Вадим Гребенников - Стеганография. История тайнописи

Кроме того, «DNSChanger», также известный как «Alureon», может замедлить работу компьютера, добавить иконки на рабочий стол, уменьшить доступную память и «загрузить» компьютер незапрашиваемыми всплывающими окнами с рекламой.

В апреле 2014 года был обнаружен троян под названием «Lurk», который, как и «Stegoloader», также подгружал модули, спрятанные в компьютерные изображения. В начале 2015 года был обнаружен банковский троян «Vawtrak» (другие названия — «Neverquest» и «Snifula»), также использующий эту технологию.

В июне 2015 года был зафиксирован вирус «Sundown», который является лишь сборкой эксплойтов, украденных у других хакеров, и вредоносных программ, которые можно бесплатно получить в интернете. В ходе анализа выяснилось, что в «Sundown» присутствуют 4 эксплойта для уязвимостей в программах «Flash», «Internet Explorer» и «Microsoft Silverlight».

В 2015 году наблюдался резкий рост количества атак с использованием вымогательского ПО «TeslaCrypt». Вирус был ориентирован, в том числе на геймеров — 50 из 185 шифруемых «TeslaCrypt» типов файлов были связаны с сохранениями игр и пользовательским контентом. Тем не менее, в процедуре шифрования вымогательского ПО была обнаружена уязвимость, и в апреле 2015 года исследователи «Cisco» выпустили утилиту для расшифровки пострадавших от вируса файлов.

Хакеры рассылают «TeslaCrypt» с помощью фишинговых писем с вредоносным вложением. В сообщениях киберпреступники просят подтвердить недавно проведенную банковскую операцию, открыв прикрепленный файл. Во вложении содержится сценарий «JavaScript», обходящий большинство антивирусных программ и загружающий на компьютер жертвы «TeslaCrypt».

В случае успешной атаки вымогательское ПО шифрует все файлы и изменяет их расширение на «.VVV». На рабочем столе появится текстовый документ или страница «HTML» с требованием выкупа в биткоинах.

В 2017 году был обнаружен «Cerber» — крупнейшая франшиза сервиса «RaaS» (англ. Ransomware-as-a-service — вымогатель как услуга). «Ransomware» представляет собой вирус, который попадает на компьютер жертвы и шифрует или блокирует на нем все файлы и данные, предлагая заплатить выкуп за дешифровку. «Cerber» позволяет любым пользователям, не владеющим технологиями, запускать собственные независимые вымогательские атаки.

На сегодняшний день «Cerber» запустил по всему миру более 160 активных кампаний с общим ежегодным прогнозируемым доходом около 2,3 миллиона долларов. Каждый день в среднем запускаются 8 новых кампаний, например, в июле 2016 исследователи обнаружили около 150 тысяч жертв в 201 стране и регионе.

«Cerber» распространился по всему миру и достиг даже Украины. Основным путем заражения являются спам-письма, которые пользователь получает в рамках мошеннических рассылок. Как правило, вирус прикреплен к файлу, который приложен к письму. С помощью технологий социальной инженерии мошенники заинтересовывают потенциальную жертву и заставляют ее открыть вложенный документ. После чего происходит заражение.

При этом ПК ведет себя довольно необычно, и это может стать сигналом тревоги для пользователя. Дело в том, что троян инициирует перезагрузку компьютера. После чего проверяет свою локацию (в ранних версиях он не шифровал ПК в странах бывшего СНГ) и приступает к шифрованию данных.

Новый вариант программы-вымогателя «Cerber» теперь нацелился на пользователей приложения электронной почты «MS Office 365». Он использует уязвимость «0-day», отправляя фишинговые письма с прикрепленными вредоносными файлами.

Как и многие другие программы-вымогатели, «Cerber» шифрует файлы пользователя и требует заплатить 1,24 биткойна (более 800 долларов) за ключ дешифрования, позволяющий восстановить файлы. Однако «Cerber» также использует аудиосистему компьютера для воспроизведения своего уведомления о необходимости заплатить выкуп.

Большинство антивирусных решений на сегодняшний день не защищают от стеганографических атак или защищают слабо, между тем, нужно понимать, что каждый заполненный контейнер опасен. В нем могут быть скрыты данные, которые эксфильтруются шпионским ПО, или коммуникация вредоносного ПО с командным центром, или новые модули вредоносного ПО.

В 2017 году «Лаборатория Касперского» наблюдала использование стеганографии в следующих вредоносных программах и средствах кибершпионажа:

— Microcin (AKA six little monkeys);

— NetTraveler;

— Zberp;

— Enfal (ранее — Zero.T);

— Shamoon;

— KinS;

— ZeusVM;

— Triton (Fibbit).

Авторы вредоносного ПО все активнее используют стеганографию из-за возможности: