Опасные связи: как работают вредоносное ПО

Накануне Mind рассказывал читателям о наиболее распространенных инструментах полулегального и нелегального шпионажа за пользователями сети, жертвами которого уже оказались большинство украинцев. Но «арсенал» злоумышленников очень разнообразен. Улдис Либиетис , управляющий IТ-безопасностью Tet (ранее Lattelecom), рассказал Mind об еще одном «оружии» киберпреступников и способах защиты от него.

Что такое Malvertising?

Это вредоносная реклама. Слово, объединяющее в себе вредоносное ПО и рекламу (malware и advertising), описывает технику, которую злоумышленники используют для скрытого воздействия на пользователей. Как правило, они покупают рекламное место на известных сайтах, и хотя их реклама выглядит законной, в ней скрыт вредоносный код. Такой рекламный блок может перенаправлять людей на вредоносные сайты или устанавливать зараженные программы на их устройства.

Каковы основные каналы распространения?

Злоумышленники используют несколько приемов установки вредоносного программного обеспечения в рекламные блоки.

  • Вредоносный код, вводимый после клика на рекламный блок. Когда пользователь кликает по объявлению, оно, как правило, переадресовывается между несколькими URL-адресами, заканчивая целевой страницей. Если злоумышленник скомпрометирует любой из URL на этом пути, он может запустить вредоносный код.
  • Вредоносная программа также может быть встроена в текстовую или баннерную рекламу. Например, в HTML5 можно создать объявление в виде комбинации изображений и JavaScript, которые могут содержать вредоносный код. Особенно уязвимы сервисы, размещающие рекламу в формате Flash (.swf).
  • Вредоносную программу можно «спрятать» даже в пиксель. Пиксели – это код, вставленный в рекламный блок, который посылает данные на сервер и используется для отслеживания изменений. Обычный пиксель отправляет только данные, но, если злоумышленник отследит путь доставки, он сможет отправить в браузер пользователя вредоносное ПО.

Реализованные злоумышленниками примеры

В начале декабря Microsoft 365 Defender Research Team объявила об обнаружении нового типа вредоносного ПО, которое заражает устройства пользователей, а затем продолжает изменять браузеры и их настройки для размещения рекламы на страницах результатов поиска.

В манипуляциях с браузером пользователя и отображаемой рекламой нет ничего нового, но на этот раз вредоносное ПО было распространено в особо крупных масштабах. Этот тип вредоносного ПО, получивший название Adrozek, был активен как минимум с мая 2020 года и достиг своего пика в августе, когда ежедневно под контролем находились не менее 30 000 браузеров.

Однако исследовательская группа Microsoft 365 Defender считает, что реальное количество зараженных пользователей намного выше. На основании данных Microsoft Telemetry исследователи Microsoft заявили, что в период с мая по сентябрь 2020 года они наблюдали «сотни тысяч» устройств по всему миру, зараженных Adrozek.

В модификаторах браузера нет ничего нового, это одна из самых старых форм вредоносного ПО. Но в чем особенность новой разновидности Adrozek?

  • Во-первых, он может изменять все популярные браузеры – Microsoft Edge, Google Chrome, Yandex Browser и Mozilla Firefox.
  • Во-вторых, он устойчив и может отфильтровывать учетные данные пользователей на разных сайтах.
  • В-третьих, для его распространения была создана обширная динамическая атакующая инфраструктура.
  • Microsoft отследила 159 уникальных доменов, каждый из которых содержал в среднем 17 300 уникальных URL-адресов, которые в свою очередь содержали более 15 300 уникальных полиморфных образцов вредоносного ПО!

Чтобы обеспечить по возможности более продолжительное и незаметное нахождение в компьютере пользователя, Adrozek модифицирует несколько файлов DLL браузера, для изменения его настроек и отключения функций безопасности. Изменения обширны и включают следующее:

  • отключение обновлений браузера;
  • отключение проверки целостности файлов;
  • отключение функции безопасного просмотра;
  • применение регистрации и активации расширения, добавленного ими на предыдущем шаге;
  • разрешение их вредоносному расширению работать в режиме инкогнито;
  • возможность работы расширения без получения соответствующего разрешения;
  • сокрытие расширения с панели инструментов;
  • изменение начальной страницы браузера по умолчанию;
  • изменение поисковой системы браузера по умолчанию.

