روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ به سال میلادی جدید نزدیک شدهایم و به این مناسبت در این مقاله قصد داریم سیر تکاملی تهدید آیتی را به طور کلی و بعد در قالب آمارهای موبایلی و غیر موبایلی در سه ماههی سوم سال 2024 -که رو به پایان است- مورد بررسی قرار دهیم. با ما همراه باشید.
حملات هدفدار
عامل تهدید جدید APT، نهادهای دولتی روس را هدف میگیرد
در می 2024 یک APT جدید کشف کردیم که سازمانهای دولتی روس را هدف قرار داده بود. CloudSorcerer یک ابزار پیچیدهی جاسوسی است که برای نظارت مخفیانه، جمعآوری داده و استخراج از طریق زیرساختهای کلودِ مایکروسافت، یاندکس و دراپباکس استفاده میشود. این بدافزار از منابع کلود برای سرورهای C2 (فرمان و کنترل) خود استفاده میکند که دسترسیاش از طریق APIهایی ممکن میشود که از توکنهای احراز هویت استفاده میکنند. CloudSorcerer بسته به فرآیندی که در حال اجرا است به عنوان ماژولهای جداگانه - برای ارتباطات و جمع آوری دادهها - عمل میکند، اما از یک فایل اجرایی اجرا شده و از رابطهای شی COM مایکروسافت برای انجام عملیات مخرب خود استفاده میکند.
در حالیکه شیوه عملکرد عامل تهدید یادآور CloudWizard APT است که در سال 2023 گزارش دادیم، کد بدافزار کاملاً متفاوت است. در نتیجه، ما معتقدیم که CloudSorcerer یک عامل تهدید جدید است که رویکرد مشابهی را برای تعامل با سرویسهای ابری عمومی تقلید کرده. دو ماه بعد، در جولای 2024، CloudSorcerer حملات بیشتری را علیه سازمانهای دولتی روسیه و شرکتهای فناوری اطلاعات انجام داد. این کمپین که ما نامش را EastWind گذاشتیم، از ایمیلهای فیشینگ با میانبرهای مخرب متصل شده برای ارسال بدافزار به رایانههای هدف استفاده میکرد. این بدافزار که دستورهایی را از طریق سرویس کلود Dropbox دریافت میکرد، برای بارگیری بارهای اضافی استفاده میشد. یکی از آنها ایمپلنتی به نام GrewApacha بود که حداقل از سال 2021 توسط APT31 استفاده میشد.
دیگری نسخه به روز شده بکدی بود که توسط CloudSorcerer در حملات قبلی خود استفاده میشد. این یکی از پروفایل های LiveJournal و Quora به عنوان سرورهای اولیه C2 استفاده میکند. آخرین حملات همچنین از یک ایمپلنت ناشناخته با عملکرد کلاسیک بکدر به نام PlugY استفاده میکنند. این بدافزار که از طریق بکدر CloudSorcerer بارگذاری میشود، دارای مجموعه دستورات گستردهای است و میتواند از سه پروتکل مختلف برای برقراری ارتباط با C2 پشتیبانی کند. این کد مشابه کد بکدر DRBControl (معروف به Clambling)است که توسط چندین شرکت به APT27 نسبت داده شده است.
BlindEagle به زرادخانه خود سایدلودینگ (بارگذاری جانبی) را هم اضافه میکند
در ماه اوت، کمپین جدیدی توسط Blind Eagle را گزارش کردیم، یک بازیگر تهدید که حداقل از سال 2018 دولت، امور مالی، انرژی، نفت و گاز و سایر بخشها را در آمریکای لاتین هدف قرار داده است. این کمپین با TTP ها (تاکتیک، تکنیک و رویهها) و مصنوعات مورد استفاده توسط BlindEagle، اگرچه مهاجمان یک تکنیک جدید را به مجموعه ابزار خود معرفی کردهاند - بارگذاری جانبی DLL. این حمله با ایمیلهای فیشینگ شروع میشود که طبق ادعاها، حکم دادگاه یا احضار یک موسسه در سیستم قضایی کلمبیا است. ایمیل حاوی لینکی در متن پیام است که در فایل پیوست نیز موجود است که به نظر می رسد یک سند PDF یا Word باشد. قربانیان با کلیک بر روی لینک برای بازیابی اسناد مربوط به دعوی فریب میخورند.
این اسناد در واقع ZIP یا آرشیوهای دیگری هستند که با رمز عبور محافظت میشوند. فایلهای بایگانی حاوی یک فایل اجرایی تمیز است که مسئول شروع فرآیند عفونت از طریق بارگذاری جانبی، در کنار فایلهای مخرب مختلف مورد استفاده در زنجیره حمله است. یکی از این فایلها دارای یک لودر تعبیهشده به نام HijackLoader است که بار نهایی را رمزگشایی و بارگذاری میکند. بار نهایی نسخهای از AsyncRAT، یکی از تروجانهای دسترسی از راه دورRAT) ) است که توسط BlindEagle در کمپینهای قبلی استفاده شده است.
بازیگر تهدید Tropic Trooper که از سال 2011 فعال است، در طول تاریخ بخشهای دولتی، مراقبتهای بهداشتی، حملونقل و فناوری پیشرفته را در تایوان، فیلیپین و هنگ کنگ هدف قرار داده است. در ژوئن 2023، Tropic Trooper مجموعهای از کمپینهای مداوم را با هدف قرار دادن یک نهاد دولتی در خاورمیانه آغاز کرد. در ژوئن سال جاری زمانی که تله متری ما هشدارهای تکراری را برای یک نوع پوسته وب چینی جدید کشف شده در یک وب سرور عمومی نشان داد، به ما هشدار داده شد. Chopper چینی به طور گسترده توسط بازیگران چینی زبان استفاده میشود. سرور میزبان یک CMS (سیستم مدیریت محتوا) به نام Umbraco بود، یک پلتفرم CMS منبع باز برای انتشار محتوا، که به زبان C# نوشته شده است. جزء پوسته وب مشاهده شده به عنوان یک ماژول دات نت از Umbraco CMS کامپایل شد.
در جریان تحقیقات بعدی، ما به دنبال شناساییهای مشکوک دیگری در این سرور عمومی بودیم و چندین مجموعه بدافزار را شناسایی کردیم. اینها شامل ابزارهای پس از بهره برداری میشود که با اطمینان متوسط ارزیابی کرده ایم که مرتبط با این نفوذ هستند. همچنین ایمپلنتهای جدید ربودهشده با سفارش جستجوی DLL را شناسایی کردیم که از یک فایل اجرایی آسیبپذیر قانونی بارگیری میشوند، زیرا فاقد مشخصات مسیر کامل به DLL مورد نیاز است. این زنجیره حمله تلاش کرد تا لودر Crowdoor را که تا حدی از نام بکدر SparrowDoor که توسط ESET توصیف شده است، بارگیری کند.
