Исследователи заглянули внутрь ботнета Waledac
Главная » Новости

Исследователи заглянули внутрь ботнета Waledac

Николай Головко 02 Февраля 2011 - 07:56
...

Специалисты из компании Last Line предприняли успешную попытку извлечь внутренние данные о функционировании вредоносной сети Waledac, которая "восстала из мертвых" около месяца назад. Сведения, опубликованные экспертами, представляют определенный интерес.



Например, исследователи обнаружили, что в распоряжении создателей Waledac имеется аутентификационная информация для без малого пятисот тысяч учетных записей электронной почты. С их помощью ботнет может рассылать спам через легитимные почтовые серверы, тем самым избегая отсеивания писем по IP-адресам источников и, следовательно, без особых усилий обходя фильтры нежелательной корреспонденции.


Также в базе данных Waledac оказались виртуальные ключи от ста двадцати четырех тысяч FTP-аккаунтов. Интернет-издание The Register напоминает, что эти сведения позволяют вредоносной сети в автоматическом режиме инфицировать ресурсы Интернета скриптами, перенаправляющими пользователей на сайты с нежелательным содержимым или с рекламой контрафактных лекарственных средств; стоит заметить, что за один лишь истекший месяц специалисты выявили почти девять с половиной тысяч веб-страниц со вредоносными ссылками, внедренными Waledac.


Рассматриваемый ботнет, казалось, был практически полностью подавлен в прошлом году, когда Microsoft в судебном порядке добилась права контролировать 276 адресов Интернета, ассоциированных с центрами управления Waledac. Однако в самом начале года текущего вредоносная сеть вновь активизировалась и продолжила заниматься своим неблаговидным делом. Исследователи Last Line отмечают, что сейчас Waledac - это лишь бледная тень былого грозного ботнета, однако с учетом количества скомпрометированных учетных данных, которыми владеют его создатели, ситуация может в корне измениться.


Необходимо отметить, что вредоносная сеть уже обзавелась новой системой  управления и контроля, рассылающей инструкции инфицированным рабочим станциям.

" />

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Новый macOS-вредонос с подписью Apple Developer заменяет Ledger Live
Екатерина Быстрова 18 Июля 2025 - 10:29
macOS Трояны Домашние пользователи
Новый macOS-вредонос с подписью Apple Developer заменяет Ledger Live

Специалисты из Jamf Threat Labs нашли новый вариант вредоносной программы для macOS, которая умудрилась пройти все защитные механизмы Apple — она была и подписана, и заверена с использованием настоящего сертификата Apple Developer.

Вредонос назывался Gmeet_updater.app и притворялся обновлением для Google Meet. Распространялся через .dmg-файл — это классика для macOS.

Несмотря на то что приложение было «официально одобрено» Apple, для запуска всё равно использовалась социальная инженерия: жертве нужно было кликнуть правой кнопкой мыши и выбрать «Открыть» — обход Gatekeeper для неподписанных приложений, только тут подпись как бы была.

Программа запускала некое SwiftUI-приложение с названием «Technician Panel» — якобы для отвода глаз, а параллельно связывалась с удалённым сервером и подтягивала дополнительные вредоносные скрипты.

Что делает этот инфостилер:

  • ворует пароли из браузеров (Safari, Chrome, Firefox, Brave, Opera, Waterfox);
  • вытаскивает текстовые файлы, PDF, ключи, кошельки и заметки Apple;
  • охотится за криптокошельками (Electrum, Exodus, Atomic, Ledger Live);
  • делает слепок системы с помощью system_profiler;
  • заменяет приложение Ledger Live на модифицированную и не подписанную версию с сервера злоумышленника;
  • отправляет всё украденное на хардкоденный сервер hxxp[:]//45.146.130.131/log.

Кроме кражи, вредонос умеет задерживаться в системе: прописывает себя в LaunchDaemons, создаёт скрытые конфиги и использует второй этап атаки — постоянный AppleScript, который «слушает» команды с сервера злоумышленника. Среди них — выполнение shell-скриптов, запуск SOCKS5-прокси и самоуничтожение.

Вишенка на торте — базовая защита от анализа. Если вирус понимает, что его крутят в песочнице, он «молча» прекращает активность и в системе появляется фиктивный демон с аргументом Black Listed.

Jamf выяснили, что сертификат разработчика с ID A2FTSWF4A2 уже использовался минимум в трёх вредоносах. Они сообщили об этом Apple — и сертификат аннулировали. Но осадочек, как говорится, остался: зловред вполне мог обойти все базовые фильтры macOS.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
За взлом умных устройств Сбера можно получить до 250 тысяч рублей
Новость
За взлом умных устройств Сбера можно получить до 250 тысяч р...
На ЕПГУ запустили новый сервис для защиты от мошенников
Новость
На ЕПГУ запустили новый сервис для защиты от мошенников
RED Security запустила сервис MDR для быстрого реагирования на инциденты
Новость
RED Security запустила сервис MDR для быстрого реагирования...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.