2018.05.31
5月份,Doctor Web公司对多个威胁Steam热门游戏平台用户的木马进行了研究,这些木马窃取电脑游戏迷的账户数据,并在进行交易时替换游戏物品。技术人员还在春季的最后一个月发现大量欺诈性网站,其地址已添加到不推荐网站资源库。其中一些网页利用的是即将到来的2018年世界杯。5月初,病毒分析人员还对多种从被感染设备窃取机密信息的盗窃木马进行了研究。
月主要趋势
- 威胁Steam用户的木马正在传播
- 出现大量欺诈性网站
- 出现窃取私人信息的新间谍木马
本月威胁
Dr.Web病毒库新添加的以Trojan.PWS.Steam.13604和Trojan.PWS.Steam.15278命名的两个木马的编写者新创了一个木马传播方式:病毒编写者提供木马程序及其控制面板的访问权限,还提供技术支持,想要使用这些木马获取非法收入的不法分子只需进行相应支付,只在某些情况下还需要一个域名。
Trojan.PWS.Steam.13604感染计算机后,会显示一个虚假的Steam登录窗口。如果受害者输入用户名和密码,木马会试图利用这些信息登录Steam服务。如果成功登录,并且计算机上启用了Steam Guard(一种用于保护用户帐户的双因素身份认证系统),则木马会在屏幕上显示一个用于输入验证码的虚假窗口。所有这些信息都被发送到不法分子的服务器。
出自同一编写者的另一个恶意程序Trojan.PWS.Steam.15278能够窃取Steam上的物品。木马利用网络注入工具在交换站点偷换游戏物品的接收人,从而使不法分子将这些物品收入囊中。恶意程序会在用户使用官方网站steamcommunity.com交换物品时,通过拦截和修改流量来替换受害者计算机上显示的游戏物品。这样用户会觉得自己正在购买一些昂贵的物品,而实际上账户中添加的是一个完全不同的、便宜得多的物品。
上述木马的传播方式及其工作原理的详情请参阅我公司网站发布的文章。
Doctor Web统计服务器收集的数据结果
- JS.BtcMine.36
- 用于暗中获取(采集)加密电子货币的JavaScript脚本。
- JS.Inject
- 一种用JavaScript语言编写的恶意脚本家族,可将恶意脚本嵌入到网站HTML代码。
- Trojan.PWS.Stealer
- 一种用于窃取被感染计算机密码等机密信息的木马家族。
- Trojan.MulDrop8.25070
- 一种将其他恶意程序安装到系统中的点滴木马。
- Win32.HLLW.Shadow
- 利用可移动载体和网络磁盘进行传播的蠕虫。此外,该木马还能够利用SMB标准协议进行网络传播,能够从控制服务器下载并启动可执行文件。
邮箱流量恶意程序统计
- Trojan.Dimnie.14
- 一种间谍木马,能够窃取被感染设备的机密信息,并未经授权访问被感染的计算机。 这一木马还包含一个银行模块。
- JS.DownLoader
- 一种用JavaScript语言编写的恶意脚本家族,可在电脑上下载和安装其他恶意软件。
- JS.Inject
- 一种用JavaScript语言编写的恶意脚本家族,可将恶意脚本嵌入到网站HTML代码。
- JS.BtcMine.36
- 用于暗中获取(采集)加密电子货币的JavaScript脚本。
- Trojan.DownLoader
- 用来在受攻击计算机下载其他恶意应用的木马家族。
加密器
5月份Doctor Web公司技术支持部门接收到的解密申请大部分来自以下木马加密器变种受害者:
- Trojan.Encoder.11464— 申请的15.90%;
- Trojan.Encoder.858— 申请的11.33%;
- Trojan.Encoder.24249— 申请的6.16%;
- Trojan.Encoder.10700— 申请的3.78%;
- Trojan.Encoder.13671— 申请的3.70%;
- Trojan.Encoder.4592— 申请的2.39%。
Dr.Web Security Space for Windows抵御木马加密器
