Баннер мобильный (3) Пройти тест

Троян: что это такое и как защититься от него

Разбираемся с экспертом

Разбор

1 ноября 2024

Поделиться

Скопировано
Троян: что это такое и как защититься от него

Содержание

    «Спокойно спали троянцы. И тогда-то Синон выпустил из коня укрытых в нем воинов». Одна из самых распространенных категорий киберугроз сегодня — это троянский вирус. Рассказываем, что делать, если уже пустили коня в крепость. 

    Что такое трояны

    Троян — это вид вредоносного программного обеспечения, который маскируется под легальное ПО. Например, игры, офисные программы, утилиты. При запуске троян совершает вредоносные действия: незаметно открывает обратное соединение (бэкдор), выкачивает важные файлы и личные данные. Вирус может вредить системе или локальной сети или отслеживать действия пользователя.

    За пределами сферы ИБ вирусами называется все вредоносное ПО. Но по сути, конечно, это всего лишь один из видов. Поэтому троян не является вирусом — как по определению, так и по функционалу и методам работы / распространения. 

    Константин Зубченко, специалист по кибербезопасности 

    Первый известный троян — программа-вымогатель, AIDS Trojan 1989 года, которая распространилась через дискеты с интерактивной базой данных о СПИДе. Установленная программа ждала 90 циклов загрузки, а после шифровала большинство имен файлов в корневом каталоге машины. Для возврата своих данных пользователям предлагалось отправить $189 или $378 на почтовый ящик в Панаме.

    Чем опасны трояны 

    Как раз тем, что прикидываются полезными программами. Мы сами скачиваем такой «вирус» на ПК и даже запускаем трояны, не подозревая об этом. 

    Троянов, которые существуют годами, нет. Их постоянно отслеживают, добавляют их сигнатуры в различные системы защиты информации. Поэтому, если троян появляется и набирает популярность, уже через сравнительно короткий срок он перестанет активно распространяться, потому что не будет работать на большинстве устройств.

    Константин Зубченко, специалист по кибербезопасности 

    Как работают трояны

    Они не способны начать работу самостоятельно. Пользователь сам запускает зловредный код. С этого момента троян может получить контроль над операционной системой, действуя как хакер. Он меняет конфигурации, отключает системы защиты, открывает необходимые порты. ПО собирает информацию, которую пользователь вводит с клавиатуры, а также IP-адрес и другие данные, отправляет их злоумышленникам. 

    Чаще всего троян распространяется как полезная программа с внедренным вредоносным софтом:

    • код, добавленный в измененный установщик полностью безопасной программы;
    • изображение или документ во вложении электронного письма;
    • элементы самораспаковывающегося архива (SFX).

    Трояны попадают на компьютер и через поддельные Wi-Fi-сети или такие программные уязвимости, когда к компьютеру можно получить удаленный доступ. Тогда злоумышленники просто скачивают на него вредоносные программы.

    На данный момент (осень 2024) популярны трояны Medusa, Harly, Anatsa, JackalControl, Skidmap, Spynote. Их достаточно много, и работают они практически на всех операционных системах. В большей степени сейчас популярны трояны на Android-устройства — маскируются под игры или приложения в Google Play.

    Константин Зубченко, специалист по кибербезопасности 

    Виды троянов

    Бэкдор

    Классический вид трояна. Выступает как посредник и загружает с удаленного сервера компоненты других вредоносных программ, что позволяет ему усиливать контроль над компьютером. Чаще всего этот вид троянов помогает в создании зомби-сетей для осуществления DDoS-атак.

    Пример
    Skidmap — троян, который используется для создания ботнетов и может быть классифицирован как вредоносное ПО для майнинга криптовалюты. Он часто устанавливается на серверах и может использовать ресурсы зараженных машин для выполнения задач, связанных с криптовалютами.

    Блокировщик

    Блокирует действия пользователя или доступ системы к файлам. Чаще всего — чтобы потребовать выкуп.

    Пример 

    Trojan.Winlock.3794 — распространенный в эпоху Windows XP троян выводил на экран пользователя окно, похожее на окно для активации операционной системы. Только в нем просили ввести данные банковской карты. После отказа появлялся «синий экран смерти».

    Шифровальщик

    Тип, шифрующий данные так, чтобы сделать их недоступными для пользователя. Для дешифровки чаще всего требуют выкуп. 

    Пример

    Trojan.Encoder.25129 шифрует содержимое системных папок и выводит для пользователя сообщение с требованием выкупа.

    Как это работает? Пользователь скачал какое-то приложение, которое оказалось трояном. ПО начинает посылать пуш-уведомления якобы от банковского приложения о списании средств. При этом неподготовленному пользователю довольно сложно определить, реально ли эти пуш-уведомления приходят от банка. Мошенники звонят от лица банковского сотрудника и подтверждают, что вам срочно нужно перевести деньги. Дальше все по стандартной схеме. Предполагаю, что в дальнейшем трояны будут пытаться присылать пуш-уведомления и от других значимых для пользователей приложений, не только от банков.

