Ewolucja złośliwego oprogramowania 2012

Przeczytaj także: Złośliwe oprogramowanie. Ransomware uderza w dyski NAS

Flashfake bez wątpienia był najbardziej rozpowszechnionym szkodliwym programem dla Maków w 2012 roku – jego najwcześniejsze wersje zostały wykryte jeszcze w 2011 roku. Szkodnik ten bezsprzecznie stanowił największe zagrożenie w pierwszej połowie 2012 roku. W dalszej części zajmiemy się szkodliwym oprogramowaniem atakującym Mac OS X w drugiej połowie 2012 roku.

TOP 10 szkodliwych programów dla Mac OS X, II połowa 2012 r.

Na pierwszym miejscu znajduje się Trojan.OSX.FakeCo.a (52%). Szkodnik ten podszywa się pod plik instalacyjny kodeka. Jednak po zainstalowaniu go w systemie nie pojawiają się żadne nowe kodeki; zainstalowany program zachowuje się jak program adware, gromadząc informacje o użytkowniku, które mogą być wykorzystane w celach marketingowych, a następnie wysyłając je cyberprzestępcom.

Drugie miejsce zajmuje Jahlav (8%) - trojan, który jest aktywny od czterech lat. Szkodnik ten również ukrywa się pod postacią pliku instalacyjnego kodeka. Trojan ukradkiem kontaktuje się ze szkodliwym serwerem i potrafi pobierać inne pliki na komputer ofiary. Zwykle próbuje pobrać trojana, który zmienia adresy w ustawieniach DNS na takie, które wskazują na szkodliwe serwery. Szkodnik ten jest wykrywany przez produkty firmy Kaspersky Lab jako Trojan.OSX.Dnscha.

Na czwartym i piątym miejscu uplasowały się szkodliwe programy z rodziny Trojan-Downloader.OSX.FavDonw, które łącznie odpowiadały za 7% wszystkich incydentów. Programy te mają tylko jeden cel: po zainstalowaniu na komputerze Mac pobierają fałszywe programy antywirusowe.

Na siódmym i ósmym miejscu znalazły się fałszywe programy antywirusowe z rodziny Trojan-FakeAV.OSX.Defma. Szkodniki te wyłudzają pieniądze od użytkowników za usunięcie szkodliwego oprogramowania, który został rzekomo wykryty na ich komputerach.

Dziewiąte miejsce okupuje Exploit.OSX.Smid.b – exploit, który wykorzystuje lukę w Javie i pozwala cyberprzestępcy uruchomić losowy kod na komputerach, na których Java nie została zaktualizowana.

Po tym, jak wykryto botnet Flashfake, Apple przyjął bardziej rygorystyczne stanowisko odnośnie bezpieczeństwa swojego systemu operacyjnego. Przykładem może być opublikowanie krytycznych łat bezpieczeństwa dla Oracle Java w tym samym czasie, kiedy pojawiły się ich windowsowe odpowiedniki, oraz nowe funkcje bezpieczeństwa w Mac OS X Mountain Lion: domyślnie może być instalowane tylko oprogramowanie z oficjalnego sklepu internetowego; programy pobierane ze sklepu są uruchamiane w bezpiecznym środowisku sandbox; aktualizacje są instalowane automatycznie itd.

Szkodliwe programy w internecie (ataki poprzez WWW)

Liczba ataków przeprowadzanych za pośrednictwem przeglądarek internetowych w 2012 roku zwiększyła się z 946 393 693 do 1 595 587 670. To oznacza, że produkty firmy Kaspersky Lab ochroniły użytkowników online średnio 4 371 473 razy dziennie

Liczba ataków WWW rosła w podobnym tempie jak w zeszłym roku. Liczba prób infekcji sieciowych w 2012 roku była 1,7 razy wyższa niż w 2011 roku, natomiast w 2011 roku 1,6 razy wyższa w stosunku do 2010 roku. Głównym narzędziem wykorzystywanym do przeprowadzania infekcji za pośrednictwem przeglądarki nadal jest pakiet exploitów, który pozwala cyberprzestępcom skutecznie zainfekować komputery, które nie mają zainstalowanego rozwiązania bezpieczeństwa lub posiadają co najmniej jedną popularną aplikację, która jest podatna na ataki (brak aktualizacji bezpieczeństwa).

Dziurawe aplikacje na celowniku szkodliwych użytkowników

O ile rok 2011 został nazwany rokiem luk, rok 2012 można określić jako rok luk w Javie, ponieważ połowa wszystkich wykrytych ataków przeprowadzonych za pośrednictwem exploitów wykorzystywała luki w Oracle Java.

Obecnie Java jest zainstalowana na ponad 3 miliardach urządzeń działających pod kontrolą różnych systemów operacyjnych. Dlatego powstają exploity wieloplatformowe wykorzystujące określone luki w Javie. W 2012 roku wykryliśmy zarówno przeprowadzone na szeroką skalę ataki wykorzystujące zestawy exploitów jak i ataki ukierunkowane wykorzystujące exploity Javy, których celem były zarówno komputery PC jak i Mac.

W 2012 roku na znaczeniu straciły nieco exploity dla Adobe Readera, odpowiedzialne za 28% wszystkich incydentów. W efekcie aplikacja ta uplasowała się na drugim miejscu w naszym rankingu. Należy zauważyć, że firma Adobe poświęciła więcej uwagi problemowi luk w zabezpieczeniach w ostatnich wersjach Adobe Readera. W szczególności, zostały zaimplementowane narzędzia mające chronić tę aplikację przed exploitami. Zabezpieczenia te znacznie utrudniają stworzenie efektywnych exploitów dla tego oprogramowania.