Ботмастера SpyEye пытались саботировать работу Abuse.ch

Исследователи в области безопасности RSA FraudAction Research Lab сообщают о появлении новой версии трояна SpyEye, которая теперь снабжена плагином, позволяющим проведение DDoS атак. Первым целевым ресурсом стал abuse.ch.

Как известно, этот веб-сайт был создан швейцарскими специалистами в области безопасности несколько лет назад с целью мониторинга активности опасных банковских тоянов ZeuS, SpyEye и Palevo, а также отслеживания появления их новых контрольных серверов и зараженных сайтов. Сервисом активно пользовались многие интернет – провайдеры и компании для того, чтобы обезопасить своих пользователей от посещения вредоносных ресурсов. Кроме этого сервис позволяет блокировать подозрительные IP адреса или домены и, таким образом, нарушить связь между зараженной машиной и контрольным пунктом бота.

Естественно, это вызывало негодование злоумышленников, которые с помощью упомянутых программ кропотливо создавали  свои сети.

По словам независимого журналиста Брайана Кребса, на соответствующих форумах хакеры искали метод нейтрализовать мешающий им сервис. Некоторые участники даже предложили физическую расправу над создателем ресурса. Однако был выбран иной путь. Они решили устроить DDoS атаку, а инструментом для ее проведения был выбран SpyEye. Причем такой выбор был сделан не случайно, ведь последние версии трояна поддерживают возможность расширения функционала путем добавления новых модулей при сборке.

Так появилась последняя версия бота. Причем, стоит отметить, что разработчики подошли к задаче основательно, предоставив возможность выбора между типом атак:  SYN Flood, UDP Flood и Slowloris Flood. Кроме этого, они включили в файл конфигурации трояна легитимные сайты, в числе которых оказались google.com, myspace.com и vkontakte.ru, дабы усложнить детектирования вредоносных ресурсов. Это означает, что все собранные данные, включая скриншоты, логины и пароли пользователей, сертификаты и cookies будут отправляться как на контрольные серверы, так и на указанные адреса законных сайтов.

Таким образом, замысел хакеров очевиден. Как предполагают эксперты, при попытке воспользоваться ресурсом abuse.ch пользователи будут введены в заблуждение, поскольку он будет идентифицировать легитимные домены как вредоносные и, наоборот, в результате чего сервис потеряет доверие, а эффективность обнаружения снизится.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Microsoft автоматически обновит Windows 10 1803 и более ранние версии

Microsoft предупредила о новом подходе к обновлению устройств Windows 10 1803 и более ранних версий. Основанный на машинном обучении процесс автоматически организует обновление этих систем.

Напомним, что Windows 10 1803 с 12 ноября 2019 года не будет получать обновлений безопасности — пользователи будут автоматически перенаправляться на страницу обновления версии ОС. Это делается для защиты устройства, чтобы поддерживать его в актуальном состоянии.

В Twitter Microsoft предупредила, что процесс обновления, основанный на машинном обучении, обновит версии Windows 10 до 1903.

«Мы начинаем создавать и тестировать основанный на машинном обучении процесс, который обновит системы, работающие на версии от апреля 2018 года. Такой подход поможет убедиться, что пользователи своевременно получат все необходимые патчи, а их системы будут поддерживаться в актуальном состоянии», — также прокомментировала Microsoft на своем ресурсе.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru