Киберпреступникам понравилась идея программного обеспечения как услуги (SaaS), и они решили взять ее на вооружение. Теперь теневые торговцы не просто продают пакеты атакующих кодов для эксплуатации уязвимостей, а сдают их в аренду вместе с хостинг-площадкой; "клиенты", в свою очередь, платят за время, в течение которого производится инфицирование пользовательских компьютеров.

Об этом на прошлой неделе заявили специалисты компании Seculert, которые нашли два образца такого "сервиса": первый - от разработчиков пакета Incognito, второй - от создателей эксплойт-набора Bomba. В обоих случаях инфицирующую систему можно взять во временное пользование вместе с хостингом и веб-интерфейсом управления.

С точки зрения злоумышленника такая схема имеет несколько положительных черт. Во-первых, она снимает проблему поиска, аренды и настройки серверной площадки: все уже готово, бери и пользуйся, причем внезапного отключения можно не опасаться - "поставщик услуг" работает на той же самой "темной стороне" и жалобы пострадавших вкупе с требованиями правоохранительных органов рассматривать, разумеется, не будет.

Во-вторых, такое решение обойдется дешевле: операторы услуги берут плату только за реальное время работы эксплойтов, а аренду настоящего хостинга необходимо предоплачивать, причем с риском потерять деньги. Кроме того, в последнем случае нужно предварительно купить еще и сам пакет атакующих кодов, в то время как новая схема уже включает в себя готовый набор эксплойтов. По оценкам Seculert, месяц пользования такой системой может стоить от 100 до 200 долларов США.

Конкретное вредоносное программное обеспечение, которое будет внедряться на компьютеры жертв при помощи данного "сервиса", должен предоставить сам клиент. На него же возлагается обязанность организовать посещение источника инфекции - как правило, это делается путем взлома легитимных сайтов и размещения там скрытых ссылок. Далее схема работает привычным образом: пользователь открывает пораженную страницу, через внутреннюю рамку IFRAME подгружается содержимое с арендованного сервера, и набор эксплойтов вроде Incognito начинает пробовать компьютер на прочность - изучать его программную конфигурацию и подбирать подходящие атакующие коды. Если уязвимость найдена и успешно проэксплуатирована, то в операционную систему проникают вредоносные объекты.

Упомянутый выше административный интерфейс позволяет клиенту проверять, сколько компьютеров было инфицировано и какие эксплойты применялись для их поражения. В блоге Seculert есть снимки экрана, иллюстрирующие внешний вид этой панели; титульная страница, в частности, изображает крайне любопытные образцы русского языка, из которых видно, что текст писался в большой спешке. Эти же снимки показывают, что в настоящее время у поставщиков есть не менее 30 клиентов, которые с разной степенью успешности доставляют на пользовательские компьютеры широкий спектр опасных и нежелательных объектов.

PC World

Письмо автору