در طول حمله، عامل امنیتی اولین بارکننده Crowdoor را مسدود کرد، و مهاجمان را وادار نمود تا به نوع جدیدی که قبلاً گزارش نشده بود، تقریباً همان تأثیر را تغییر دهند. ما این فعالیت را با اطمینان بالا به عامل تهدید چینی زبان معروف به Tropic Trooper نسبت میدهیم. یافته های ما همپوشانی در تکنیکهای گزارش شده در کمپین های اخیر Tropic Trooper را نشان میدهد. نمونههای یافتشده همپوشانی بالایی را با نمونههایی که قبلاً به Tropic Trooper نسبت داده شده بودند نشان میدهند.
اهمیت این نفوذ در این است که یک بازیگر چینیزبان را هدف قرار می دهد که پلتفرم CMS را که مطالعاتی را در مورد حقوق بشر در خاورمیانه منتشر میکند، با تمرکز ویژه بر وضعیت پیرامون درگیری اسرائیل و حماس، هدف قرار داده است. تجزیه و تحلیل ما نشان داد که کل سیستم تنها هدف در طول حمله بود، که نشان دهنده تمرکز عمدی بر این محتوای خاص است.
از 12 به 21: ارتباطات بین دو گروه Twelve و BlackJack
در بهار سال 2024، پستهای حاوی اطلاعات شخصی افراد واقعی در کانال تلگرام TWELVE=- =- ظاهر و خیلی سریع به دلیل نقض شرایط سرویس تلگرام مسدود شد و این گروه برای چندین ماه غیر فعال باقی ماند. با این حال، در طول بررسی ما در مورد یک حمله در اواخر ژوئن، تکنیکهای مشابه با Twelve و استفاده از سرورهای C2 مرتبط با این عامل تهدید را کشف کردیم. گروه دوازده در آوریل 2023 در چارچوب درگیری روسیه و اوکراین تأسیس شد و از آن زمان تاکنون به سازمان های دولتی روسیه حمله می کند. عامل تهدید در رمزگذاری و سپس حذف دادههای اهداف خود تخصص دارد، که نشان می دهد هدف اصلی گروه ایجاد آسیب تا حد ممکن است. Twelve همچنین اطلاعات حساس را از سیستم های هدف استخراج و آن را در کانال تلگرام گروه ارسال می کند. جالب اینجاست که Twelve زیرساختها، ابزارها و TTPها (تاکتیکها، تکنیکها و رویه ها) را با گروه باج افزار DARKSTAR (که قبلا Shadow یا COMET نامیده میشد) به اشتراک می گذارد. این نشان می دهد که این دو ممکن است متعلق به یک سندیکا یا خوشه فعالیت باشند. در عین حال، گرچه اقدامات Twelve به وضوح ماهیت هکریستی دارد، اما DARKSTAR به الگوی کلاسیک اخاذی دوگانه پایبند است.
این تنوع در اهداف در سندیکا پیچیدگی و تنوع تهدیدات سایبری مدرن را برجسته می کند. در گزارش سپتامبر خود در دوازده، ما از روش Unified Kill Chain برای تجزیه و تحلیل فعالیتهای گروه استفاده کردیم. همچنین TTPهای همپوشانی را با BlackJack، یک گروه هکریست دیگر که در اواخر سال 2023 ظهور کرد، کشف کردیم. اهداف اعلام شده این گروه، از کانال تلگرام آن، یافتن آسیبپذیریها در شبکههای سازمانها و نهادهای دولتی روسیه است. عامل تهدید مسئولیت بیش از ده ها حمله را بر عهده گرفته است و تلهمتری ما همچنین حاوی اطلاعاتی در مورد سایر حملات فاش نشده است که در آن شاخصها به دخالت BlackJack اشاره می کنند. این گروه فقط از نرم افزارهای آزاد و منبع باز استفاده می کند. این شامل استفاده از ابزار ngrok برای تونل زدن، Radmin، AnyDesk و PuTTY برای دسترسی از راه دور، پاک کن Shamoon و نسخه لو رفته باج افزار LockBit میشود. این تایید میکند که کار، کارِ گروه هکریستی است که فاقد منابع معمولی بازیگران بزرگ تهدید APT است.
سایر بدافزارها
چطور گروههای «حرفهای» باجافزاری به کسب و کار مجرمان سایبری رونق میدهند؟
مجرمان سایبری که میخواهند وارد تجارت باج افزار شوند، لزوماً نیازی به توسعه نرم افزار ندارند. آنها میتوانند یک نوع باجافزار لو رفته را به صورت آنلاین پیدا کنند، باجافزار را در وب تاریک بخرند یا به یک وابسته تبدیل شوند. در ماههای اخیر، چندین گزارش خصوصی منتشر کردهایم که دقیقاً این موضوع را توضیح میدهد. در ماه آوریل، IxMetro مورد حمله ای قرار گرفت که از یک نوع باجافزار هنوز جدید به نام "SEXi" استفاده می کرد، گروهی که عمدتاً بر برنامههای ESXi تمرکز دارد. در هر یک از مواردی که ما بررسی کردیم، سازمانهای هدف نسخههای پشتیبانی نشده ESXi را اجرا میکردند. این گروه بسته به پلتفرم - به ترتیب ویندوز یا لینوکس - باج افزار LockBit یا Babuk را مستقر می کند. در اکثر موارد، مهاجمین یادداشتی حاوی آدرس ایمیل یا URL برای یک سایت نشت میگذارند. در موردی که ما به آن نگاه کردیم، یادداشت شامل شناسه کاربری مرتبط با برنامه پیامرسانی Session بود. شناسه متعلق به مهاجمان بود و در تعدادی از حملات باج افزارهای مختلف به قربانیان مختلف استفاده شد. این ناشی بودن را میرساند و نشان می دهد که مهاجمان سایت نشت TOR نداشتند.
در طول دوره تقریباً دو ساله ای که این گروه فعال بوده است، با هر نوع باج افزار جدید، تغییرات جزئی در TTP های خود ایجاد کرده است. به عنوان مثال، مکانیسم تداوم به طور مداوم از طریق رجیستری پیادهسازی میشد، اگرچه تکنیک خاص بر اساس خانواده متفاوت بود. در بیشتر موارد از autorun استفاده می شد، اما ما آنها را از پوشه راهاندازی نیز مشاهده کرده ایم. گرچه گروههای روسی زبان معمولاً در خارج از روسیه فعالیت می کنند، اما این مورد در مورد Key Group صدق نمی کند. مانند SEXi، عملیات Key Group به ویژه حرفه ای نیست. به عنوان مثال، کانال C2 اولیه یک مخزن GitHub است که ردیابی گروه را آسانتر میکند و ارتباط از طریق تلگرام انجام میشود، برخلاف یک سرور اختصاصی در شبکه TOR.
