Читать «Стеганография. История тайнописи» онлайн - страница 78

В 2012 году был впервые обнаружен троян «Stegoloader», который хранил свои модули в «PNG» изображениях. Он распространялся посредством пиратских ресурсов в генераторах ключей к ПО. После того как «Stegoloader» попадал в систему, он подгружал с безопасных источников «PNG» изображения с модулями, спрятанными в них с помощью стегосистемы.

Загруженные трояном изображения формата «PNG» выглядят как вполне обычные, но в их пикселях записан код модулей «Stegoloader». Считывая этот код и подключая модули, троян «собирает» себя прямо в оперативной памяти персонального компьютера.

После того как троян «собрался», он начинает похищать с компьютера и отправлять на удаленный сервер различную информацию, включая историю веб-серфинга, пароли, списки недавно открытых документов и т. д. Один из модулей предназначен для поиска на компьютере данных об анализе угроз, который специалисты по информационной безопасности проводят с помощью специального ПО.

«Stegoloader» оснащен множеством механизмов защиты от обнаружения. Перед подключением вредоносных модулей загрузчик проверяет: не находится ли он в среде эмулятора антивирусной программы. Например, он посылает множество запросов к функции определения позиции курсора мыши «GetCursorPos». Если значение этой функции постоянно, загрузчик мгновенно прекращает свою работу. Таким образом, антивирус не видит никакой подозрительной активности.

«DNS Changer» — компьютерный вирус, предназначенный для изменения «DNS» (англ. Domain Name System) сервер-адреса компьютера жертвы. Это делается таким образом, что удаленный хакер может перенаправить веб-браузер на вредоносные сайты, специально предназначенные для чтения финансовой информации жертвы. Вирус может изменить ваши настройки интернета и перехватить ваши личные данные, когда вы отправляете их через интернет.

Кроме того, «DNSChanger», также известный как «Alureon», может замедлить работу компьютера, добавить иконки на рабочий стол, уменьшить доступную память и «загрузить» компьютер незапрашиваемыми всплывающими окнами с рекламой.

В апреле 2014 года был обнаружен троян под названием «Lurk», который, как и «Stegoloader», также подгружал модули, спрятанные в компьютерные изображения. В начале 2015 года был обнаружен банковский троян «Vawtrak» (другие названия — «Neverquest» и «Snifula»), также использующий эту технологию.

В июне 2015 года был зафиксирован вирус «Sundown», который является лишь сборкой эксплойтов, украденных у других хакеров, и вредоносных программ, которые можно бесплатно получить в интернете. В ходе анализа выяснилось, что в «Sundown» присутствуют 4 эксплойта для уязвимостей в программах «Flash», «Internet Explorer» и «Microsoft Silverlight».

В 2015 году наблюдался резкий рост количества атак с использованием вымогательского ПО «TeslaCrypt». Вирус был ориентирован, в том числе на геймеров — 50 из 185 шифруемых «TeslaCrypt» типов файлов были связаны с сохранениями игр и пользовательским контентом. Тем не менее, в процедуре шифрования вымогательского ПО была обнаружена уязвимость, и в апреле 2015 года исследователи «Cisco» выпустили утилиту для расшифровки пострадавших от вируса файлов.