Антивирусным экспертам грозит ловушка

Антивирусным экспертам грозит ловушка

Группа киберпреступников расставила ловушку для специалистов по информационной безопасности: распространители небезызвестного вредоносного продукта Zeus соорудили ложный контрольный интерфейс своего ботнета. Интерфейс, разумеется, ничего не контролирует, зато содержит несколько сюрпризов для всякого, кто попытается им воспользоваться.



Сообщается, что ловушку создали, по всей видимости, те же самые злоумышленники, которые ответственны за недавнюю рассылку фишинговых писем американским налогоплательщикам; они пытались убедить своих жертв в том, что возникли проблемы с выплатой государственных сборов, под этим предлогом заманить их на вредоносный ресурс с пачкой эксплойтов и инфицировать их компьютеры образцами Zeus.


Впрочем, на этот раз привычная мошенническая схема оказалась дополнена еще одним любопытным элементом: фальшивой панелью управления. Киберпреступники приготовили для исследователей в области безопасности и операторов конкурирующих ботнетов набор страниц с ложной статистикой инфицированных машин, формой загрузки нового клиентского ВПО и т.д.; поддельная панель старательно записывает все обращения к себе, предоставляя своим разработчикам подробные сведения обо всех тех, кто посещал интерфейс или пытался взломать его.


Осуществить последнее, кстати, довольно просто. Во-первых, злоумышленники "защитили" панель примитивными учетными данными (нечто вроде комбинации "admin-qwerty"), а также преднамеренно оставили в интерфейсе уязвимость для SQL-инъекции.


Специалисты уверены, что появление лже-панели не случайно. В последние несколько месяцев исследователям удалось получить доступ к нескольким контрольным интерфейсам Zeus и извлечь оттуда довольно много важных сведений и улик; есть даже мнение, что именно благодаря этому состоялись массовые аресты "участников банды Zeus" в конце сентября. В этом свете решение киберпреступников создать фальшивые панели управления и обмануть экспертов по безопасности (а заодно и собрать кое-какую информацию о конкурентах, если операторы других ботнетов 'клюнут' на приманку) выглядит вполне логичным. При этом злоумышленники могут без особого труда увеличивать количество новых командных интерфейсов - на их построение не требуется сколь-либо значительного количества сил и времени.


The Register

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

F6 и RuStore заблокировали 604 домена с Android-трояном DeliveryRAT

Аналитики F6 вместе с RuStore выявили и заблокировали 604 домена, которые входили в инфраструктуру мошенников. Те распространяли Android-троян DeliveryRAT, крадущий деньги и личные данные пользователей.

Зловред прятался под видом приложений для доставки еды, маркетплейсов, банковских сервисов и трекинга посылок. Эксперты связывают его работу как минимум с тремя скам-группами.

Впервые DeliveryRAT обнаружили летом 2024 года. Его главная задача — воровать персональные данные, чтобы оформлять кредиты в МФО или выводить деньги через онлайн-банкинг.

Позднее выяснилось, что зловред распространяется по схеме Malware-as-a-Service: в телеграм-ботах типа «Bonvi Team» злоумышленники генерировали ссылки на поддельные сайты, где пользователи скачивали заражённые APK-файлы.

Как заражают жертв:

  • через фейковые маркетплейсы — обещают дешёвый товар и «ссылку для отслеживания посылки»;
  • через поддельные вакансии — собирают данные кандидатов и предлагают «установить рабочее приложение»;
  • через рекламу в соцсетях и мессенджерах — кидают ссылки на вредоносные сайты.

«Мошенники выстраивали целые сценарии — от фейковых объявлений о купле-продаже до обещаний удалённой работы. А затем переводили общение в мессенджеры и убеждали скачать приложение, которое оказывалось трояном», — рассказал Евгений Егоров, аналитик F6.

Для отслеживания таких схем F6 использует систему графового анализа, которая помогает выявлять связанные сайты. Совместно с RuStore удалось быстро заблокировать сотни доменов, задействованных в инфраструктуре злоумышленников.

В RuStore напоминают: злоумышленники постоянно меняют ключевые слова и внешний вид приложений, чтобы обмануть защитные механизмы и пользователей.

«Поэтому важно загружать программы только из официальных источников», — подчеркнул Дмитрий Морев, директор по информационной безопасности RuStore.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru