Теги → ботнеты
Быстрый переход

Украинские силовики задержали хакера, который создал и использовал сеть на 100 тысяч ботов

Служба безопасности Украины (СБУ) арестовала хакера, который разработал и использовал ботнет, состоящий из более чем 100 тысяч ботов. Преступником оказался гражданин Украины, проживающий в городе Ивано-Франковск.

neowin.net

neowin.net

Огромная армия ботов использовалась для осуществления DDoS-атак, рассылки спама или кражи учётных данных пользователей. Ботнет также использовался для выявления слабых мест различных сайтов в рамках подготовки к возможным будущим кибератакам. Заказы на осуществление атак хакер получал через интернет-форумы и Telegram. СБУ удалось отследить хакера благодаря его учётной записи в платёжном сервисе WebMoney, где злоумышленник разместил свой реальный адрес.

Хакеру предъявлены обвинения по двум статьям Уголовного кодекса Украины: создание вредоносного ПО или аппаратного обеспечения с целью распространения или продажи, а также их распространение и продажа; и вмешательство в работу ЭВМ, автоматизированных систем, компьютерных сетей или сетей электросвязи путём распространения телекоммуникационных сообщений. Злоумышленнику грозит лишение свободы сроком до двух лет.

Подразделение «Ростелекома» предотвратило вовлечение более 45 тысяч устройств в ботнет Mēris

Компания «Ростелеком-солар», специализирующаяся на вопросах кибербезопасности, обнаружила и предотвратила попытку злоумышленников вовлечь более 45 тысяч устройств в ботнет Meris. Эксперты считают, что именно он использовался для рекордной DDoS-атаки на «Яндекс». Предполагается, что в данный момент Meris насчитывает порядка 200 тысяч устройств. Таким образом, «Ростелеком-солар» предотвратила увеличение ботнета на 20 %.

therecord.media

therecord.media

Специалисты компании получили и проанализировали команды, использующиеся для управления заражёнными устройствами. Они определили, что заражённые маршрутизаторы MikroTik обращались к незарегистрированному домену и запрашивали новые инструкции по адресу cosmosentry.com. Инженеры «Ростелеком-солар» зарегистрировали этот домен и разместили на нём сообщение, информирующее пользователей о том, кто владеет доменом и почему маршрутизатор установил это соединение.

Специалисты «Ростелеком-солар» также смогли идентифицировать географическое местоположение устройств, подверженных атаке. По данным компании, более 20 % из них находятся в Бразилии. В топ-5 стран по количеству заражённых роутеров вошли Украина, Индонезия, Польша и Индия. На Россию пришлось менее 4 %.

therecord.media

therecord.media

«Ростелеком-солар» считает, что ботнет Meris был создан с помощью вируса Glupteba, нацеленного на компьютеры, работающие под управлением Windows. Обычно он используется в качестве загрузчика для других вредоносных программ. В настоящее время неизвестно, замешаны ли создатели Glupteba в создании ботнета Meris.

MikroTik выпустила рекомендации по защите оборудования от ботнета Mēris

Компания MikroTik опубликовала официальное заявление относительно ботнета Mēris, работа которого обеспечивается в том числе оборудованием латвийского производителя. В документе приведены меры по защите от атак на оборудование.

Источник: mikrotik.com

Источник: mikrotik.com

Ботнет Mēris был обнаружен специалистами Qrator Labs и «Яндекса», когда на ресурсы последнего была осуществлена самая мощная DDoS-атака в истории. По предварительным данным, в ботнете использовалось оборудование MikroTik. Латвийский бренд провёл собственное расследование и установил, что в атаке участвовали роутеры, скомпрометированные в 2018 году, когда была обнаружена уязвимость платформы RouterOS, которая впоследствии была оперативно устранена.