Mallox یک نوع باج افزار نسبتاً جدید است که برای اولین بار در سال 2021 منتشر شد و یک برنامه وابسته را در سال 2022 راه اندازی کرد. مشخص نیست نویسندگان چگونه کد منبع را به دست آورده اند: شاید آنها آن را از ابتدا نوشتهاند، از نسخه منتشر شده یا لو رفته استفاده کردهاند، یا – طبق ادعایشان - آن را خریداری کرد. اگرچه به عنوان یک گروه خصوصی که کمپینهای خود را اجرا میکند، شروع به کار کرد، اما مدت کوتاهی پس از آغاز به کار یک برنامه وابسته را راه اندازی کرد. قابل توجه است که این گروه فقط با وابستگان روسی زبان درگیر است و با افراد تازه کار معامله نمیکند. به شرکتهای وابسته به صراحت دستور داده میشود که سازمانهایی را با حداقل درآمد ۱۰ میلیون دلار هدف قرار دهند و از بیمارستانها و مؤسسات آموزشی اجتناب کنند. Mallox از شناسههای وابسته استفاده میکند و ردیابی فعالیتهای وابسته را در طول زمان ممکن میسازد. در سال 2023، 16 شریک فعال وجود داشت. در سال 2024، تنها هشت مورد از زیرمجموعههای اصلی هنوز فعال بودند، بدون هیچ تازه واردی. به غیر از آن، Mallox تمام ویژگیهای معمولی Big Game Hunting را دارد که گروههای دیگر دارند، مانند یک سایت درز و یک سرور میزبانی شده در TOR .
بکدر HZ Rat برای مکاواس
در ماه ژوئن، نسخه macOS بکدر HZ Rat را کشف کردیم. بکدر برای هدف قرار دادن کاربران پیام رسان سازمانی DingTalk و شبکه اجتماعی و پلتفرم پیامرسانی WeChat استفاده میشد. اگرچه ما نقطه توزیع اصلی بدافزار را نمیدانیم، اما توانستیم یک بسته نصبی را برای یکی از نمونههای بکدر پیدا کنیم - فایلی به نام OpenVPNConnect.pkg. نمونههایی که ما کشف کردیم تقریباً دقیقاً عملکرد نسخه ویندوز بکدر را به استثنای باری که به شکل اسکریپتهای پوسته از سرور مهاجمان دریافت میشود تکرار می کند. ما متوجه شدیم که برخی از نسخههای بکدر از آدرسهای IP محلی برای اتصال به C2 استفاده میکنند، که ما را به این باور میرساند که ممکن است تهدید مورد هدف قرار گیرد. این همچنین نشان میدهد مهاجمین قصد دارند از بکدر برای حرکت جانبی از طریق شبکه هدف استفاده کنند. دادههای جمعآوریشده درباره شرکتها و اطلاعات تماس اهداف میتواند برای جاسوسی از افراد مورد علاقه و ایجاد زمینهای برای حملات آینده استفاده شود. در طول تحقیقات خود، ما با استفاده از دو دستور پشتیبان (نوشتن فایل روی دیسک و ارسال فایل به سرور) مواجه نشدیم، بنابراین دامنه کامل نیات مهاجم نامشخص است.
گروه هکتیویست Head Mare روس و بلاروس را هدف قرار میگیرد
از زمان شروع درگیری بین روسیه و اوکراین، گروههای هکریستی متعددی ظهور کردهاند که هدف اصلی آنها آسیب رساندن به سازمانهای طرف مقابل درگیری است. یکی از این گروه ها Head Mare است که سازمان هایی را در روسیه و بلاروس هدف قرار می دهد. گرچه چنین گروههای هکتیویست تمایل دارند از TTPهای مشابه استفاده کنند، Head Mare از روشهای بهروزتری برای دسترسی اولیه استفاده میکند. به عنوان مثال، مهاجمان از آسیبپذیری اخیراً کشفشده در WinRAR (CVE-2023-38831) استفاده کردند که به آنها اجازه میداد کد دلخواه را بر روی یک سیستم در معرض خطر از طریق یک آرشیو ساختهشده خاص اجرا کنند. این رویکرد به گروه اجازه می دهد تا به طور مؤثرتری بار مخرب را تحویل داده و پنهان کند. همانطور که در مورد اکثر گروههای هکتیویست، Head Mare یک حساب عمومی در شبکه اجتماعی X دارد که از آن برای ارسال اطلاعات در مورد برخی از قربانیان خود استفاده میکند.
Head Mare صنایع مختلفی از جمله دولت، انرژی، حمل و نقل، تولید و سرگرمی را هدف قرار داده است. این گروه عمدتاً از نرمافزارهای در دسترس عموم استفاده میکند که نمونهای از گروههای هکتیویست است. با این حال، جعبه ابزار Head Mare همچنین شامل بدافزارهای سفارشی، PhantomDL و PhantomCore میشود که از طریق ایمیلهای فیشینگ تحویل داده میشود. Head Mare علاوه بر هدف اصلی خود برای آسیب رساندن به سازمانهای هدف، باجافزار LockBit و Babuk را نیز به کار میگیرد که برای بازیابی دادههای رمزگذاریشده باج میخواهند.
لوکی: نماینده جدید و شخصی فریمورک محبوب Mythic
در ماه جولای، ما یک بکدر ناشناخته به نام Loki را کشف کردیم که در یک سری حملات هدفمند علیه شرکتهای روسی در صنایع مختلف، از جمله مهندسی و مراقبتهای بهداشتی مورد استفاده قرار گرفت. از تجزیه و تحلیل و اطلاعات جمع آوریشده از منابع باز، به این نتیجه رسیدیم که Loki نسخه خصوصی یک عامل برای چارچوب منبع باز Mythic است. این منشأ خود را در یک چارچوب منبع باز برای پس از اکسپلویت سیستم های macOS در معرض خطر به نام Apfell دارد. دو سال بعد، چندین توسعهدهنده به این پروژه ملحق شدند، این فریم ورک تبدیل به یک کراس پلتفرم شد و به Mythic تغییر نام داد. Mythic امکان استفاده از عاملها را به هر زبانی، برای هر پلتفرمی با عملکرد مورد نیاز میدهد.
