第四季度份加密器受害者的最常遭遇的是Trojan.Encoder.35534、Trojan.Encoder.35067和Trojan.Encoder.26996。
移动设备侦测量最多的再次是Android.HiddenAds家族的广告木马。同时我公司技术专家在Google Play侦测到大量安全威胁。
第四季度主要趋势
- 广告应用和广告木马占侦测量之首
- 独特新威胁较上季度数量大增
- 邮箱流量中间谍软件活动加剧
- 大量木马通过Google Play进行传播
2024年12月26日
Doctor Web统计服务收集的数据
第四季度最常见威胁:
- Adware.Downware.20091
- 广告软件,经常用于盗版软件的中转安装器。
- VBS.KeySender.6
- 恶意脚本,无限循环搜索带有文本 mode extensions、разработчика 和 розробника 的窗口,并向其发送Escape 按钮被按事件,迫使窗口关闭。
- JS.Siggen5.44590
- 添加到公共 JavaScript 库 es5-ext-main 中的恶意代码。如果安装数据包的是俄罗斯时区的服务器,会显示特定消息。
- Trojan.BPlug.4210
- WinSafe 浏览器插件的恶意组件,为 JavaScript 脚本,用于在浏览器不断显示广告。
- Trojan.Starter.8242
- 启动挖矿木马的恶意程序。
邮箱流量恶意程序统计数据
- JS.Siggen5.44590
- 添加到公共 JavaScript 库 es5-ext-main 中的恶意代码。如果安装数据包的是俄罗斯时区的服务器,会显示特定消息。
- JS.Inject
- 利用JavaScript语言编写的恶意脚本家族,将恶意脚本嵌入网页的HTML代码。
- LNK.Starter.56
- 专门生成的快捷方式,通过移动驱动器传播,并带有磁盘图标来误导用户。打开时会启动与快捷方式位于同一介质的隐藏目录中的恶意 VBS 脚本。
- Win32.HLLW.Rendoc.3
- 一种通过移动存储器传播的网络蠕虫。
- Trojan.Fbng.123
- 一种木马间谍软件,也称为 Formbook。功能是从被感染的设备窃取各种数据,包括窃取浏览器、电子邮件客户端、即时通讯和其他软件中保存的密码,拦截在网页输入的数据,跟踪键盘(进行键盘记录)并进行屏幕截图。此外,还能下载和启动其他程序以及充当后门,执行攻击者的各种命令。
加密器
第四季度,勒索木马受害者的文件解密申请量较第三季度下降了18.96%。
Doctor Web公司技术支持部门接收到的解密申请量动态:
第四季度最常见的加密器:
- Trojan.Encoder.35534 —占用户申请的22.63%
- Trojan.Encoder. 35067 —占用户申请的3.91%
- Trojan.Encoder.26996 —占用户申请的3.35%
- Trojan.Encoder.35209 —占用户申请的3.07%
- Trojan.Encoder.38200 —占用户申请的3.07%
网络诈骗
2024 年第四季度,攻击者假借各种投资机会进行欺诈的模式仍在大肆使用。 “访问”投资服务要求用户注册个人数据,而这些数据最终会落入欺诈者手中。此类网站很多国家的用户都有遭遇。
谎称与世界银行有关的欺诈网站承诺欧洲用户投资经济前景看好的领域可获得红利
针对斯洛伐克用户的欺诈网站提供所谓投资服务,谎称是“每月收入可超 192,460 美元”的机会
诈骗者冒充大型银行和石油天然气公司,向亚美尼亚和摩尔多瓦的用户提供所谓的“股票赚钱”的服务
虚假的阿塞拜疆石油天然气公司网站,承诺访问者每月收入可达 1,000 马纳特
所谓的“谷歌新投资平台”的网站邀请访客参与一项调查并获得一项服务的使用权限,可赚取 1000 欧元
一个针对俄罗斯用户的欺诈网站承诺每月可收入最低 15 万卢布
我公司专家还注意到此类网站的内容会出现季节性变化。在新年前夕,诈骗者开始更频繁地使用所谓来自银行、石油天然气公司、加密货币交易所和其他组织的礼物为诱饵。例如,一个虚假网站谎称依据一些“名单”俄罗斯用户可从加密货币交易所收到现金付款。而检查自己是否有权获取此类付款,用户需要参与一项调查并提供个人数据。
虚假的加密货币交易网站向俄罗斯用户提供所谓“贺年款”
另一个诈骗网站则称一家石油天然气公司提供“新年优惠”,为纪念哈萨克斯坦独立,该国用户每月可以收到 20 万至 100 万坚戈。而“接到”付款必须要先在网站输入个人信息来提交“申请”。
打着“新年优惠”幌子的欺诈网站承诺向哈萨克斯坦用户支付大笔费用以庆祝独立日
同时,我们的互联网分析师还记录到假冒的俄罗斯银行网站,这些网站邀请潜在受害者参加有关服务质量的调查,并称参与可获得奖励。用户需要提供个人数据,例如姓名、与银行账户关联的手机号码以及银行卡号。
假冒银行网站的示例,复制信贷机构真实网站的设计并邀请潜在受害者参与调查获取奖金
参与调查需输入个人信息表
此外,还发现了提供所谓在线培训(例如编程)的欺诈网站。向接受培训的访客需留下联系信息才能获得具体培训计划。
提供在线编程课程的网站。 “获取咨询”需提供个人信息。
网络诈骗者仍在试图窃取 Telegram 帐户。2024 年第四季度再次出现了伪装成各种在线投票的钓鱼网站,例如“儿童绘画比赛”投票。 “确认”投票需要提供一个手机号码来接收验证码。然而,在虚假网站输入所谓的验证码实际上是为诈骗者提供了帐户的访问权限。
邀请访问者参与儿童绘画比赛投票的诈骗网站
计票系统”要求“确认投票”,需输入手机号码接收一次性代码来进行确认
受害者输入收到的代码实际上是让诈骗者获取了访问其 Telegram 帐户的权限
移动设备恶意软件和不良软件
根据Dr.Web产品对安卓移动设备的侦测统计,2024年第四季度份在受保护设备最常侦测到的是显示不良广告的Android.HiddenAds木马广告应用,恶意应用Android.FakeApp和Android.Siggen。同时,我公司技术人员Google Play目录中再次侦测到大量新威胁。
第四季度份主要移动安全事件:
- Android.HiddenAds广告木马和Android.FakeApp诈骗软件最为活跃。
- Google Play目录中再次出现新的恶意应用。
2024年第四季度份移动威胁更多详情请参阅移动威胁综述。
