Хакер #305. Многошаговые SQL-инъекции
Начался учебный год, и специалисты «Лаборатории Касперского» напомнили, что попытка скачать пиратские рефераты и учебники часто заканчивается заражением. Если в поисках материалов пользователь попадает на вредоносный сайт, в итоге на его машину может проникнуть все, что угодно. Но некоторая малварь распространяется таким образом чаще других.
Как выяснилось, за последний учебный год преступники, концентрирующиеся на теме образования, пытались атаковать пользователей продуктов «Лаборатории Касперского» в общей сложности более 356 000 раз. Из них 233 000 случаев — это вредоносные рефераты. Малварь, замаскированная под учебники, была ответственна за 122 000 атак.
Самыми популярными оказались вредоносные учебники по английскому: их пытались скачать 2080 человек. На втором месте — пособия по математике, которые чуть не заразили 1213 учащихся. Замыкает тройку самых опасных предметов литература — 870 потенциальных жертв.
Под видом рефератов и учебников чаще всего распространяются следующие вредоносы:
Stalk. Чтобы заразиться, не обязательно даже посещать сомнительные сайты и искать пиратские версии учебников. Такую «литературу» распространяют и спамеры. К примеру, так распространяется давно известный червь Worm.Win32.Stalk.a, которого эксперты уже считали «ушедшим на покой». Однако червь не просто до сих пор активен, но и занимает первую строчку по количеству атакованных пользователей среди малвари, маскирующейся под учебные материалы.
Попав на компьютер, Stalk проникает на все подключенные к нему устройства, например, на другие компьютеры в локальной сети или на флешку с учебными материалами. Исследователи отмечают, что это коварный ход, ведь, скорее всего, пользователь захочет распечатать загруженный реферат, а принтерные в школах и университетах принимают документы именно на флешках. В результате червь пробирается и в сеть учебного заведения. Чтобы захватить как можно больше систем, малварь также попытается разослать себя по электронной почте всем контактам жертвы.
Но Stalk опасен не только своей способностью распространяться по локальной сети и почте. Червь также способен загружать на зараженное устройство другие сомнительные приложения, а также копировать и отправлять своим операторам, например, файлы с компьютера.
Эксперты полагают, что причина успеха Stalk заключается в том, что в учебных заведениях в целом и в принтерных в частности часто используются устаревшие версии ОС и другого ПО, что и позволяет червю до сих пор благоденствовать.
Win32.Agent.ifdx. Под видом учебника или реферата в формате DOC, DOCX или PDF частенько скрывается загрузчик. Несмотря на то, что он притворяется документом с соответствующей иконкой, на самом деле это программа. Причем при запуске она действительно откроет текстовый файл — чтобы усыпить бдительность жертвы. Однако основная задача — доставить на компьютер малварь.
В последнее время загрузчик распространяет майнеры. Однако стоит помнить о том, что приоритеты операторов малвари могут смениться, и пейлоад поменяется на шпионские программы, банковские трояны или шифровальщики.
WinLNK.Agent.gen. Малварь любит скрываться в архивах — в упакованном виде их сложнее проверить. Так поступает, например, загрузчик WinLNK.Agent.gen, который тоже легко подцепить в поисках учебников и рефератов. Внутри архива находится ярлык текстового файла, который не только открывает сам документ, но и запускает прилагающиеся компоненты малвари.
Таким образом на устройство могут проникнуть другие вредоносы. Как правило, это снова майнеры, которые добывают для своих хозяев криптовалюту, используя ресурсы зараженного устройства. Но это может быть и adware, заваливающая жертв рекламными предложениями, и другие вредоносы.
MediaGet. Замыкает список наиболее «безобидный сюрприз» из всех, что поджидают учащихся на вредоносных ресурсах: сайты с учебниками, пестрящие кнопками «Скачать бесплатно», нередко подсовывают пользователям вместо документа, который те искали, загрузчик программы MediaGet. Этот загрузчик просто скачает и установит ненужный пользователю торрент-клиент, не причинив другого вреда.