    Константин Зубченко, специалист по кибербезопасности 

    Банковский троян

    Крадет логины и пароли для авторизации в личном кабинете банка и данные платежных карт. Перенаправляет онлайн-оплаты на фишинговую страницу. Все, чтобы украсть не только данные, но и деньги.

    Примеры

    • Harly — троян относится к категории банковских вредоносных программ, нацеленных на мобильные устройства. Он использует схожие методы для кражи данных и доступа к банковским приложениям.
    • Anatsa. Может перехватывать SMS-сообщения и использовать доступ к устройству для выполнения мошеннических действий, связанных с мобильным банкингом.

    Сборщик email

    Собирает email-адреса для дальнейшей рассылки фишинговых писем. Многие трояны собирают email-адреса, но не для многих это является основной задачей. Ярким примером такого вида трояна является SpamTool.Win32. MagPlayer.a.

    Загрузчик

    Иногда их называют дропперами. Такие программы либо содержат в себе, либо скачивают из Сети дополнительные вредоносные компоненты, например банковский троян. 

    Пример
    JackalControl — это троян, предоставляющий злоумышленникам возможность удаленно управлять зараженными устройствами через защищенный HTTPS-канал связи с серверами управления. Он позволяет выполнять произвольные команды, загружать и запускать программы, а также передавать файлы между зараженным устройством и сервером. JackalControl может работать как стандартная программа или как служба Windows, поддерживая различные аргументы запуска для гибкости в эксплуатации. Этот троян активно используют для атак на правительственные и корпоративные структуры, собирая информацию о системе и пользователе, что делает его серьезной угрозой.

    Аккаунтстиллер

    Охотится за данными игровых аккаунтов и даже профилей в социальных сетях и мессенджерах. Такие трояны позволяют получить доступ к личной переписке человека и использовать в разных целях: шантажировать обнародованием переписки или запускать спам-рассылку с просьбой одолжить денег.

    Пример

    KPOT — вредоносное ПО, способное красть данные учетных записей игровых сервисов, Telegram, Skype и других приложений.

    SMS-троян

    Рассылает сообщения по международным номерам за счет средств пользователя, подхватившего вирус на свой смартфон. 

    Пример

    Medusa использует методы SMS-фишинга для распространения, заманивая пользователей кликать на вредоносные ссылки. После установки на устройство Medusa может читать SMS-сообщения, что делает его опасным инструментом для киберпреступников, нацеленных на кражу финансовой информации и учетных данных пользователей.

    Шпион

    Буквально шпионит за пользователем: видит данные, вводимые с клавиатуры, делает скриншоты рабочего стола и приложений, добывает доступ к просмотру истории действий и веб-камере. 

    Пример

    Trojan-Spy.Win32.Noon — собирает и передает информацию о паролях, вводимых на клавиатуре и сохраненных в браузере.

    Эксплойт

    Получает доступ к системе и внедрению вредоносного кода благодаря уязвимостям в установленном на компьютере ПО.

    Пример 

    EternalBlue — пользуется большей популярностью в среде злоумышленников для распространения прочих вирусов и троянов. 

    Как защититься от троянских программ

    Зная, как трояны попадают на устройство и запускают вредоносные действия, рассмотрим основные способы защититься от заражения. 

    1. Не выдавайте приложениям права на все подряд, если логически в этом нет необходимости. Играм, например, ваши геолокация или доступ к галерее ни к чему — это сразу повод заподозрить неладное. 
    2. Своевременно обновляйте систему. С каждым обновлением безопасность становится лучше: обновляются базы данных встроенного антивируса, например.

    Этот способ особенно актуален, если троян попадает в легитимный источник. Например, в магазин приложений. По умолчанию в крупных маркетах приложений проводят проверки на безопасность загружаемых приложений, но иногда пропускают вредоносы. В таких случаях вас может спасти обновленная операционная система или антивирус, который уже имеет в своих базах данный троян и моментально его удалит.

    Константин Зубченко, специалист по кибербезопасности 
    1. Будьте внимательны. Большинство из нас знают, как выглядит фишинг. Не проходите по ссылкам, ничего не скачивайте и не открывайте в электронных письмах, полученных от незнакомцев. Сегодня мошенники маскируют опасные письма под рассылку от самых разных брендов.
    2. Скачивайте программы / приложения / утилиты / игры с официальных сайтов или из проверенных источников.

    Для пользователей Windows: системы, собранные сторонними командами разработчиков, — чаще всего усеченные образы Windows, где вырезана часть стандартных приложений. В них могут отсутствовать защитник Windows, брандмауэр, автоматическое обновление и контроль учетных записей. Для троянов это благодатная среда.

    1. Не пренебрегайте антивирусами. Подойдет периодическая проверка системы бесплатными и одноразовыми антивирусами. Перед запуском сомнительной программы просканируйте ее онлайн-антивирусом

    Важно. Это невозможно с архивами под паролем, поэтому никогда не открывайте их, если сомневаетесь в источнике.

    Трояны могут распространяться и физическим путем: через флешку, провод. Поэтому нельзя пользоваться найденными в публичных местах флешками или проводами. 

    Константин Зубченко, специалист по кибербезопасности 

    Разбор

    Поделиться

    Скопировано
    0 комментариев
    Комментарии