危险网站
随着世界杯的临近,许多网络诈骗分子开始利用这一热门话题进行活动。他们为了吸引访客,在自己的网页上使用比赛的官方标志,邀请所有意愿者参加抽奖,并称这一活动的发起者是FIFA国际足联、大型银行和国际投资基金组织。
诈骗分子声称奖品是高档汽车、大笔现金和国外旅游套餐,当然还包括免费的世界杯门票。网络犯罪分子利用的手段并不新鲜:通知潜在受害者赢得大奖,为此需要向诈骗分子的账户转几百卢布。很明显受害者在交钱后将不会得到任何奖励。在2018年5月Doctor Web公司的技术人员将数十个这样的网站地址添加到父母控制和办公控制的数据库中,但主题和设计类似的网站仍然层出不穷。
5月份,利用短信和通讯程序上的消息传播欺诈性网站的事件更为频繁。诈骗分子建议潜在受害者拿回多付的水电费、医疗费或保险费。
受害者为了“检查”是否有资格获得补偿时要访问一个网站,并需要在专用表格中输入文件的最后几位数字以及自己的姓名。无论用户输入的是什么数据,网站都会显示一则消息,表示可以获取赔偿,但要向不法分子转一小笔费用。这一常用网络诈骗手段详情参阅我公司网站发表的文章。
2018年5月份Dr.Web不推荐网站和恶意网站数据库新添1 388 093个互联网地址。
| 2018.04 | 2018.05 | 增幅 |
|---|---|---|
| + 287 661 | + 1 388 093 | + 382.5% |
其他信息安全事件
5月份,Doctor Web公司病毒分析人员对多个窃取机密信息的新木马变种进行了研究。其中一个木马被命名为Trojan.PWS.Stealer.23370,扫描被感染设备的磁盘,搜索基于Chromium的浏览器保存的密码和cookies文件。此外,这一木马从通讯程序Telegram、FTP FileZilla客户端窃取信息,并根据预先定义的列表复制图像和办公文件。木马会将收到的数据打包存档并保存到Yandex.Disk。
该间谍木马的另一个变种被命名为Trojan.PWS.Stealer.23700,窃取 Google Chrome、Opera、Yandex.Browser、Vivaldi、Kometa、 Orbitum、Comodo、Amigo和Torch浏览器的密码和cookies文件。此外,该木马还复制Steam应用程序config子文件夹ssfn文件以及登录Telegram账号所需的数据。此外,间谍木马为保存在Windows桌面上的图像和文档创建副本,将窃取的所有信息都打包归档并上传到云存储pCloud。
该窃取木马的第三个变种被命名为Trojan.PWS.Stealer.23732,包含多个组件。其中一个组件是间谍模块,和之前的变种一样,用Python语言编写并转换成可执行文件,窃取机密信息。该木马其他的所有组件都是由Go语言编写的,其中一个组件扫描磁盘以搜索安装浏览器的文件夹,另一个组件将被盗数据打包归档并上传到pCloud。
此类恶意程序传播方式的详情请参阅我公司网站的文章。
移动恶意软件和不良软件
5月份出现不少新的移动恶意程序和风险程序,其中很多程序通过安卓系统官方目录进行传播。月初,Doctor Web公司病毒分析人员在Google Play发现木马Android.Click.248.origin,该木马加载欺诈性网页,诱使用户订阅高价服务。随后我们的技术人员记录到木马Android.FakeApp,该木马打开从病毒编写者处获取的链接,加载网页,人为增加其访问率。此外,用于显示广告的Android.HiddenAds家族恶意程序也在Google Play中传播。5月份侦测到的木马还包括用于监视用户的间谍木马Android.Spy.456.origin和Android.Spy.457.origin。月末,Doctor Web公司病毒分析人员还在病毒库中添加了Program.Onespy.3.origin商业间谍程序记录。
5月份最值得注意的移动安全事件有:
- Google Play目录出现新的安卓木马;
- 出现新版本安卓间谍风险程序。
5月份移动病毒情况更多详情请参阅移动威胁综述。