کلی عامل در مخزن رسمی Mythic منتشر شده است که یکی از آنها لوکی است. عامل Loki که ما کشف کردیم یک نسخه سازگار با Mythic از عامل برای چارچوب دیگری به نام Havoc است. اصلاح Loki چندین تکنیک را از Havoc به ارث برده است تا تجزیه و تحلیل عامل را دشوارتر کند، مانند رمزگذاری تصویر حافظه آن، فراخوانی غیرمستقیم توابع API سیستم، جستجوی توابع API با هش و موارد دیگر. با این حال، برخلاف عامل Havoc، Loki به یک لودر و یک DLL تقسیم شد، جایی که عملکرد اصلی بدافزار پیادهسازی میشود.
بر اساس تلهمتری ما، و نام فایلهای فایلهای آلوده، معتقدیم که در چندین مورد Loki از طریق ایمیل توزیع شده است و قربانیان ناآگاه خودشان فایل را راهاندازی میکنند. بیش از دهها شرکت با این تهدید مواجه شدهاند، هرچند باور داریم که تعداد قربانیان احتمالی ممکن است بیشتر باشد. در حال حاضر اطلاعات کافی برای نسبت دادن Loki به هیچ گروه شناخته شده وجود ندارد. به جای استفاده از الگوهای استاندارد ایمیل برای توزیع عامل، گمان داریم این احتمال وجود دارد که مهاجمان به طور جداگانه به هر هدف نزدیک شوند. همچنین هیچ ابزار منحصربهفردی در دستگاههای آلوده پیدا نکردهایم که بتواند به اسناد کمک کند. به نظر می رسد که مهاجمان ترجیح میدهند فقط از ابزارهای تونل سازی ترافیک در دسترس عموم مانند gTunnel و ngrok و ابزار goReflect برای اصلاح آنها استفاده کنند.
Tusk: پردهبرداری از کمپین پیچیده سارق داده
تیم واکنش اضطراری جهانی کسپرسکی (GERT) اخیراً یک کمپین پیچیده متشکل از چندین کمپین فرعی شناسایی کرده که توسط مجرمان سایبری روسی زبان سازماندهی شده است. کمپینهای فرعی از پروژههای قانونی با تغییرات جزئی در نامها و نام تجاری، و استفاده از حسابهای رسانههای اجتماعی متعدد برای افزایش اعتبار خود تقلید میکنند.
همه کمپینهای فرعی فعال میزبان دانلود کننده اولیه در Dropbox هستند. این دانلودر مسئول ارائه نمونههای بدافزار اضافی به دستگاه هدف است، که عمدتاً سرقتکنندگان اطلاعات (Danabot و StealC) و کلیپرها (که دادههای کلیپبورد را نظارت میکنند). علاوه بر این، بازیگران تهدید از تاکتیکهای فیشینگ برای ترغیب افراد به افشای اطلاعات حساس بیشتر، مانند اعتبارنامهها استفاده میکنند، که سپس میتواند در وب تاریک فروخته شود یا برای دسترسی غیرمجاز به حسابهای بازی و کیف پولهای رمزنگاری استفاده شود -که منجر به ضرر مالی مستقیم میشود.
ما سه کمپین فرعی فعال و 16 کمپین فرعی غیرفعال مرتبط با این فعالیت را شناسایی کردیم که آنها را Tusk نامیدیم. در سه کمپین فرعی فعالی که مورد تجزیه و تحلیل قرار دادیم، عامل تهدید از کلمه Mammoth - کلمه ای عامیانه که توسط بازیگران تهدید روسی زبان برای اشاره به قربانیان استفاده میشود- در پیام های گزارش دانلود کنندگان اولیه استفاده میکند. تجزیه و تحلیل کمپین های فرعی غیرفعال نشان میدهد که آنها یا کمپینهای قدیمی هستند یا کمپینهایی که هنوز شروع نشده اند.
گزارش ما شامل تجزیه و تحلیل ما از سه کمپین فرعی اخیر فعال - TidyMe، RuneOnlineWorld و Voico میشود. این کمپینها بر تهدید مداوم و در حال تحول ناشی از مجرمان سایبری که در تقلید از پروژههای قانونی برای فریب قربانیان مهارت دارند، تاکید میکند. این مهاجمان با سرمایه گذاری بر اعتماد کاربران در پلتفرمهای شناخته شده، به طور موثر طیفی از بدافزارها را به کار می گیرند که برای سرقت اطلاعات حساس، به خطر انداختن سیستمها و در نهایت به دست آوردن سود مالی طراحی شده اند. استفاده از تکنیکهای مهندسی اجتماعی مانند فیشینگ، همراه با مکانیسمهای ارسال بدافزار چند مرحلهای، قابلیتهای پیشرفته عوامل تهدید را نشان میدهد. استفاده آنها از پلتفرمهایی مانند Dropbox برای میزبانی از دانلودکنندگان اولیه، همراه با استقرار بدافزار infostealer و clipper، نشاندهنده تلاشی هماهنگ برای فرار از شناسایی و به حداکثر رساندن تأثیر عملیات آنها است. شباهتهای بین کمپینهای فرعی مختلف و زیرساختهای مشترک بین آنها نشاندهنده یک عملیات سازمانیافته است که به طور بالقوه به یک بازیگر یا گروه با انگیزههای مالی خاص مرتبط است. کشف 16 کمپین فرعی غیرفعال، ماهیت پویا و سازگار عملیات عامل تهدید را پررنگتر میکند.
SambaSpy
در ماه می، کمپینی را کشف کردیم که به طور انحصاری قربانیان را در ایتالیا هدف قرار میداد، که کاملاً غیرعادی است، زیرا مجرمان سایبری معمولاً دامنه اهداف خود را برای به حداکثر رساندن سود خود گسترش می دهند. با این حال، در این کمپین، مهاجمین در مراحل مختلف زنجیره عفونت بررسی میکنند تا مطمئن شوند که فقط افراد در ایتالیا آلوده هستند. محموله نهایی آلودگی یک RAT جدید (تروجان دسترسی از راه دور) به نام SambaSpy است، یک RAT با ویژگی های کامل که در جاوا توسعه یافته و با استفاده از محافظ Zelix KlassMaster مبهمسازیشده است. این بدافزار شامل لیست گستردهای از عملکردها، از جمله مدیریت سیستم فایل، مدیریت فرآیند، ثبت کلید، گرفتن صفحه و کنترل وب کم میشود.
