Эксплойт как услуга

Киберпреступникам понравилась идея программного обеспечения как услуги (SaaS), и они решили взять ее на вооружение. Теперь теневые торговцы не просто продают пакеты атакующих кодов для эксплуатации уязвимостей, а сдают их в аренду вместе с хостинг-площадкой; "клиенты", в свою очередь, платят за время, в течение которого производится инфицирование пользовательских компьютеров.

Об этом на прошлой неделе заявили специалисты компании Seculert, которые нашли два образца такого "сервиса": первый - от разработчиков пакета Incognito, второй - от создателей эксплойт-набора Bomba. В обоих случаях инфицирующую систему можно взять во временное пользование вместе с хостингом и веб-интерфейсом управления.

С точки зрения злоумышленника такая схема имеет несколько положительных черт. Во-первых, она снимает проблему поиска, аренды и настройки серверной площадки: все уже готово, бери и пользуйся, причем внезапного отключения можно не опасаться - "поставщик услуг" работает на той же самой "темной стороне" и жалобы пострадавших вкупе с требованиями правоохранительных органов рассматривать, разумеется, не будет.

Во-вторых, такое решение обойдется дешевле: операторы услуги берут плату только за реальное время работы эксплойтов, а аренду настоящего хостинга необходимо предоплачивать, причем с риском потерять деньги. Кроме того, в последнем случае нужно предварительно купить еще и сам пакет атакующих кодов, в то время как новая схема уже включает в себя готовый набор эксплойтов. По оценкам Seculert, месяц пользования такой системой может стоить от 100 до 200 долларов США.

Конкретное вредоносное программное обеспечение, которое будет внедряться на компьютеры жертв при помощи данного "сервиса", должен предоставить сам клиент. На него же возлагается обязанность организовать посещение источника инфекции - как правило, это делается путем взлома легитимных сайтов и размещения там скрытых ссылок. Далее схема работает привычным образом: пользователь открывает пораженную страницу, через внутреннюю рамку IFRAME подгружается содержимое с арендованного сервера, и набор эксплойтов вроде Incognito начинает пробовать компьютер на прочность - изучать его программную конфигурацию и подбирать подходящие атакующие коды. Если уязвимость найдена и успешно проэксплуатирована, то в операционную систему проникают вредоносные объекты.

Упомянутый выше административный интерфейс позволяет клиенту проверять, сколько компьютеров было инфицировано и какие эксплойты применялись для их поражения. В блоге Seculert есть снимки экрана, иллюстрирующие внешний вид этой панели; титульная страница, в частности, изображает крайне любопытные образцы русского языка, из которых видно, что текст писался в большой спешке. Эти же снимки показывают, что в настоящее время у поставщиков есть не менее 30 клиентов, которые с разной степенью успешности доставляют на пользовательские компьютеры широкий спектр опасных и нежелательных объектов.

PC World

Письмо автору

" />

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

Обнаруженная Троем Хантом утечка затрагивает президента Франции

Утечка электронных адресов и паролей, о которой на прошлой неделе сообщил исследователь Трой Хант, как оказалось, затронула и президента Франции Эмманюэля Макрона. Французские СМИ распространили информацию о том, что личный Gmail-аккаунт Макрона был среди прочих адресов в слитой базе.

На данном этапе остается неясным, удалось ли злоумышленникам заполучить пароль от почты главы Франции. Так или иначе, администрация Макрона уже подтвердила наличие у президента этой учетной записи, которую он использует для личных переписок.

Сейчас официальные лица Франции считают, что о взломе почты Макрона речь не идет. В администрации уточнили, что пароль от почты меняется регулярно, также Макрон настроил двухэтапную аутентификацию.

Напомним, что в пятницу специалисты «Лаборатории Касперского» прокомментировали крупную утечку электронных адресов и паролей. Об обнаруженной в Сети базе на днях рассказал создатель сервиса Have I Been Pwned Трой Хант.

«Лаборатория Касперского» рекомендует пользователям поменять свои пароли. Чтобы проверить, упоминаются ли ваши учетные данные в слитой базе, можно как раз воспользоваться сервисом Have I Been Pwned.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

RSS: Новости на портале Anti-Malware.ru