Однако, отметила MikroTik, одного только обновления прошивки недостаточно — если кто-то в 2018 году получил доступ к роутеру, то необходимо ещё сменить пароль. Кроме того, производитель указал на необходимость проверить настройки брандмауэра и поискать скрипты, которые администратор не создавал. Компания попыталась связаться со всеми владельцами устройств на базе RouterOS, однако многие из них никогда не были в контакте с MikroTik и никогда не уделяли особого внимания мониторингу устройств.

На текущий момент, заверила компания, уязвимостей у её продукции нет. Несколько сторонних подрядчиков провели аудит RouterOS. Производитель опубликовал ряд рекомендаций по защите от подобных атак.

  • Необходимо регулярно обновлять устройство.
  • Не следует открывать доступ к настройкам устройства через интернет. Если удалённый доступ всё же обязателен, лучше пользоваться VPN-сервисом.
  • Пароль должен быть сложным и его регулярно нужно менять.
  • Не стоит предполагать, что локальная сеть безопасна. Вредоносное ПО может попытаться подключиться к роутеру, если на нем простой пароль, либо он вообще отсутствует.
  • Рекомендуется проинспектировать конфигурацию RouterOS на предмет неизвестных настроек.

В сотрудничестве с независимыми экспертами по безопасности было обнаружено вредоносное ПО, которое пытается изменить конфигурацию устройства MikroTik через Windows-компьютеры в сети. Поэтому компания настоятельно рекомендует использовать надёжный пароль для доступа к оборудованию, не допускать возможности входа без пароля и не использовать простые пароли, которые можно подобрать по словарю. Производитель также дал советы по аудиту конфигурации.

  • Удалить Fetch-скрипты в планировщике.
  • Отключить прокси-сервер SOCKS, если он не используется.
  • Удалить L2TP-клиент «lvpn».
  • Удалить правило брандмауэра, открывающее доступ через порт 5678.

Миллионы роутеров оказались в опасности перед хакерами из-за уязвимости в прошивке

Стало известно, что роутеры и ADSL-модемы, работающие на основе прошивок от тайваньского OEM-производителя Arcadyan, подвержены серьёзной опасности из-за новой уязвимости программного обеспечения. На атаки хакеров с использованием уязвимости CVE-2021-20090 обратили внимание специалисты компании Bad Packets, работающей в сфере информационной безопасности, а затем этот факт подтвердили в Juniper Labs.

Изображение: The Record

Изображение: The Record

Упомянутую уязвимость обнаружил ранее в этом году исследователь из компании Tenable Эван Грант (Evan Grant). Она может использоваться злоумышленниками для включения пользовательских устройств в ботнет-сеть с целью проведения масштабных DDoS-атак. Проблема существует более десяти лет и затрагивает по меньшей мере 20 моделей роутеров и модемов, которые функционируют под управлением прошивок от Arcadyan и поставляются 17 брендами. В список проблемных устройств входят маршрутизаторы и модемы некоторых крупнейших производителей и интернет-провайдеров, в том числе ASUS, Orange, Vodafone, Telstra, Verizon, Deutsche Telekom, British Telekom и др.

Отметим, что изначально проблема не была столь серьёзной, поскольку хакерские атаки с использованием уязвимости CVE-2021-20090 начались всего несколько дней назад. Этому предшествовал подробный отчёт о проблеме, который был опубликован Эваном Грантом после выхода соответствующего исправления.

Согласно имеющимся данным, уязвимость используется для обхода процесса аутентификации на уязвимых роутерах и модемах с целью изменения конфигурации устройств. Например, включение протокола telnet позволяет в дальнейшем удалённо подключаться к устройствам. По информации Juniper Labs, за атаками на маршрутизаторы стоят хакеры, которые в прошлом управляли крупнейшим ботнетом Mirai.

Обнаружена одна из самых мощных ботнет-сетей в мире — она способна на DDoS-атаки мощностью 2 Тбит/с

Работающая в сфере информационной безопасности компания StormWall обнаружила один из самых мощных ботнетов в интернете. Он используется злоумышленниками для организации распределённых атак, направленных на отказ в обслуживании (Distributed Denial of Service, DDoS), а его мощность доходит до внушительных 2 Тбит/с.