مهاجمین با ایمیلهای فیشینگ که به صورت پیامهایی از یک آژانس املاک و مستغلات پنهان شدهاند، اهداف خود را فریب میدهند. اگر هدف روی لینک موجود در پیام کلیک کند، به یک وبسایت مخرب هدایت میشود که زبان سیستم و مرورگر را بررسی میکند. اگر سیستم قربانی احتمالی روی ایتالیایی تنظیم شده باشد و لینک را در Edge، فایرفاکس یا کروم باز کند، یک فایل PDF مخرب دریافت نموده که دستگاه آنها را با قطره چکان (دراپر) یا دانلودر آلوده میکند. تفاوت بین این دو بسیار کم است: دراپر بلافاصله تروجان را نصب می کند، این درحالیست که دانلودر ابتدا اجزای لازم را از سرورهای مهاجمین دانلود میکند. کسانی که این معیارها را ندارند به وب سایت یک راهکار مبتنی بر کلود ایتالیایی برای ذخیره و مدیریت فاکتورهای دیجیتال هدایت میشوند. گرچه هنوز نمیدانیم کدام گروه مجرم سایبری پشت این حمله پیچیده است، اما شواهد غیرواقعی نشان میدهد که مهاجمین به زبان پرتغالی برزیل صحبت میکنند. ما همچنین میدانیم که آنها در حال گسترش عملیات خود به اسپانیا و برزیل هستند، همانطور که توسط دامنههای مخرب استفاده شده توسط همان گروه در سایر کمپینهای شناسایی شده نشان میدهد.
آمار غیرموبایل در سهماههی سوم سال 2024
ارقام فصلی
در سه ماهه سوم 2024:
راهکارهای کسپرسکی با موفقیت بیش از 652 میلیون حمله سایبری را که از منابع مختلف آنلاین سرچشمه میگرفتند، مسدود کرد.
- آنتی ویروس وب 109 میلیون لینک منحصر به فرد را شناسایی کرد.
- آنتی ویروس فایل بیش از 23 میلیون شیء مخرب و بالقوه ناخواسته را مسدود کرد.
- بیش از 90000 کاربر حملات باج افزار را تجربه کردند.
- تقریباً 18 درصد از همه قربانیان منتشر شده در سایتهای نشت دادههای باجافزار (DLS) توسط RansomHub مورد حمله قرار گرفتهاند.
- بیش از 297000 کاربر حملات ماینر را تجربه کردند.
باجافزارها
ترندها و هایلایتهای سهماهه
روند پیشرفت در اجرای قانون
در ماه اوت، اسپانیا یک مجرم سایبری را دستگیر کرد که کارتل رانسوم را در سال 2021 تأسیس و یک کمپین بدافزاری راه اندازی کرد. بر اساس گزارش آژانس جنایی ملی بریتانیا NCA))، این فرد همچنین پشت باج افزار بدنام تروجان Reveton بود که در سال 2012 تا 2014 منتشر شد. Reveton یکی از بدنام ترین قفل های صفحه نمایش رایانه شخصی بود. این نوع اخاذی سایبری مربوط به تروجانها بود که فایلهای قربانی را رمزگذاری میکردند. دو مجرم سایبری دیگر که قبلا دستگیر شده بودند و مظنون به انتشار LockBit بودند، به جرم خود اعتراف کردند. در سال 2020 - 2023، یکی از آنها یک باج گیر سایبری فعال بود که به سازمان ها در چندین کشور حمله کرد و در مجموع حداقل 1.9 میلیون دلار خسارت وارد کرد. به گفته این منبع، دیگری حدود 500000 دلار خسارت وارد کرده است.
حملات اکسپلویت آسیبپذیری
باندهای باج افزار به سوء استفاده از آسیب پذیریهای نرمافزاری، عمدتاً برای نفوذ به شبکهها و افزایش امتیازات خود ادامه می دهند.
- در ماه سپتامبر، باجافزار Akira به دستگاههای SonicWall مجهز به سیستم عامل SonicOS حمله کرد تا از آسیبپذیری CVE-2024-40766 در سیستمعامل، که در ماه آگوست اصلاح شده بود، سوء استفاده کند.
- Akiraو Black Bastaبا اکسپلویتِ آسیبپذیری CVE-2024-37085 در Hypervizor، حملات باجافزاری را به VMware ESXi راهاندازی کردند که امکان افزایش امتیازات را فراهم میکرد.
رخدادهای مهم و برجسته
Dark Angels، که یک DLS معروف به Dunghill Leak را اداره می کند، احتمالاً بزرگترین پرداخت باج تاکنون را استخراج کرد: 75 میلیون دلار. محققانی که این رخداد را گزارش کردند به سازمانی که پرداخت کرده است اشاره ای نکردند. پیش از آن، بالاترین باج شناختهشده پرداختشده، 40 میلیون دلار بود که توسط اپراتورهای باج افزار Phoenix از CNA Financial در سال 2021 دریافت شد.
پرکارترین گروهها
آمار مربوط به پرکارترین باجافزارهای باج افزار از تعداد قربانیانی است که توسط مهاجمین به DLSهای خود در طول دوره مورد بررسی اضافه شده است. پرکارترین باجافزار سه ماهه سوم RansomHub بود که 17.75 درصد از کل قربانیان را تشکیل میداد.
تعداد تغییرات جدید
در سه ماهه سوم 2024، سه خانواده باج افزار جدید و 2109 نوع جدید یا نیمی از آنچه در دوره گزارش قبلی کشف کردیم، شناسایی کردیم.
تعداد کاربران مورد حمله تروجانهای باج افزار
با وجود کاهش نسخههای جدید، تعداد کاربرانی که با باج افزار مواجه میشوند نسبت به سه ماهه دوم افزایش یافته است. راهکارهای امنیتی کسپرسکی از جولای تا سپتامبر 2024 با موفقیت از 90423 کاربر فردی در برابر حملات باج افزار دفاع کرد.
جغرافیای کاربران مورد حمله
10 کشور برتر مورد حمله تروجانهای باجافزار
|
1
|
اسرائیل
|
1.08
|
|
2
|
چین
|
0.95
|
|
3
|
لیبی
|
0.68
|
|
4
|
کره جنوبی
|
0.66
|
|
5
|
بنگلادش
|
0.50
|
|
6
|
پاکستان
|
0.48
|
|
7
|
آنگولا
|
0.46
|
|
8
|
تاجیکستان
|
0.41
|
|
9
|
رواندا
|
0.40
|
|
10
|
موزامبیک
|
0.38
|
* کشورها و مناطقی با تعداد نسبتاً کمی (زیر 50000) کاربر کسپرسکی، مستثنی هستند.