В своем сообщении Microsoft приводит типичный пример того, как выглядят результаты поиска в браузере, зараженном Adrozek, хотя сразу следует отметить, что варианты могут различаться, а визуальное оформление – меняться.

Опасные связи: как работают вредоносные ПО

Как защитить девайсы?

Чтобы обезопаситься от вредоносного ПО и предотвратить угрозы:

  • используйте антивирусное ПО, которое защищает от угроз и удаляет вредоносное ПО с компьютеров;
  • не используйте «права администратора» во время ежедневной работы в браузере;
  • не открывайте подозрительные ссылки и не посещайте сайты, если антивирусная программа или браузер предупреждают об опасности;
  • регулярно удаляйте файлы cookie;
  • ограничьте использование ненужных расширений для браузера;
  • регулярно обновляйте браузер. Даже если у вас включена функция автоматического обновления, необходимо перезагрузить браузер, чтобы изменения вступили в силу;
  • регулярно устанавливайте обновления операционной системы.

Для защиты систем компаний можно использовать;

  • блокировку опасного контента, в том числе и рекламных сервисов, если пользователи подключаются к интернету через централизованный файрвол;
  • SIEM-решение для автоматического анализа журналов аудита. Оно поможет быстрее обнаружить заражение компьютеров сотрудников;
  • обучение сотрудников правилам кибергигиены (всем упомянутым выше пунктам) и постоянно напоминание о ее значимости.

Mind.ua

«Mind.ua» - читайте актуальные экономические новости на сайте Mind.ua. Главные финансовые новости за сегодня. Последние новости бизнеса. Свежие новости валютного рынка. Новости стартапов и бизнес-идеи

https://mind.ua/ru

Новости по теме
Как РФ ответит за нарушения прав человека на ВОТ - Официальный разговор.

Как РФ ответит за нарушения прав человека на ВОТ - Официальный разговор.

Около 7 тыс. жалоб, связанных с агрессией России в Крыму и на Донбассе, подала Украина в ЕСПЧ с 2014 года. Новый иск против РФ связан с организацией ею ряда резонансных покушений и заказных убийств на территории нашей страны и государств-членов Со...

3 6

Как школьники из ОРДО учатся в школах Мариуполя

Как школьники из ОРДО учатся в школах Мариуполя

Дети из отдельных районов Донецкой области учатся на подконтрольной Украине территории. Обучение проходит дистанционно. Сейчас в Украине – 4 тысячи таких школьников. В 29-й мариупольской школе рекордное количество учеников – больше тысячи. Половин...

2

Вакцинироваться от COVID-19 все желающие украинцы смогут в этом году - День 5.

Вакцинироваться от COVID-19 все желающие украинцы смогут в этом году - День 5.

00:00 Смотрите в этом выпуске: 00:13 Украина как никогда нуждается в поддержке международных партнёров для достижения мира на Донбассе, – Ермак. 01:17 Великобритания спроектирует и построит новые ракетные катера специально для военно-морского флот...

Дело сфальсифицировано – адвокат Олега Приходько

Дело сфальсифицировано – адвокат Олега Приходько

Адвокат Олега Приходько Назим Шейхмамбетов в эфире Радио Крым.Реалии назвал дело в отношении крымчанина сфальсифицированным. «Единственным справедливым и правильным решением сегодня (3 марта – КР) должно было быть оправдание Олега Аркадьевича и на...

Театр абсурда в ТКГ- Утро 5.03.21

Театр абсурда в ТКГ- Утро 5.03.21

00:00 Смотрите в этом выпуске: 00:23 Российская сторона на переговорах Трёхсторонней контактной группы по мирному урегулировании ситуации на Донбассе вносит сплошной деструктив. 01:11 НВФ продолжают игнорировать режим прекращения огня на Донбассе....

1 2

Новини України та світу на ранок 5 березня

Новини України та світу на ранок 5 березня

Новини України та світу 5 березня 2021 року. Що важливого відбулося сьогодні та чим запам’ятається цей день. Актуальні новини й основні події в Україні та світі станом на ранок. Тільки свіжі новини політики, економіки, суспільства, спорту та остан...

1