Škodlivý kód prožívá rozdílný vývoj podle toho, které techniky a události jeho tvůrcům právě nahrávají. Nejvděčnější jsou samozřejmě celosvětově rozšířené zprávy, na nichž se svezou i méně zkušení malwaroví tvůrci – pohromy, smrt celebrit, a dokonce i zprávy o přesně stanoveném termínu konce světa. Jakmile se však zásobník těchto univerzálně použitelných vějiček začne vyprazdňovat, přicházejí na scénu propracovanější útoky. Jaký byl aktuální stav v plynulém měsíci, prozrazuje nejnovější zpráva společnosti Symantec.
Podle citované zprávy Symantec Intelligence Report došlo v září k výrazné změně v oblasti škodlivého kódu. Přibližně 72 % všech škodlivých kódů šířených e-mailem šlo charakterizovat jako agresivní varianty polymorfního malwaru. Zásadní nárůst polymorfního malwaru jen podtrhuje myšlení počítačových zločinců, kteří v tomto roce vystupňovali útoky na firmy a snaží se plně využít slabin tradičních bezpečnostních opatření.
Pro úplnost dodejme, že polymorfní viry jsou takové viry, které mají různé varianty díky odlišnému kódování, ve výsledku se tedy při detekci jedná o rozdílné vzorky, i když mají naprosto stejnou funkcionalitu. Polymorfní viry samozřejmě nejsou žádnou novinkou, jedná se o techniku tvorby škodlivého kódu, která z pohledu útočníků s většími či menšími úspěchy funguje již dlouhou dobu. Pokud se však tvůrci na programování a vývoj těchto virů pořádně zaměří, je detekce obtížnější – naštěstí jsou už zapotřebí detailní technické znalosti, a tak se nejedná o obecné a hromadné útoky, kam spadá například phishing a další.
V celkovém podílu objemu konkrétního škodlivého kódu k výraznému překvapení nedochází, na prvním místě se v září co do počtu zachycených blokací umístil vir W32.Sality.AE, který se šíří tak, že napadá spustitelné soubory a pokouší se stáhnout z Internetu potenciálně nebezpečné soubory. Jedná se tedy o klasický downloader, v jehož případě však útočníci pozměnili techniku nalákání přespříliš důvěřivých uživatelů – stojí za zmínku, že originální kód ve své původní podobě se datuje dokonce až do roku 2008.
Budeme se do budoucna bát imitací zpráv souvisejících s pokročilými funkcemi tiskáren? Zdroj: Symantec
Reseting hesla bankování…
Z citované analýzy také vyplývá, že důvodem nárůstu polymorfních virů a dalšího malwaru je sociální inženýrství, které zneužívá nové technologie. Například nebezpečné e-maily se mohou maskovat jako e-mail z chytré tiskárny nebo skeneru, který byl kolegy přeposlaný v rámci firmy. S tím, jak se budou zlepšovat pokročilé možnosti stávajících tiskáren, mohou být útoky postupně stále více zneužívány. Prozatím se naštěstí jedná o první vlaštovky, nicméně tak tomu bylo u drtivé většiny útoků. E-maily, instant messaging, známé webové služby a další prostředky nebo předměty podvodů či zneužití v historii vždy gradovaly s tím, jak stoupala jejich popularita.
Z pohledu útočníků je v dnešní době nejdůležitější zvolit správnou cestu k oblafnutí uživatelů, přesvědčit je ke stažení infikovaných dat. Tvorba škodlivého kódu není příliš složitá, a tak právě toto přesvědčování tvoří tenkou hranici mezi úspěchem a neúspěchem. Sociální inženýrství (též nazývané jako sociotechniky) může na první pohled vypadat jednoduše, nicméně s rostoucím povědomím o relativně bezpečném surfování i u naprostých začátečníků jsou nároky na schopnosti podvodníků vyšší. Na druhou stranu v případě zmíněného napodobení standardních zpráv pokročilých tiskáren v kancelářském prostředí, kde řada uživatelů s počítačem bohužel stále pracuje jen a pouze z donucení, se mohou šance na úspěch zvýšit.
Celkově ukazatel trendu naznačuje postupný odklon od již zprofanovaných metod, například i ústup od přikládání virů vedoucí k většímu zneužití podvodných odkazů. Jedním z důvodů může být větší osvěta uživatelů, že opravdu nemají klikat na přiložený soubor EXE s příslibem fotek nahé Anny Kurnikovové, dále pak samozřejmě stoupající blokace potenciálních rizik již na cestě k nim. Spustitelné soubory nebo podezřelé přílohy filtry většinou odříznou, doplňky prohlížečů zablokují stránky ještě před návštěvou dle blacklistu a lámané phishingové e-maily požadující „reseting hesla k uživatel soukromí online bankování“ již nikoho také nezviklají. Tak proč nezkusit inovace.
Graf a detaily vývoje spamu. Zdroj: Symantec
Mozek v kombinaci se softwarem
Přestože úroveň nevyžádané pošty zůstala během září poměrně stabilní, aktuální statistiky ukazují ve větším množství zneužití zranitelností ve starších verzích populárního publikačního systému WordPress. Nevyžádané e-maily s odkazy na ohrožené webové stránky šířily hrozbu dále, nicméně podle všeho blogy hostované na WordPress nebyly nijak ohroženy.
Podle průzkumu se dále JavaScript stal populárním programovacím jazykem spammerů a autorů škodlivého kódu. Spameři JavaScript používají k maskování a přesměrování webových stránek. „Spameři zneužívají jednoduché podvodné JavaScript stránky na bezplatném hostingu, což zvyšuje jejich životnost, protože provozovatelé často nezjistí, že jsou používány k nebezpečné činnosti,“ komentuje Paul Wood ze společnosti Symantec. „JavaScript je používán pro přesměrování návštěvníků ohrožené webové stránky na stránky spamerů. Zatímco některé z těchto technik byly již dříve běžné při distribuci škodlivého kódu, spameři je začínají využívat častěji až nyní.“
Zářijové dny tedy řečí čísel aktuálních statistik přinesly některá varování do budoucna, možná se ještě do konce roku objeví nové vlny rizik, na něž běžní uživatelé nebudou zcela připraveni. Stejně jako útočníci neusínají a snaží se inovovat, musí být také koncoví uživatelé pořádně opatrní při svých pravidelných webových toulkách. Základem je stále prevence, v těsném závěsu pronásledovaná použitím pravidelně aktualizovaného systému a antiviru pro případné zaskočení při selhání lidského faktoru.
Které cesty infiltrace považujete za nejvíce rizikové, jakými způsoby by se uživatelé měli bránit? Jaký antivir pro případnou pro- i reaktivní ochranu používáte, pokud vůbec nějaký? Podělte se o své zkušenosti s ostatními čtenáři v diskuzi pod článkem.