** کاربران منحصربهفردی که رایانههایشان توسط تروجانهای باجافزار به عنوان درصدی از تمام کاربران منحصربهفرد محصولات کسپرسکی در کشور/سرزمین مورد حمله قرار گرفتهاند.
10 خانواده رایج تروجانهای باج افزار
|
|
نام
|
حکم
|
سهم کاربرانِ مورد حمله
|
|
1
|
حکم عمومی
|
Trojan-Ransom.Win32.Gen
|
23.77%
|
|
2
|
واناکرای
|
Trojan-Ransom.Win32.Wanna
|
8.58%
|
|
3
|
حکم عمومی
|
Trojan-Ransom.Win32.Encoder
|
7.25%
|
|
4
|
حکم عمومی
|
Trojan-Ransom.Win32.Crypren
|
5.70%
|
|
5
|
حکم عمومی
|
Trojan-Ransom.Win32.Agent
|
4.25%
|
|
6
|
حکم عمومی
|
Trojan-Ransom.MSIL.Agent
|
3.47%
|
|
7
|
لاکبیت
|
Trojan-Ransom.Win32.Lockbit
|
3.21%
|
|
8
|
حکم عمومی
|
Trojan-Ransom.Win32.Phny
|
3.18%
|
|
9
|
پولیرانسوم/ ویرلاک
|
Virus.Win32.PolyRansom / Trojan-Ransom.Win32.PolyRansom
|
2.97%
|
|
10
|
حکم عمومی
|
Trojan-Ransom.Win32.Crypmod
|
2.50%
|
* کاربران منحصر به فرد کسپرسکی که توسط خانواده تروجان باج افزار مورد حمله قرار گرفتهاند به عنوان درصدی از تمامی کاربرانی که توسط تروجانهای باج افزار مورد حمله قرار گرفتهاند.
ماینرها
تعداد مودهای جدید
در سه ماهه سوم 2024، راهکارهای کسپرسکی 15472 نوع ماینر جدید یا دو برابر کمتر از سه ماهه دوم شناسایی کردند.
کاربران مورد حمله ماینرها
ما شاهد کاهش 12 درصدی حملات مربوط به ماینرها در سه ماهه سوم بودیم. راهکارهای Kaspersky در سراسر جهان این نوع بدافزار را در 297485 دستگاه کاربر منحصر به فرد شناسایی کردند.
حملات به macOS
دزدان رمز عبور قابل توجه ترین یافتههای سه ماهه سوم مربوط به حملات به کاربران macOS بودند. محققین امنیتی دو دزد جدید مبتنی بر اشتراک به نامهای Banshee Stealer و Ctulhu Stealer را کشف کردند که از طریق کانالهای تلگرام و انجمنهای وب تاریک توزیع میشدند. اینها شباهت زیادی به تروجان AMOS قبلاً شناخته شده داشتند، اما به ترتیب در C++ و Go نوشته شده بودند. علاوه بر این، یک محقق امنیتی مستقل تحلیلی از نسخه جدید BeaverTail منتشر کرد، نوع دیگری از سرقت اطلاعات که برای استخراج دادهها از مرورگرهای وب و کیفپولهای ارزهای دیجیتال طراحی شده است. این بدافزار همچنین دارای قابلیت نصب بکد بر روی سیستمهای در معرض خطر بود.
نرم افزارهای تبلیغاتی مزاحم و سایر برنامههای بالقوه ناخواسته طبق معمول گسترده ترین تهدیدها برای macOS بودند. به عنوان مثال، AdWare.OSX.Angent.ap (9%) لینکهای تبلیغاتی را بدون اطلاع کاربر به عنوان نشانک مرورگر اضافه میکند. علاوه بر این، انواع برنامههای مخرب از جمله فعال ترین تهدیدها بودند. اینها شامل MalChat (5.08٪)، یک کلاینت اصلاح شده تلگرام که اطلاعات کاربران را به سرقت می برد و Amos، یک دزد اغلب همراه با نرم افزارهای کرک شده میشد.
علاوه بر دزدان جدید، سه ماهه سوم شاهد کشف یک بکدر جدید macOS بودیم. HZ Rat نسخه سازگار با macOS یک درب پشتی ویندوز با نام مشابه است. کاربران سرویسهای پیامرسان چینی WeChat و DingTalk را هدف قرار میدهد. درصد کاربرانی که با تهدیدات macOS در سرزمین اصلی چین (1.47٪) و هنگ کنگ (1.36٪) مواجه شدند، افزایش قابل توجهی داشت. این شاخص همچنین در اسپانیا (1.21٪)، فرانسه (1.16٪)، آلمان (0.95٪)، برزیل (0.61٪)، روسیه (0.37٪) و ژاپن (0.36٪) افزایش یافته است. در مقابل، هند (0.46٪) و مکزیک (0.75٪) هر دو کاهش جزئی را تجربه کردند. بریتانیا و ایتالیا هر دو از 10 کشور برتر آسیبپذیر خارج شدند.
آمار تهدید اینترنت اشیاء
توزیع دستگاههایی که هانیپاتهای کسپرسکی را در سراسر پروتکلها مورد هدف قرار میدادند، در سه ماهه سوم 2024 تنها با تغییرات جزئی مواجه شد. پس از کاهش در سه ماهه قبل، حملات Telnet شاهد افزایش جزئی بود، در حالیکه حملات مبتنی بر SSH کاهش یافت. هنگام تجزیه و تحلیل توزیع حملات در پروتکلهای مختلف، شاهد افزایش جزئی در سهم Telnet بودیم که 98.69٪ از کل حملات را به خود اختصاص داد.
حملات به هانیپاتهای IoT
کاهش جزئی در درصد حملات SSH که منشا آن در سرزمین اصلی چین (22.72٪)، ایالات متحده (11.31٪)، سنگاپور (5.97٪) و کره جنوبی (4.28٪) بوده است. درصد آزاد شده در سایر کشورها و مناطق توزیع شد. درصد حملات Telnet با منشأ هند (32.17٪) افزایش یافته و از سایر کشورها و مناطق پیشی گرفته است.
حملات از طریق منابع وبی
آمار در این بخش بر اساس دادههای ارائه شده توسط Web Anti-Virus است که از کاربران در هنگام دانلود اشیاء مخرب از صفحات وب مخرب یا آلوده محافظت میکند. مجرمان سایبری عمداً صفحات مخرب را راه اندازی میکنند. پلتفرمهای محتوای تولید شده توسط کاربر، مانند انجمنها، و وبسایتهای قانونی در معرض خطر هر دو در معرض آلودگی بدافزار هستند.
