Эксплойт как услуга

Николай Головко 29 Марта 2011 - 12:38

...

Киберпреступникам понравилась идея программного обеспечения как услуги (SaaS), и они решили взять ее на вооружение. Теперь теневые торговцы не просто продают пакеты атакующих кодов для эксплуатации уязвимостей, а сдают их в аренду вместе с хостинг-площадкой; "клиенты", в свою очередь, платят за время, в течение которого производится инфицирование пользовательских компьютеров.

Об этом на прошлой неделе заявили специалисты компании Seculert, которые нашли два образца такого "сервиса": первый - от разработчиков пакета Incognito, второй - от создателей эксплойт-набора Bomba. В обоих случаях инфицирующую систему можно взять во временное пользование вместе с хостингом и веб-интерфейсом управления.

С точки зрения злоумышленника такая схема имеет несколько положительных черт. Во-первых, она снимает проблему поиска, аренды и настройки серверной площадки: все уже готово, бери и пользуйся, причем внезапного отключения можно не опасаться - "поставщик услуг" работает на той же самой "темной стороне" и жалобы пострадавших вкупе с требованиями правоохранительных органов рассматривать, разумеется, не будет.

Во-вторых, такое решение обойдется дешевле: операторы услуги берут плату только за реальное время работы эксплойтов, а аренду настоящего хостинга необходимо предоплачивать, причем с риском потерять деньги. Кроме того, в последнем случае нужно предварительно купить еще и сам пакет атакующих кодов, в то время как новая схема уже включает в себя готовый набор эксплойтов. По оценкам Seculert, месяц пользования такой системой может стоить от 100 до 200 долларов США.

Конкретное вредоносное программное обеспечение, которое будет внедряться на компьютеры жертв при помощи данного "сервиса", должен предоставить сам клиент. На него же возлагается обязанность организовать посещение источника инфекции - как правило, это делается путем взлома легитимных сайтов и размещения там скрытых ссылок. Далее схема работает привычным образом: пользователь открывает пораженную страницу, через внутреннюю рамку IFRAME подгружается содержимое с арендованного сервера, и набор эксплойтов вроде Incognito начинает пробовать компьютер на прочность - изучать его программную конфигурацию и подбирать подходящие атакующие коды. Если уязвимость найдена и успешно проэксплуатирована, то в операционную систему проникают вредоносные объекты.

Упомянутый выше административный интерфейс позволяет клиенту проверять, сколько компьютеров было инфицировано и какие эксплойты применялись для их поражения. В блоге Seculert есть снимки экрана, иллюстрирующие внешний вид этой панели; титульная страница, в частности, изображает крайне любопытные образцы русского языка, из которых видно, что текст писался в большой спешке. Эти же снимки показывают, что в настоящее время у поставщиков есть не менее 30 клиентов, которые с разной степенью успешности доставляют на пользовательские компьютеры широкий спектр опасных и нежелательных объектов.

PC World

Письмо автору

" />

Следующая главная новость »

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 03 Апреля 2026 - 12:18

Android iOS Трояны Домашние пользователи Лаборатория Касперского

Опасный троян SparkCat снова пробрался в App Store и Google Play

Троян SparkCat снова вернулся в официальные магазины приложений. Эксперты «Лаборатории Касперского» сообщили, что обнаружили новый вариант этого зловреда в App Store и Google Play спустя примерно год после того, как его уже находили и удаляли оттуда.

На этот раз вредонос маскировался под вполне обычные приложения, которые не вызывают особых подозрений с первого взгляда: корпоративные мессенджеры и сервисы доставки еды.

А сценарий у операторов всё тот же: пользователь скачивает вроде бы безобидное приложение, а внутри оказывается троян, который охотится за данными пользователя.

Главная цель SparkCat — фотографии в галерее смартфона. Зловред в определённых сценариях запрашивает доступ к снимкам, после чего начинает анализировать текст на изображениях с помощью OCR. В первую очередь его интересуют фразы для восстановления доступа к криптокошелькам. Если троян находит что-то подходящее, изображение отправляется злоумышленникам.

По данным «Лаборатории Касперского», в App Store нашли два заражённых приложения, а в Google Play — одно. О находке сообщили Apple и Google, и в Google Play вредоносное приложение уже удалили. При этом проблема не ограничивается только официальными магазинами: приложения со SparkCat также распространяются через сторонние сайты. Некоторые из них, как отмечают исследователи, даже мимикрируют под App Store, если открыть их с iPhone.

Интересно, что обновлённые версии трояна по-разному ведут себя на Android и iPhone. На Android SparkCat ищет ключевые слова на японском, корейском и китайском языках, из-за чего исследователи предполагают, что эта часть кампании в первую очередь нацелена на пользователей в Азии. А вот iOS-версия ориентируется на мнемонические фразы криптокошельков на английском языке, так что здесь география потенциальных атак уже выглядит гораздо шире.

С технической точки зрения зловред тоже стал хитрее. В «Лаборатории Касперского» говорят, что новая Android-версия использует несколько уровней обфускации, в том числе виртуализацию кода и кросс-платформенные языки программирования. Для мобильного зловреда это уже довольно серьёзный уровень подготовки, который помогает ему дольше оставаться незамеченным и проходить проверки.

Как отметил эксперт по кибербезопасности Сергей Пузан, поведение нового образца очень похоже на первую версию SparkCat, поэтому есть основания полагать, что за обеими кампаниями стоят одни и те же разработчики. Его коллега Дмитрий Калинин добавил, что SparkCat продолжает эволюционировать и всё лучше обходит защитные механизмы официальных магазинов приложений.

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!