Через zero-day уязвимость Firefoх распространяется новый троян

Через zero-day уязвимость Firefoх распространяется новый троян

Исследователи в области безопасности компании Norman обнаружили ранее неизвестную угрозу, которая эксплуатирует незакрытую zero-day уязвимость браузера Mizilla Firefoх 3.5 и 3.6 версий.

Вчера на сайте Nobel Prize был обнаружен вредонос, который распространяется через zero-day уязвимость браузера  Firefoх. В случае успешной атаки, на компьютер жертвы устанавливается неизвестный ранее троян - Belmoo.

Как сообщают исследователи, инсталляционный файл трояна проникает в систему под видом исполняемого файла symantec.exe, самостоятельно копируясь в папку <%WINDOWS%> \temp и прописываясь в регистре
Microsoft Windows Update"="[WINDIR]\temp\symantec.exe"  в ключе "HKCU\Software\Microsoft\Windows\CurrentVersion\Run".
"Microsoft Windows Update"="[WINDIR]\temp\symantec.exe" в ключе "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".

Далее троян пытается установить соединение с nobel.usagov.mooo.com и update.microsoft.com. Как полагают эксперты, второй адрес используется для осуществления соединения через порт 80 (HTTP), но пока не ясно с какой целью.

После попытки соединения с вышеуказанными адресами, троян пытается подключиться к l-3com.dyndns-work.com и l-3com.dyndns.tv через протокол TCP используя порты 443 и 80, соответственно.

При успешной инсталляции трояна и осуществлении соединения, злоумышленник получает полный контроль над системой жертвы, с соответствующими привилегиями.

Исследователи предупреждают пользователей быть более осторожными при посещении различных ресурсов, поскольку данный вредонос может быть уже и на других сайтах.

В России обкатывают новый DDoS-ботнет мощностью свыше 2,5 Тбит/с

Российский интернет столкнулся не с очередной волной DDoS, а с генеральной репетицией чего-то куда более серьезного. Специалисты StormWall сообщили о серии необычных атак, мощность одной из которых достигла 2,56 Тбит/с при интенсивности 1 млрд пакетов в секунду.

По мнению экспертов, за атаками стоят не случайные хакеры, а хорошо подготовленная команда, которая тестирует новый ботнет или инструменты для будущих масштабных операций.

Главная особенность кампании — атакующие не ограничиваются классическим UDP-флудом. Они одновременно имитируют легитимный пользовательский трафик, создают полноценные TCP-соединения и на лету меняют параметры пакетов, пытаясь подобрать комбинации, способные обойти защиту.

В StormWall отмечают, что злоумышленники быстро адаптируются к действиям защитников. После того как специалисты заблокировали их мониторинговые проверки, атакующие оперативно изменили тактику и продолжили атаки уже по новым сценариям.

Еще одна странность — отсутствие привычной цели. Хакеры не требуют выкуп и не заявляют политических мотивов. Под удар попадают самые разные организации: игровые проекты, хостинг-провайдеры, телеком-операторы и корпоративные сети.

По словам CEO и сооснователя StormWall Рамиля Хантимирова, происходящее больше напоминает стресс-тестирование инфраструктуры перед более серьезной кампанией.

Заодно изменилась и география ботнета. Если раньше основная активность фиксировалась из Бразилии и Индии, то теперь источники трафика обнаружены в России, США, Германии, Нидерландах, Ираке, Азербайджане, Казахстане, Мексике и ряде других стран. По оценкам аналитиков, ботнет может объединять самые разные устройства — от IoT-камер до серверов и сетевого оборудования.

В StormWall предупреждают, что нынешняя волна может быть лишь началом. Если злоумышленники доведут технологию имитации легитимного трафика до совершенства, отличить DDoS-атаку от обычных пользователей станет значительно сложнее, а эффективность традиционных методов фильтрации заметно снизится.

RSS: Новости на портале Anti-Malware.ru