کشورهایی که حکم منبع حملات مبتنی بر وب هستند:
آمار زیر توزیع جغرافیایی منابع حملات آنلاین به رایانه های کاربر را نشان میدهد که توسط محصولات کسپرسکی مسدود شدهاند. این حملات شامل هدایت مجدد صفحات وب به سوء استفادهها، وب سایتهای میزبان اکسپلویت و سایر بدافزارها، مراکز فرماندهی و کنترل بات نت و غیره بود. هر میزبان منحصر به فرد میتواند منبع یک یا چند حمله مبتنی بر وب باشد. برای تعیین منشاء جغرافیایی حملات مبتنی بر وب، نام دامنهها را به آدرس های IP دامنه نگاشت و موقعیت جغرافیایی آدرس IP (GEOIP) را تعیین کردیم. در سه ماهه سوم 2024، راهکارهای کسپرسکی 652004741 حمله را از منابع آنلاین واقع در سراسر جهان مسدود کردند. در مجموع 109,240,722 URL منحصربهفرد باعث شناسایی آنتی ویروس وب شدند.
کشورها و مناطقی که کاربران با بیشترین خطر ابتلا به عفونت آنلاین مواجه بودند
برای ارزیابی خطر آلودگی به بدافزار آنلاین که کاربران در کشورها و مناطق مختلف با آن مواجه هستند، برای هر کشور یا قلمرو، درصد کاربران کسپرسکی را محاسبه کردیم که آنتی ویروس وب روی رایانهشان در طول سه ماهه فعال شده است. دادههای بهدستآمده نشاندهنده تهاجمی بودن محیطی است که رایانهها در کشورها و مناطق مختلف در آن کار میکنند. این رتبهبندیها فقط شامل حملات توسط اشیاء مخربی می شود که در دسته بدافزارها قرار دارند. محاسبات ما شامل تشخیص آنتی ویروس وب برنامههای بالقوه خطرناک یا ناخواسته، مانند RiskTool یا ابزارهای تبلیغاتی مزاحم نمیشود. به طور متوسط در طول سه ماهه، 7.46 درصد از رایانههای کاربران اینترنت در سراسر جهان دست کم در معرض یک حمله وب در دسته بدافزار قرار گرفتند.
تهدیدهای لوکال
آمار آلودگیهای محلی رایانه های کاربر یک شاخص مهم است. اشیایی که بهعنوان لوکال شناسایی میشوند، آنهایی هستند که از طریق فایلها یا آلودگی رسانههای قابل جابجایی به رایانه نفوذ کردهاند یا در ابتدا به شکل غیر آشکار به رایانه معرفی شدهاند، برای مثال بهعنوان برنامههای موجود در نصبکنندههای پیچیده، فایلهای رمزگذاریشده و غیره. دادههای این بخش بر اساس تجزیه و تحلیل آمار تولید شده توسط آنتی ویروس اسکن فایلها بر روی هارد دیسک در لحظه ایجاد یا دسترسی به آنها و نتایج اسکن رسانههای ذخیرهسازی قابل جابجایی است. این آمار بر اساس احکام تشخیص از ماژولهای OAS (اسکن در دسترس) و ODS (اسکن بر اساس تقاضا) است که با توافق کاربران محصولات کسپرسکی ارائه شدهاند. این دادهها شامل شناسایی برنامههای مخرب واقع در رایانههای کاربر یا رسانههای قابل جابجایی متصل به رایانهها مانند درایوهای فلش، کارتهای حافظه دوربین، تلفن ها یا هارد دیسکهای خارجی میشود.
کشورها و قلمروهایی که در آنها کاربران با بالاترین ریسک عفونت لوکال مواجه شدند
برای هر کشور و قلمرو، درصد کاربران کسپرسکی را محاسبه کردیم که در طول دوره گزارش، فایل آنتی ویروس در رایانههایشان فعال شده است. این آمار نشاندهنده میزان آلودگی رایانههای شخصی در کشورها و مناطق مختلف در سراسر جهان است.
این رتبه بندیها فقط شامل حملات توسط اشیاء مخربی می شود که در دسته بدافزارها قرار دارند. محاسبات ما تشخیص آنتی ویروس فایل برنامههای بالقوه خطرناک یا ناخواسته، مانند RiskTool یا ابزارهای تبلیغاتی مزاحم را حذف نمی کند. در سه ماهه سوم 2024، آنتی ویروس Kaspersky File 23,196,497 شیء مخرب و بالقوه ناخواسته را شناسایی کرد. به طور کلی، 13.53 درصد از رایانههای کاربر در سراسر جهان با حداقل یک تهدید لوکال از نوع بدافزار در طول سه ماهه سوم مواجه شدند.
آمار موبایل در سهماههی سوم سال 2024
ارقام فصلی
طبق گفته شبکه امنیتی کسپرسکی، در سه ماهه سوم 2024:
- از 6.7 میلیون حمله شامل بدافزارها، ابزارهای تبلیغاتی مزاحم یا برنامه های تلفن همراه بالقوه ناخواسته جلوگیری شد.
- نرم افزارهای تبلیغاتی مزاحم رایجترین تهدیدهای موبایلی بودند که 36 درصد از کل تهدیدات شناسایی شده را به خود اختصاص دادند.
- بیش از 222000 بسته نصبی مخرب و بالقوه ناخواسته شناسایی شد که از این میان
o 17822 با تروجان های بانکداری موبایلی مرتبط بودند.
o 1576 بسته تروجان های باج افزار موبایل بودند.
هایلایتهای سهماهه
حملات تلفن همراه شامل بدافزارها، ابزارهای تبلیغاتی مزاحم یا برنامههای بالقوه ناخواسته در سه ماهه سوم 13 درصد کاهش یافت و در مجموع به 6686375 رسید. این رقم هنوز بالاتر از سطح اولیه سال 2023 است. ما این کاهش را به کاهش مداوم در فعالیتهای ابزارهای تبلیغاتی مزاحم نسبت میدهیم، عمدتاً نرمافزارهای پنهانکاری متعلق به خانواده AdWare.AndroidOS.HiddenAd. در همین حال، بازیگران تهدید تلاشهای خود را برای انتشار آثار خود از طریق بازارهای رسمی برنامهها رها نکرده بودند. به عنوان مثال، در سه ماهه سوم، ما تروجان xHelper را در داخل برنامه مرورگر باز در Google Play کشف کردیم.
xHelper به عنوان یک دانلودرمخفی عمل میکند و برنامههای مختلفی را بدون اطلاع کاربر بر روی دستگاه نصب می کند. این دانلودرها می توانند هم تبلیغات و هم بدافزار را به گوشی شما معرفی کنند. ما همچنین بسیاری از برنامههای آلوده به Necro Trojan را هم در فروشگاه Google Play و هم در خارج از آن کشف کردیم. Necro یک تروجان چند جزئی با مجموعهای از ویژگی های گسترده است. میتواند هر عملی را روی دستگاه در معرض خطر انجام دهد: از نمایش تبلیغات و دانلود بدافزار گرفته تا اشتراکهای خودکار.