Источник изображения: depositphotos.com

Источник изображения: depositphotos.com

По данным StormWall, новый ботнет имеет испанское происхождение и состоит из 49 тысяч заражённых устройств, среди которых, как утверждается, фигурируют только серверы, обычные же компьютеры и мобильные устройства отсутствуют. Воспользоваться ресурсами такой ботнет-сети киберпреступники могут за 2,5 тысячи долларов США — такова стоимость аренды за два дня.

Уточняется, что DDoS-атаки, осуществляемые новым ботнетом, достаточно стандартны. Он умеет запускать атаки по протоколам UDP, TCP и HTTP с эмуляцией браузера. Ботнет-сеть уже активно применяется злоумышленниками для атак на игровую индустрию и российские компании.

«Новый ботнет намного опаснее своих предшественников. Атаки такой мощности затрагивают не только жертву, но и всю цепочку его провайдеров и может вызвать проблемы с доступом к интернету одновременно у сотен тысяч пользователей и онлайн-ресурсов. Из-за того, что атака имеет большую мощность, защита от неё будет стоить дорого, и справиться с ней смогут только облачные сервисы DDoS-защиты, обладающие достаточной ёмкостью сети фильтрации, а о самостоятельной защите не может быть и речи», — говорится в заявлении StormWall.

По мнению экспертов, интенсивность DDoS-атак продолжит расти: общее число нападений будет увеличиваться на фоне роста продолжительности, мощности и эффективности продуманных целенаправленных атак.

Компьютеры россиян стали колыбелью для китайского зловреда DirtyMoe — на них он может майнить, красть секреты и атаковать

Компания Avast сообщила, что в первом полугодии 2021 года вредоносная программа DirtyMoe с китайскими корнями кратно увеличила свою активность. Если год назад было заражено до 10 тыс. машин во всём мире, то сегодня речь идёт о заражении 100 тыс. компьютеров, 65 тыс. из которых приходится на российский сегмент интернета. И это только данные Avast. Об истинном размахе проблемы остаётся только догадываться.

Источник изображения: Avast

Источник изображения: Avast

По мнению экспертов, слова которых приводит издание «Коммерсантъ», компьютеры российских пользователей наиболее уязвимы к атакам вредоносных программ, поскольку программное обеспечение часто не лицензионное и из сомнительных источников. В то же время надо отметить, что зловред DirtyMoe постепенно улучшается своими авторами, предположительно, китайцами, и в конце прошлого года получил модуль червя для самостоятельного распространения по сети.

Новый модуль DirtyMoe сканирует сеть и после обнаружения открытых портов SMB автоматически запускает брутфорс-атаку на удалённые машины (генерацию ключей). На инфицированном компьютере DirtyMoe может майнить криптовалюту, для чего он был написан изначально, участвовать в DDoS-атаках (функция добавлена в 2018 году) и просто красть данные в системе (встроена функция перехвата набора на клавиатуре).

Защититься от DirtyMoe и других зловредов поможет использование антивирусных программ и своевременное обновление безопасности программных продуктов.

Спецслужбы восьми стран успешно провели операцию по нейтрализации опасного ботнета Emotet

В результате спецоперации правоохранительных органов, на подготовку и планирование которой ушло около двух лет, удалось обезвредить опаснейший ботнет Emotet, активно используемый хакерами для реализации разного рода вредоносных кампаний. Добиться успеха в борьбе с вредоносной сетью удалось благодаря скоординированным действиям правоохранительных органов Нидерландов, Германии, Франции, Литвы, Украины, Великобритании, США и Канады.

