«Доктор Веб»: обзор вирусной активности в октябре 2023 года

22 ноября 2023 года

Анализ статистики детектирований антивируса Dr.Web в октябре 2023 года показал снижение общего числа обнаруженных угроз на 49,73% по сравнению с сентябрем. Число уникальных угроз при этом увеличилось на 12,50%. По-прежнему наиболее часто обнаруживались рекламные трояны и нежелательные рекламные приложения.

В почтовом трафике вновь преобладали вредоносные скрипты, фишинговые документы и приложения, которые эксплуатируют уязвимости документов Microsoft Office.

Число обращений пользователей за расшифровкой файлов увеличилось на 11,48% по сравнению с предыдущим месяцем. Самым активным энкодером октября стал Trojan.Encoder.26996 с долей 22,54% зафиксированных инцидентов. Вторым стал Trojan.Encoder.3953 — на него пришлось 15,49% обращений. Третье место с долей 7,51% занял Trojan.Encoder.35534.

В течение октября специалисты компании «Доктор Веб» обнаружили в каталоге Google Play десятки вредоносных приложений. Среди них — троянские программы, превращавшие Android-устройства в прокси-серверы, а также приложения-подделки, которые злоумышленники использовали в мошеннических целях.

По данным сервиса статистики «Доктор Веб»

Наиболее распространенные угрозы октября:

Adware.Downware.20091

Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ.

Adware.Siggen.33194

Детектирование созданного с использованием платформы Electron бесплатного браузера со встроенным рекламным компонентом. Этот браузер распространяется через различные сайты и загружается на компьютеры при попытке скачивания торрент-файлов.

Trojan.AutoIt.1224

Детектирование упакованной версии троянской программы Trojan.AutoIt.289, написанной на скриптовом языке AutoIt. Она распространяется в составе группы из нескольких вредоносных приложений ― майнера, бэкдора и модуля для самостоятельного распространения. Trojan.AutoIt.289 выполняет различные вредоносные действия, затрудняющие обнаружение основной полезной нагрузки.

Adware.SweetLabs.5

Альтернативный каталог приложений и надстройка к графическому интерфейсу Windows от создателей Adware.Opencandy.

Trojan.BPlug.3814

Детектирование вредоносного компонента браузерного расширения WinSafe. Этот компонент представляет собой сценарий JavaScript, который демонстрирует навязчивую рекламу в браузерах.

Статистика вредоносных программ в почтовом трафике

JS.Inject

Семейство вредоносных сценариев, написанных на языке JavaScript. Они встраивают вредоносный скрипт в HTML-код веб-страниц.

W97M.Phishing.46

Фишинговые документы Microsoft Word, которые нацелены на пользователей, желающих стать инвесторами. Они содержат ссылки, ведущие на мошеннические сайты.

Exploit.CVE-2018-0798.4

Эксплойты для использования уязвимостей в ПО Microsoft Office, позволяющие выполнить произвольный код.

JS.Packed.105

Зашифрованный JS-сценарий, в котором скрывается бэкдор JS.BackDoor.49. Этот бэкдор выполняет команды управляющего сервера, способен запускать исполняемые файлы и библиотеки, а также имеет функцию кейлоггера.

W97M.DownLoader.2938

Семейство троянов-загрузчиков, использующих уязвимости документов Microsoft Office. Они предназначены для загрузки других вредоносных программ на атакуемый компьютер.

Шифровальщики

В октябре число запросов на расшифровку файлов, затронутых троянскими программами-шифровальщиками, увеличилось на 11,48% по сравнению с сентябрем.

Наиболее распространенные энкодеры октября:

• Trojan.Encoder.26996 — 22.54%
• Trojan.Encoder.3953 — 15.49%
• Trojan.Encoder.35534 — 7.51%
• Trojan.Encoder.30356 — 2.35%
• Trojan.Encoder.37369 — 2.35%

Опасные сайты

В октябре 2023 года были выявлены очередные сайты, которые мошенники для привлечения внимания потенциальных жертв оформляют в стиле известных интернет-магазинов. Их посетители якобы могут принять участие в розыгрыше денежных призов. Для этого им предлагается пройти опрос и сыграть в игру, которая на самом деле является симуляцией, — мнимая победа в ней заранее запрограммирована. Чтобы «получить» приз, пользователи должны заплатить «комиссию» за перевод денег на свой банковский счет. Никаких выплат жертвы злоумышленников после этого не получают. Наоборот, они переводят мошенникам собственные деньги, а также рискуют раскрыть данные банковских карт.

Примеры таких сайтов:

При «розыгрыше» приза посетитель якобы выиграл 249 740 рублей:

Форма для оплаты «комиссии» за получение несуществующего выигрыша:

Вредоносное и нежелательное ПО для мобильных устройств

Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в октябре пользователей чаще всего атаковали рекламные троянские приложения Android.HiddenAds. Кроме того, по сравнению с прошлым месяцем возросла активность банковских троянов и шпионских вредоносных программ.

В течение октября специалисты «Доктор Веб» выявили свыше 50 вредоносных приложений в каталоге Google Play. Среди них — трояны Android.Proxy.4gproxy, которые превращали зараженные устройства в прокси-серверы, а также мошеннические программы Android.FakeApp.

Наиболее заметные события, связанные с «мобильной» безопасностью в октябре:

• рост активности рекламных троянских программ,
• рост активности банковских и шпионских троянских приложений,
• обнаружение новых вредоносных приложений в каталоге Google Play.

Более подробно о вирусной обстановке для мобильных устройств в октябре читайте в нашем обзоре.