و برسیم به آمار
تعداد بدافزارهای اندرویدی شناسایی شده و نمونه برنامههای بالقوه ناخواسته نیز در سه ماهه سوم کاهش یافته و به 222444 رسیده است. ابزارهای تبلیغاتی مزاحم (36.28٪) و ریسک افزارهای طبقهبندیشده به عنوان RiskTool (23.90٪) همچنان بر چشم انداز بستههای نرم افزاری نصبشده تسلط داشتند. سهم RiskTool به طور قابل توجهی از Q2 کاهش یافته است. برعکس، افزایش جزئی در نسبت ابزارهای تبلیغاتی شناسایی شده وجود داشت. در مقایسه با سه ماهه قبل، تعداد بستههای نصبی برای ابزارهای تبلیغاتی BrowserAd و MobiDash کاهش چشمگیری داشته است. در همان زمان، تعداد برنامههای منحصر به فرد HiddenAd افزایش یافت. افزایش در فایلهای جدید RiskTool.AndroidOS.Fakapp، که در سه ماهه قبل مشاهده شد، فروکش کرد و باعث کاهش در دسته کلی RiskTool شد. اگرچه تعداد بستههای نصب AdWare.AndroidOS.HiddenAd افزایش یافت، اما همانطور که در بالا ذکر شد، تعداد کلی حملات توسط این بدافزار کاهش یافت که در بروز آن بر روی دستگاه های واقعی منعکس شد. به بیان ساده، گرچه مجرمان سایبری انواع بدافزارهای منحصر به فرد را منتشر کردند، اما در آلوده کردن تعداد زیادی از کاربران ناموفق بودند.
20 برنامه بدافزار برتر موبایل
توجه داشته باشید که رتبهبندی بدافزارهای زیر شامل نرمافزارهای مخاطرهآمیز و برنامههای بالقوه ناخواسته، مانند ابزارهای تبلیغاتی مزاحم و RiskTool نمیشود.
|
حکم
|
درصد در سه ماههی دوم 2024
|
درصد در سه ماههی سوم 2024
|
تفاوت در p.p.
|
تغییر در رتبهبندی
|
|
DangerousObject.Multi.Generic.
|
11.44
|
9.79
|
-1.65
|
0
|
|
Trojan.AndroidOS.Triada.ga
|
6.66
|
9.18
|
+2.52
|
+1
|
|
Trojan.AndroidOS.Fakemoney.v
|
6.60
|
9.12
|
+2.52
|
+1
|
|
Trojan.AndroidOS.Boogr.gsh
|
6.01
|
5.22
|
-0.79
|
+1
|
|
Trojan.AndroidOS.Triada.gs
|
0.00
|
5.05
|
+5.05
|
|
|
Trojan-Banker.AndroidOS.Mamont.bc
|
0.14
|
4.89
|
+4.75
|
+180
|
|
Trojan-Downloader.AndroidOS.Dwphon.a
|
2.71
|
4.74
|
+2.02
|
+1
|
|
DangerousObject.AndroidOS.GenericML.
|
7.56
|
4.45
|
-3.11
|
-6
|
|
Trojan.AndroidOS.Fakemoney.bw
|
1.17
|
4.27
|
+3.10
|
+15
|
|
Trojan.AndroidOS.Triada.gm
|
5.16
|
3.89
|
-1.27
|
-3
|
|
Trojan-Spy.AndroidOS.SpyNote.bv
|
1.26
|
3.68
|
+2.43
|
+10
|
|
Trojan-Spy.AndroidOS.SpyNote.bz
|
1.97
|
2.98
|
+1.01
|
-1
|
|
Trojan-Downloader.AndroidOS.Agent.mm
|
1.29
|
2.67
|
+1.38
|
+7
|
|
Trojan-Spy.AndroidOS.SpyNote.cc
|
1.18
|
2.45
|
+1.27
|
+9
|
|
Trojan.AndroidOS.Triada.gn
|
2.23
|
2.44
|
+0.20
|
-5
|
|
Trojan.AndroidOS.Generic.
|
2.59
|
2.31
|
-0.27
|
-7
|
|
Trojan-Dropper.Linux.Agent.gen
|
0.90
|
1.54
|
+0.64
|
+13
|
|
Trojan-Downloader.AndroidOS.Necro.f
|
0.00
|
1.33
|
+1.33
|
|
|
Trojan.AndroidOS.Triada.fd
|
5.89
|
1.30
|
-4.60
|
-13
|
|
Trojan-Spy.AndroidOS.SpyNote.ck
|
0.00
|
1.25
|
+1.25
|
|
لیست رایجترین بدافزارها نسبت به سه ماهه قبل تغییر قابل توجهی نداشته است. حکم کلود عمومی DangerousObject.Multi.Generic رتبه اول را به خود اختصاص داد و پس از آن مودهای واتس اپ با ماژول های تعبیه شده Triada، برنامه فیشینگ Fakemoney که کاربران را فریب داد تا اطلاعات شخصی خود را با وعده درآمد آسان ارائه دهند، تروجان بانکی Mamont و Dwphon قرار گرفتند.
بدافزارهای مختص یک منطقه خاص
فهرست انواع بدافزارهایی که کشورهای خاصی را هدف قرار میدادند با نمونههای جدیدی بهروزرسانی شد: SmsThief.fs که به کاربران ترک حمله کرد و SmsThief.ya و SmsThief.xy که هر دو در هند پخش میشدند. اولین مورد با کمپین در حال انجام بانک Coper در ترکیه مرتبط بود، در حالیکه دو مورد دیگر جاسوسان پیامک بودند که به عنوان برنامههای دولتی یا بانکی ظاهر میشدند. علاوه بر این، این لیست شامل بدافزارهای آشنا میشود که در برخی کشورها به کار خود ادامه میدهند: بکدر Tambir، و تروجانهای BrowBot و Hqwar در ترکیه، FakePay در برزیل، اعضای خانواده UgandaSteal در اندونزی و هند، و دیگران.
تروجانهای بانکی موبایل
در سه ماهه سوم، تعداد بستههای نصب تروجان بانکداری تلفن همراه شناساییشده به 17822 رسید. اکثر بستههای نصبی متعلق به خانواده Mamont بودند که بر حملات سایبری واقعی نیز تسلط داشتند.
کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