Emotet был впервые обнаружен в виде банковского трояна в 2014 году, но позднее он разросся до масштабов одной из самых вредоносных сетей мира. Он распространяется путём установки бэкдора на компьютеры, работающие под управлением Windows. Для этого используются фишинговые письма с документами формата Word, которые скомпрометированы с помощью вредоносного программного обеспечения. Обычно злоумышленники рассылают фишинговые письма под видом счетов, уведомлений о доставке чего-либо или же информирования по вопросам, связанным с пандемией коронавируса.

Стоящие за Emotet киберпреступники сдавали ботнет в аренду другим группировкам для проведения вредоносных кампаний, в том числе с использованием программ-вымогателей и инструментов удалённого доступа. В результате ботнет стал тем, что в Европоле описывают как «самое опасное вредоносное ПО в мире» и «один из самых опасных ботнетов последнего десятилетия».

По мнению правоохранителей, ликвидация Emotet является одним из самых серьёзных ударов по вредоносному ПО и киберпреступности за последние годы. «Вероятно, это одна из самых значительных операций в плане воздействия, которое мы оказали за последнее время, и мы ожидаем, что оно окажет серьёзное влияние на ситуацию. Мы очень довольны», — сказал руководитель операций Европейского центра киберпреступности Европола Фернандо Руиз (Fernando Ruiz).

Источник отмечает, что активная фаза операции спецслужб длилась неделю. За это время правоохранители взяли под контроль инфраструктуру Emotet, состоящую из сотен серверов по всему миру. Компьютеры пользователей, которые заражены вредоносным ПО и входят в состав ботнета, теперь обращаются к инфраструктуре, контролируемую правоохранительными органами. Это означает, что злоумышленники больше не могут использовать заражённые компьютеры и распространение вредоносного ПО будет остановлено.

Trend Micro сообщила о взрывном росте количества атак на пользовательские маршрутизаторы

Специалисты компании Trend Micro, работающей в сфере информационной безопасности, предупреждают пользователей о значительном росте количества атак на домашние маршрутизаторы. Как правило, целью таких атак является формирование ботнет-сетей из скомпрометированных устройств.

Специалисты Trend Micro установили, что в октябре прошлого года начался рост количества попыток взлома пользовательских маршрутизаторов посредством подбора пароля администратора с использованием специального ПО, автоматически перебирающего наиболее распространённые комбинации паролей. Всего за несколько месяцев количество атак такого типа выросло более чем в десять раз. Если в сентябре 2019 года было зафиксировано около 23 млн таких атак, то уже в декабре этот показатель вырос до 249 млн случаев. В марте этого года компания зафиксировала около 194 млн входов в систему с помощью инструментов перебора паролей.  

В Trend Micro считают, что такая тенденция обусловлена конкуренцией между разными группировками киберпреступников, которые стараются скомпрометировать как можно больше пользовательских маршрутизаторов, чтобы присоединить их к своим ботнет-сетям. В дальнейшем ботнеты продаются на специализированных ресурсах в виде инструмента осуществления DDoS-атак либо предлагаются в качестве инструмента анонимизации разного рода противозаконных действий, в том числе кражи данных, захвата учётных записей или накрутки кликов. Отмечается, что конкуренция в этом сегменте настолько серьёзна, что хакеры удаляют любое чужое вредоносное ПО, которое обнаруживается на взломанных устройствах.

Пользователи, чей роутер был скомпрометирован злоумышленниками, могут заметить это по значительному снижению уровня производительности устройства. Специалисты Trend Micro рекомендуют использовать надёжные пароли для защиты домашних маршрутизаторов, периодически изменяя их. Также следует своевременно обновлять прошивку устройства и ограничить к нему доступ, разрешив подключения только из локальной сети.

Microsoft разрушает ботнет-сеть Necurs, состоящую из более чем 9 млн компьютеров

Корпорация Microsoft вместе с партнёрами из 35 стран приступила к реализации плана по нарушению работы одной из крупнейших ботнет-сетей в мире Necurs, состоящей из более чем 9 млн заражённых компьютеров. Специалисты компании около 8 лет следили за сетью и планировали действия, которые позволят гарантировать, что преступники больше не смогут использовать ключевые элементы инфраструктуры ботнета для проведения кибератак.

