«Доктор Веб»: обзор вирусной активности в январе 2021 года

24 февраля 2021 года

В январе анализ данных статистики Dr.Web показал увеличение общего числа обнаруженных угроз на 4.92% по сравнению с декабрем. Количество уникальных угроз также выросло — на 13.11%. По общему количеству детектирований продолжают лидировать рекламные программы и вредоносные расширения для браузеров. В почтовом трафике на первых позициях находятся различные модификации стилеров семейства AgentTesla, бэкдор, написанный на VB.NET, а также программы, использующие уязвимости документов Microsoft Office.

Число обращений пользователей за расшифровкой файлов увеличилось на 29.27% по сравнению с декабрем. Самым распространенным энкодером остается Trojan.Encoder.26996, на долю которого приходится 24.11% всех инцидентов.

По данным сервиса статистики «Доктор Веб»

Угрозы прошедшего месяца:

Adware.Elemental.17

Семейство рекламных программ, попадающих на устройства путем подмены ссылок на файлообменных сервисах. Вместо ожидаемых файлов жертвы получают эти приложения, которые показывают рекламу, а также инсталлируют ненужное ПО.

Trojan.BPlug.3867

Вредоносное расширение для браузера, предназначенное для веб-инжектов в просматриваемые пользователями интернет-страницы и блокировки сторонней рекламы.

Adware.SweetLabs.4

Альтернативный каталог приложений и надстройка к графическому интерфейсу Windows от создателей Adware.Opencandy.

Adware.Softobase.15

Программа-установщик, распространяющая устаревшее программное обеспечение. Меняет настройки браузера.

Adware.Downware.19629

Рекламное ПО, часто выступающее в роли промежуточного установщика пиратских программ.

Статистика вредоносных программ в почтовом трафике

Trojan.Siggen11.57608

Модификация стилера, известного как AgentTesla. Имеет функциональность кейлоггера и используется для кражи конфиденциальной информации.

Trojan.Packed2.42809

Одна из многочисленных модификаций AgentTesla, обфусцированная при помощи упаковщика.

W97M.DownLoader.2938

Семейство троянов-загрузчиков, использующих в работе уязвимости документов Microsoft Office. Предназначены для загрузки на атакуемый компьютер других вредоносных программ.

BackDoor.SpyBotNET.25

Бэкдор, написанный на VB.NET. Способен манипулировать файловой системой (копирование, удаление, создание директорий и т. д.), завершать процессы, делать снимки экрана.

Trojan.SpyBot.699

Многомодульный банковский троян. Позволяет киберпреступникам загружать и запускать на зараженном устройстве различные приложения и исполнять произвольный код.

Шифровальщики

Запросов на расшифровку файлов от пользователей, пострадавших от шифровальщиков, в январе в антивирусную лабораторию «Доктор Веб» поступило на 29.27% больше, чем в декабре.

• Trojan.Encoder.26996 — 24.11%
• Trojan.Encoder.567 — 13.10%
• Trojan.Encoder.29750 — 7.44%
• Trojan.Encoder.11549 — 2.08%
• Trojan.Encoder.30356 — 1.49%

Опасные сайты

В течение января 2021 года интернет-аналитики «Доктор Веб» выявили множество мошеннических и фишинговых сайтов, при помощи которых злоумышленники похищали деньги и персональные данные пользователей. Чаще всего посетителям предлагалось получить несуществующую выплату от государства или перевод от частного лица. Во всех случаях для получения обещанных выплат требовалось оплатить комиссию.

Кроме того, в январе аналитики обнаружили несколько веб-сайтов несуществующих банков. Злоумышленники регистрировали сайты в домене .рф и использовали один и тот же шаблон для создания однотипных страниц, отличающихся лишь вымышленными названиями банков. Эти мошеннические ресурсы предназначались для кражи средств со счетов доверчивых пользователей.

Также в январе было выявлено множество поддельных служб переводов, маскирующихся под онлайн-кассы. Эти сайты часто использовались в связке с мошенническими торговыми площадками и позволяли похищать не только деньги, но и данные банковских карт пользователей.

Вредоносное и нежелательное ПО для мобильных устройств

По сравнению с декабрем в январе на Android-устройствах было выявлено на 11.32% меньше угроз. При этом в числе наиболее распространенных оказались вредоносные приложения, способные загружать другое ПО и выполнять произвольный код, а также трояны, демонстрировавшие рекламу.

В течение прошлого месяца специалисты компании «Доктор Веб» обнаружили в каталоге Google Play множество вредоносных приложений семейства Android.FakeApp, загружавших мошеннические сайты. Кроме того, были выявлены очередные многофункциональные трояны, принадлежащие семейству Android.Joker. Одна из их функций — подписка пользователей на дорогостоящие мобильные услуги. Кроме того, злоумышленники распространяли приложения со встроенными в них нежелательными рекламными модулями, получившими имя Adware.NewDich.

Эти модули загружали в веб-браузере различные сайты, среди которых могли оказаться как безобидные, так и вредоносные и мошеннические веб-ресурсы, а также сайты с рекламой.

Активность проявили и различные банковские трояны. Одного из них вирусные аналитики «Доктор Веб» обнаружили в Google Play, других вирусописатели распространяли через вредоносные сайты.

Наиболее заметные события, связанные с «мобильной» безопасностью в январе:

• снижение общего числа угроз, зафиксированных на защищаемых Android-устройствах;
• появление множества новых вредоносных и нежелательных программ в каталоге Google Play.

Более подробно о вирусной обстановке для мобильных устройств в январе читайте в нашем обзоре.