La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Doctor Web: panoramica sull'attività di virus in IV trimestre 2024

26 dicembre 2024

Secondo le statistiche di rilevamento dell'antivirus Dr.Web nel IV trimestre 2024 il numero totale di minacce rilevate è diminuito dell'1,53% rispetto al III trimestre. Il numero di minacce uniche, invece, è aumentato del 94,43%. Il più spesso venivano rilevati le applicazioni pubblicitarie e i trojan pubblicitari, gli script malevoli, nonché i trojan che vengono distribuiti come parte di altre applicazioni malevole e utilizzati per ostacolarne il rilevamento. Nel traffico email il più frequentemente venivano rilevati gli script malevoli, i trojan pubblicitari e i trojan cryptominer. Inoltre, veniva notata un'elevata attività dei programmi malevoli con funzionalità spia.

Gli utenti i cui file sono stati colpiti da trojan ransomware di criptazione il più spesso si imbattevano in Trojan.Encoder.35534, Trojan.Encoder.35067 e Trojan.Encoder.26996.

Sui dispositivi Android, le minacce più diffuse di nuovo erano i trojan pubblicitari Android.HiddenAds. Allo stesso tempo, i nostri analisti dei virus hanno rilevato sullo store di app Google Play un gran numero di nuovi programmi malevoli.

Secondo i dati del servizio delle statistiche Doctor Web

Minacce più diffuse di IV trimestre:

Adware.Downware.20091
Adware utilizzato come installer intermedio di software pirata.
VBS.KeySender.6
Script malevolo che in ciclo infinito cerca finestre con il testo mode extensions, разработчика e розробника e invia ad esse un evento di premuta del pulsante Escape chiudendole forzatamente ("разработчика" – rus. "di sviluppatore", "розробника" – ucr. "di sviluppatore").
JS.Siggen5.44590
Codice malevolo aggiunto a una libreria JavaScript pubblica es5-ext-main. Visualizza un messaggio specifico se il pacchetto è installato su un server con un fuso orario di città russe.
Trojan.BPlug.4210
Rilevamento di un componente malevolo di un'estensione browser WinSafe. Questo componente rappresenta uno script JavaScript che visualizza pubblicità invadenti nei browser.
Trojan.Starter.8242
Programma malevolo che assicura l'avvio di un trojan cryptominer.

Statistiche sulle applicazioni malevole nel traffico email

JS.Siggen5.44590
Codice malevolo aggiunto a una libreria JavaScript pubblica es5-ext-main. Visualizza un messaggio specifico se il pacchetto è installato su un server con un fuso orario di città russe.
JS.Inject
Una famiglia di script malevoli, scritti nel linguaggio JavaScript. Incorporano uno script malevolo nel codice HTML di pagine web.
LNK.Starter.56
Rilevamento di una scorciatoia appositamente formata che viene distribuita tramite unità rimovibili e, per fuorviare gli utenti, ha l'icona di un disco. Alla sua apertura, vengono avviati script VBS malevoli da una directory nascosta situata sulla stessa unità della scorciatoia.
Win32.HLLW.Rendoc.3
Un worm di rete che si diffonde, tra l'altro, anche attraverso dispositivi rimovibili.
Trojan.Fbng.123
Programma trojan spia, anche conosciuto come FormBook. È progettato per il furto di vari dati dai dispositivi infetti. Ruba le password salvate in browser, client email, sistemi di messaggistica online e altri software, intercetta i dati inseriti in moduli web, monitora le premute sulla tastiera (realizza la funzione di keylogger) e cattura screenshot. Inoltre, è in grado di scaricare e avviare altri programmi, nonché eseguire vari comandi dei malintenzionati funzionando come backdoor.

Ransomware di criptazione

Nel IV trimestre 2024, il numero di richieste per la decriptazione di file interessati da trojan ransomware di criptazione è diminuito del 18,96%, rispetto al III trimestre.

Dinamica del numero di richieste di decriptazione pervenute al servizio di supporto tecnico Doctor Web:

Ransomware di criptazione più diffusi di IV trimestre:

Trojan.Encoder.35534 — 22.63% di richieste utente
Trojan.Encoder. 35067 — 3.91% di richieste utente
Trojan.Encoder.26996 — 3.35% di richieste utente
Trojan.Encoder.35209 — 3.07% di richieste utente
Trojan.Encoder.38200 — 3.07% di richieste utente

Truffe online

Nel IV trimestre 2024, continuava a essere attuale lo schema di frode in cui i malintenzionati su siti appositamente creati invitavano le potenziali vittime a guadagnare tramite vari investimenti. Per "accedere" ai servizi di investimento, agli utenti viene chiesto di registrarsi indicando i dati personali i quali poi finiscono nelle mani dei truffatori. Nei simili siti si imbattevano gli abitanti di vari paesi.

