и другие, является их невероятный масштаб и стремительное распространение по всему миру. Так, масштабы заражения Fireball дают китайским маркетологам из Rafotech практически безграничную власть. По нашим оценкам, в случае если Rafotech решит реализовать этот потенциал, каждая пятая корпорация в мире будет находится в серьезной опасности. В случае с конечными пользователями жертв будет еще больше. Ущерб может быть нанесен критически важным организациям — от крупных поставщиков услуг до операторов инфраструктуры и медицинских учреждений. Возможные потери достигают немыслимых масштабов, и на их компенсацию могут уйти годы.
Никита ДУРОВ, технический директор Check Point Software Technologies в России и СНГ, для Banki.ru
Комментарии
Самое печальное, что таких сайтов много. Вспомните "подарок" от Mail.ru. Приходится отключать в браузере все, кроме текста.
Рамблер это российский сайт-шпион-разведчик?
Приложения типа Cookies - это, простите великодушно, что? Если бы статью писала обычная для нынешнего интернета девочка-копирайтер, я б и читать не стал. Но подпись-то стоит аж технического директора известной в далеком прошлом компании-разработчика системного ПО!