Напомним, ботнет представляет собой сеть заражённых вредоносным программным обеспечением компьютеров, которые находятся под удалённым контролем злоумышленников. Исследователи установили, что один компьютер, входящий в состав ботнета Necurs, за 58 дней осуществил отправку 3,8 млн спам-писем.   

Предполагается, что за Necurs стоят российские хакеры, использующие сеть заражённых компьютеров для выполнения разных задач, в том числе мошенничества, кражи персональных данных, атак на другие компьютеры и др. По мнению Microsoft, часть инфраструктуры Necurs сдаётся в аренду другим киберпреступникам. Помимо прочего, сеть используется для распространения вредоносного и вымогательского ПО, DDoS-атак и др.

Для разрушения сети Necurs специалисты Microsoft проанализировали методику, которую ботнет использует для генерации новых доменов. В результате они спрогнозировали генерацию более 6 млн новых доменов в течение 25 месяцев. Эта информация была передана регистраторам в разных странах мира, чтобы осуществить блокировку данных веб-сайтов, не позволяя им стать частью ботнет-сети. Взяв под контроль существующие веб-сайты и ограничив возможность регистрации новых, Microsoft сумела нанести значительный ущерб сети, нарушив её работу.

Кто-то удаляет вредоносное ПО Phorpiex с заражённых ПК и рекомендует установить антивирус

Похоже, что неизвестное лицо перехватило управление над инфраструктурой ботнета Phorpiex (Trik). Дело в том, что некто начал удалять вредоносное ПО с заражённых ПК, оставляя после себя сообщение с рекомендацией установить антивирусную программу и обновить ПО компьютера.

Сначала предполагалось, что это своеобразная шутка, оставленная внутри вредоносной программы, чтобы посмеяться над ИБ-специалистами, которые занимаются анализом вируса. После проверки оказалось, что вредонос действительно удаляется с заражённых ПК.

Янив Балмас (Yaniv Balmas), глава отдела кибер-исследований в Check Point, работающей в сфере информационной безопасности, подтвердил, что вредоносное ПО начало удаляться с пользовательских компьютеров, отметив, что специалисты компании внимательно следят за семейством вредоносных программ Phorpiex. Он также выдвинул несколько предположений касательно случившегося. Операторы ботнета могли самостоятельно прекратить работу вредоносной сети. Это также могли сделать правоохранительные органы, ИБ-специалисты или операторы конкурирующих ботнетов, решившие саботировать работу Phorpiex.

Семейство вредоносных программ Phorpiex, используемое злоумышленниками более десяти лет, в прошлом неоднократно сталкивалось с проблемами, в том числе из-за небрежности разработчиков. К примеру, в 2018 году один из серверов управления ботнетом был оставлен в открытом доступе, благодаря чему ИБ-специалисты сумели извлечь более 43 млн адресов электронных почтовых ящиков, которые использовались операторами Phorpiex для рассылки фишинговых спам-сообщений. Рассматриваемая сеть активно используется злоумышленниками, а её работоспособность поддерживается благодаря регулярным кампаниям по массовой рассылке фишинговых писем, применяемых для заражения новых ПК.

Хакер опубликовал базу данных с паролями от более чем 500 000 серверов, маршрутизаторов и IoT-устройств

На одном из популярных хакерских форумов были опубликованы пароли для доступа по протоколу Telnet к более чем 515 000 серверов, домашних маршрутизаторов и «умных» устройств Интернета вещей (Internet of Things). Учётные данные сопровождались другой информацией, в том числе IP-адресами устройств и логинами для доступа, которые могут использоваться для удалённого управления по сети Интернет.

По словам экспертов, огромный список с учётными данными от разных устройств был составлен путём сканирования сети Интернет на предмет поиска устройств с включённым протоколом Telnet. После обнаружения таких устройств хакер либо подбирал установленные производителем по умолчанию учётные данные, либо составлял комбинации, которые часто используются пользователями и являются небезопасными.