Sito truffa, presumibilmente legato alla Banca mondiale, che promette agli europei dividendi dall'investimento in settori di economia con buone prospettive

Un sito truffa invita gli utenti slovacchi a "guadagnare oltre $192.460 al mese" tramite un certo servizio di investimento

Truffatori si spacciano per maggiori banche e compagnie petrolifere e del gas e suggeriscono agli utenti da Armenia e Moldavia di "guadagnare con azioni"

Falso sito di una compagnia petrolifera e del gas azera, dove ai visitatori viene promesso un guadagno di 1.000 manat al mese

Sito di una "nuova piattaforma di investimento da Google" invita a partecipare a un sondaggio e ottenere l'accesso al servizio che presumibilmente consentirebbe di guadagnare a partire da €1.000

Uno dei siti truffa promette agli utenti russi un "sicuro reddito passivo" a partire da 150.000 rubli al mese

Gli specialisti Doctor Web hanno notato anche una variazione stagionale del contenuto dei simili siti. Così, in previsione delle festività di capodanno, i truffatori hanno cominciato a sfruttare più spesso il tema di regali presumibilmente a nome di banche, compagnie petrolifere e del gas, scambi di criptovalute e altre organizzazioni. Ad esempio, su una delle false risorse internet, gli utenti russi presumibilmente potrebbero ricevere bonus monetari da uno scambio di criptovalute pagati in base a certe "liste". E per controllare la disponibilità di tale bonus, loro dovevano completare un sondaggio e fornire i dati personali.

Falso sito di scambio di criptovalute suggerisce agli utenti russi di ottenere i "bonus di capodanno"

Un altro falso sito riportava una certa "offerta di capodanno" da una compagnia petrolifera e del gas, nell'ambito della quale molti utenti da Kazakistan in onore del Giorno dell'indipendenza del paese presumibilmente potrebbero cominciare a ricevere da 200.000 a 1.000.000 di tenge al mese. Per "ottenere" i pagamenti, le potenziali vittime dovevano presentare la "domanda" indicando i propri dati personali sul sito.

Sito truffa promette agli utenti kazaki cospicui pagamenti in onore del Giorno dell'indipendenza nell'ambito "dell'offerta di capodanno"

Allo stesso tempo, i nostri analisti internet hanno registrato la comparsa di falsi siti di banche russe, dove le potenziali vittime vengono invitate a partecipare a un sondaggio sulla qualità del servizio e presumibilmente ricevere per questo una ricompensa in denaro. A questo scopo, agli utenti vengono chiesti i dati personali, quale il nome, il cognome e il patronimico, il numero di cellulare legato all'account della banca, nonché il numero della carta bancaria.

Esempio di falso sito di banca, che copia il design del vero sito dell'istituzione creditizia e invita le potenziali vittime a completare un sondaggio per una ricompensa

Per "partecipare" al sondaggio, l'utente deve compilare un modulo fornendo i propri dati

Inoltre, sono stati identificati siti frode che invitano a seguire corsi di formazione online — ad esempio, quello sulla programmazione. Ai visitatori interessati veniva chiesto di lasciare i dati di contatto per "ottenere una consulenza".

Sito che offre corsi di programmazione online. Per "ottenere una consulenza", gli utenti devono indicare i dati personali

I truffatori internet non rinunciano ai tentativi di rubare account Telegram. Così, nel IV trimestre 2024, sono stati scoperti ulteriori siti di phishing mascherati da varie votazioni online — ad esempio, in "concorsi di disegno per bambini". Per "confermare" il voto, gli utenti devono indicare un numero di cellulare al quale verrà inviato un codice di verifica. Tuttavia, fornendo questo codice sul falso sito, loro aprono ai truffatori l'accesso ai propri account.

Sito dei truffatori su cui ai visitatori viene suggerito di votare in un concorso di disegno per bambini

Il "sistema di conteggio dei voti" chiede un numero di cellulare per la "conferma del voto" e l'invio di un codice monouso

Inserendo il codice ricevuto, le vittime forniscono ai truffatori l'accesso ai propri account Telegram

Software malevoli e indesiderati per dispositivi mobili

Secondo le statistiche di rilevamento di Dr.Web Security Space per dispositivi mobili, nel IV trimestre 2024 gli utenti si imbattevano il più frequentemente nei trojan pubblicitari Android.HiddenAds, nelle applicazioni malevole Android.FakeApp e Android.Siggen. Inoltre, nel periodo passato gli specialisti dell'azienda Doctor Web hanno rilevato numerose nuove minacce sullo store di app Google Play.

Eventi più importanti relativi alla sicurezza "mobile" in IV trimestre:

  • alta attività dei trojan pubblicitari Android.HiddenAds e dei programmi malevoli fraudolenti Android.FakeApp,
  • comparsa di nuove applicazioni malevole sullo store di app Google Play.

Per maggiori informazioni sulla situazione di virus per dispositivi mobili nel IV trimestre 2024 leggete la nostra panoramica.