Читаем Стеганография. История тайнописи полностью

В 2006 году начались атаки трояна «Shady RAT», которые продолжаются до сих пор и исходят из Китая. В 2008 году они были направлены на руководящие органы летней Олимпиады в Пекине. В 2011 году кибернападению подверглись более 70 корпораций и правительственных организаций по всему миру, в том числе оборонные подрядчики ООН.

В 2011 году компания-разработчик антивирусного программного обеспечения «McAfee» сообщила о 5-летней хакерской атаке «Shady RAT», которая работает с помощью рассылки зараженных «трояном» электронных писем сотрудников выбранных организаций. После открытия полученного письма «троян» устанавливается на компьютер.

Среди 49 жертв атаки были Олимпийский комитет ООН, Ассоциация государств Юго-Восточной Азии, компании Японии, Швейцарии, Великобритании, Индонезии, Дании, Сингапура, Гонконга, Германии, Индии и правительств США, Тайваня, Южной Кореи, Вьетнама, Канады.

В настоящее время список вредоносного финансового ПО возглавляет программа «Zbot», на ее долю приходится почти 16 % всех кибератак в финансовой сфере. Она участвовала в 74 % кибератак в Казахстане, направленных на взлом систем дистанционного банковского обслуживания и счетов пользователей.

В 2011 году с помощью «Zbot» в России была осуществлена передача всей необходимой банковской информации на сервер злоумышленника и кража пользовательских данных из банка. Когда сотрудники МВД начали расследование, выяснилось, что он вместе с сообщниками уже похитил около 300 миллионов рублей со счетов почти 50 компаний.

В 2012 году был впервые обнаружен троян «Stegoloader», который хранил свои модули в «PNG» изображениях. Он распространялся посредством пиратских ресурсов в генераторах ключей к ПО. После того как «Stegoloader» попадал в систему, он подгружал с безопасных источников «PNG» изображения с модулями, спрятанными в них с помощью стегосистемы.

Загруженные трояном изображения формата «PNG» выглядят как вполне обычные, но в их пикселях записан код модулей «Stegoloader». Считывая этот код и подключая модули, троян «собирает» себя прямо в оперативной памяти персонального компьютера.

После того как троян «собрался», он начинает похищать с компьютера и отправлять на удаленный сервер различную информацию, включая историю веб-серфинга, пароли, списки недавно открытых документов и т. д. Один из модулей предназначен для поиска на компьютере данных об анализе угроз, который специалисты по информационной безопасности проводят с помощью специального ПО.

«Stegoloader» оснащен множеством механизмов защиты от обнаружения. Перед подключением вредоносных модулей загрузчик проверяет: не находится ли он в среде эмулятора антивирусной программы. Например, он посылает множество запросов к функции определения позиции курсора мыши «GetCursorPos». Если значение этой функции постоянно, загрузчик мгновенно прекращает свою работу. Таким образом, антивирус не видит никакой подозрительной активности.

«DNS Changer» — компьютерный вирус, предназначенный для изменения «DNS» (англ. Domain Name System) сервер-адреса компьютера жертвы. Это делается таким образом, что удаленный хакер может перенаправить веб-браузер на вредоносные сайты, специально предназначенные для чтения финансовой информации жертвы. Вирус может изменить ваши настройки интернета и перехватить ваши личные данные, когда вы отправляете их через интернет.

Кроме того, «DNSChanger», также известный как «Alureon», может замедлить работу компьютера, добавить иконки на рабочий стол, уменьшить доступную память и «загрузить» компьютер незапрашиваемыми всплывающими окнами с рекламой.

В апреле 2014 года был обнаружен троян под названием «Lurk», который, как и «Stegoloader», также подгружал модули, спрятанные в компьютерные изображения. В начале 2015 года был обнаружен банковский троян «Vawtrak» (другие названия — «Neverquest» и «Snifula»), также использующий эту технологию.

В июне 2015 года был зафиксирован вирус «Sundown», который является лишь сборкой эксплойтов, украденных у других хакеров, и вредоносных программ, которые можно бесплатно получить в интернете. В ходе анализа выяснилось, что в «Sundown» присутствуют 4 эксплойта для уязвимостей в программах «Flash», «Internet Explorer» и «Microsoft Silverlight».

В 2015 году наблюдался резкий рост количества атак с использованием вымогательского ПО «TeslaCrypt». Вирус был ориентирован, в том числе на геймеров — 50 из 185 шифруемых «TeslaCrypt» типов файлов были связаны с сохранениями игр и пользовательским контентом. Тем не менее, в процедуре шифрования вымогательского ПО была обнаружена уязвимость, и в апреле 2015 года исследователи «Cisco» выпустили утилиту для расшифровки пострадавших от вируса файлов.

Хакеры рассылают «TeslaCrypt» с помощью фишинговых писем с вредоносным вложением. В сообщениях киберпреступники просят подтвердить недавно проведенную банковскую операцию, открыв прикрепленный файл. Во вложении содержится сценарий «JavaScript», обходящий большинство антивирусных программ и загружающий на компьютер жертвы «TeslaCrypt».