Опубликованная база данных представляет собой так называемый «список ботов», которые часто используются хакерами при построении ботнет-сетей. Сначала хакеры сканируют сеть Интернет на предмет поиска ботов, после чего подключаются к ним удалённо и устанавливают вредоносное программное обеспечение. Как правило, хакеры не размещают в общедоступном доступе такие списки, хотя в прошлом такие случаи фиксировались. К примеру, в середине 2017 года была опубликована база с примерно 33 000 учётных данных от домашних маршрутизаторов, которые могли использоваться хакерами для формирования ботнет-сети.   

В сообщении говорится о том, что собранные хакером данные датируются октябрём-ноябрём 2019 года. Это означает, что некоторые из этих устройств в настоящее время могут работать с другими IP-адресами и учётными данными. Несмотря на это, упомянутая база учётных данных может оказаться невероятно полезной для злоумышленников, которые намерены использовать некорректно настроенные пользовательские устройства в своих целях.

Многофункциональные зловреды всё чаще атакуют пользователей Интернета

Исследование, проведённое «Лабораторией Касперского», говорит о том, что сетевые злоумышленники всё чаще применяют универсальные вредоносные программы, позволяющие реализовывать атаки разного типа.

Эксперты проанализировали активность 60 000 ботнетов — сетей инфицированных устройств. Оказалось, что их владельцы переключают внимание на использование многофункциональных зловредов, которые можно модифицировать под практически неограниченное количество задач. Это может быть, скажем, рассылка спама, организация DDoS-атак или распространение банковских троянов.

Исследование, в частности, показало, что в течение первой половины текущего года доля бэкдоров выросла с 6,6 % до 12,2 % от общего числа циркулируемых в ботнетах зловредов. Бэкдоры не имеют специфического предназначения, но дают возможность удалённо контролировать заражённую систему. Такие программы предоставляют злоумышленникам широкий набор функций — от сохранения скриншотов и нажатий клавиш до непосредственного управления устройством.

Отмечается также, что за первые шесть месяцев этого года доля программ-загрузчиков поднялась с 5 % (во второй половине 2017 года) до 12 %. Популярность таких зловредов связана с тем, что они дают возможность загрузить в заражённую систему любые дополнительные компоненты для реализации той или иной атаки.

Наконец, зафиксировано увеличение популярности майнеров: их доля выросла за полгода с 2,7 % до 5 %. Такие программы активно распространяются из-за того, что ботнет всё чаще рассматривается как инструмент для генерации криптовалют. 

Ряд вредоносных расширений для Chrome заразил более 100 тысяч компьютеров

Злоумышленники заразили более 100 тысяч компьютеров с помощью браузерных расширений, которые похищали данные для входа на сайты, тайно добывали криптовалюты и заставляли людей переходить по вредоносным ссылкам. Плагины распространялись через официальный магазин расширений для Chrome.

Мошенники действовали как минимум с марта. Исследовательской компании Radware удалось обнаружить семь вредоносных расширений. Команда безопасности Google удалила пять плагинов сама, а ещё ото двух избавилась после того, как о них сообщила Radware. По словам фирмы, была заражена «хорошо защищённая сеть» неназванной глобальной компании-производителя.

«По мере распространения вредоносного ПО группа продолжит искать новые способы использовать украденные активы, — заявила Radware, имея в виду авторов расширений. — Такие группы постоянно выпускают новые вирусы для обхода протоколов безопасности».

Расширения обнаружили с помощью алгоритмов машинного обучения, которые проанализировали журналы коммуникаций заражённых сетей. Список плагинов выглядит следующим образом:

  • Nigelify;
  • PwnerLike;
  • Alt-j;
  • Fix-case;
  • Divinity 2 Original Sin: Wiki Skill Popup;
  • Keeprivate;
  • iHabno.

Плагины распространялись с помощью ссылок в Facebook, которые направляли пользователей на поддельную страницу на YouTube, где им предлагалось установить расширение. После этого последнее с помощью JavaScript делало компьютер частью ботнета. Он похищал данные для входа в Instagram и Facebook, а также собирал информацию с аккаунта в Facebook. Дальше вредоносные ссылки распространялись среди друзей жертвы.

Также ботнет устанавливал плагин для майнинга цифровых валют Monero, Bytecoin и Electroneum. За последнюю неделю мошенники добыли около $1 тысячи — по большей части в Monero. Чтобы пользователь не мог удалить расширение, ботнет закрывал вкладку плагина при её открытии и блокировал ряд инструментов безопасности от Facebook и Google.

Обезврежена обширная сеть ботнетов Gamarue

Компания ESET сообщает о том, что специалистам по вопросам кибербезопасности удалось ликвидировать сеть ботнетов Gamarue (Andromeda), которая действовала с 2011 года.

В операции, которая стартовала 29 ноября, приняли участие ФБР, Интерпол и Европол, специалисты ряда компаний, включая ESET и Microsoft, и другие структуры. При этом началу активных действий предшествовала длительная и всесторонняя подготовка, в ходе которой эксперты следили за деятельностью Gamarue, идентифицировали серверы и анализировали применяемые злоумышленниками вредоносные инструменты.

Семейство зловредов Gamarue предназначено для кражи учётных данных, загрузки и выполнения в заражённых системах других вредоносных программ. При этом организаторы атак могут менять функциональность, внедряя дополнительные модули. Это могут быть, скажем, компоненты для перехвата данных в веб-формах или инструменты для удалённого управления системой.

Зловреды Gamarue продавались на киберпреступном рынке, из-за чего за годы существования вредоносного семейства появились сотни независимых ботнетов. Операторы Gamarue использовали для его распространения разные способы: социальные сети, мессенджеры, съёмные носители, спам-рассылки, наборы эксплойтов.

В рамках проекта ликвидации была обезврежена сеть из 464 отдельных ботнетов, заражавшая более 1,1 млн компьютеров ежемесячно. Нейтрализована инфраструктура ботнета — 1214 доменов и IP-адресов, которые использовались операторами в качестве серверов управления и контроля. Таким образом, можно с уверенностью сказать, что инфраструктура Gamarue повержена. 

Новый ботнет обогащает злоумышленников за счёт малого бизнеса

«Лаборатория Касперского» обнаружила новую сеть «зомбированных» компьютеров, которая позволяет злоумышленникам зарабатывать деньги за счёт накрутки фальшивых просмотров рекламных страниц и баннеров в Интернете.

В основе работы ботнета лежит троян Magala, распространяющийся через инфицированные веб-сайты. Попав на компьютер, зловред проверяет установленную версию Internet Explorer: если она ниже восьмой, программа игнорирует устройство и не активируется. Если же нужный браузер найден, троян загружается, запускает скрытый рабочий стол, на котором впоследствии будут проводиться все операции, устанавливает необходимое рекламное ПО и сообщает командно-контрольным серверам о своей готовности к работе.

Magala имитирует клики пользователя на заданных веб-страницах. Жертвами киберпреступников становятся прежде всего компании малого бизнеса, решившие разместить рекламу через неблагонадёжных рекламодателей.

В процессе работы Magala получает от командных серверов список поисковых запросов, для выдачи которых необходимо поднять количество кликов. Далее программа начинает последовательно вводить указанные запросы и переходить по первым 10 ссылкам в каждой выдаче с интервалом в 10 секунд.

По оценкам «Лаборатории Касперского», в идеальной ситуации злоумышленники могут получить до 350 долларов США с каждого заражённого компьютера в составе ботнета. Впрочем, на практике сумма, скорее всего, окажется значительно меньше. Тем не менее, доходы киберпреступников исчисляются тысячами долларов. 

window-new
Soft
Hard
Тренды 🔥