Ботнет Stegobot использует стеганографию для отчетов о своей работе

Ботнет Stegobot использует стеганографию для отчетов о своей работе

Группа программистов представила теоретическое обоснование возможности создать стеганографический ботнет, передающий информацию через социальные сети. Теоретически обоснованная исследователями из Института информационных технологий Индрапрастха (Индий) и Университета Иллинойса (США) программа Stegobot заражает компьютер традиционным путём — к примеру, когда вы кликаете на ссылку в письме, но не передаёт конфиденциальные данные напрямую.



А затем начинается удивительное: Stegobot зашифровывает украденные пароли и номера кредитных карт в графические файлы с помощью стеганографии, и происходит это в тот момент, когда пользователь размещает изображения в Интернете (например, в сети Facebook). JPEG-изображение с разрешением 720×720 пикселов (максимальный Facebook-размер) вмещает до 50 кб информации без видимых последствий для качества картинки. Когда снимки просматривает пользователь другого компьютера, зараженного Stegobot, информация перезаписывается в его фото; в Facebook достаточно просмотреть профиль пользователя, не открывая фото, потому что сеть осуществляет предварительную загрузку изображений, сообщает uinc.ru

Исследователи уверяют, что просчитали распространение информации через Stegobot, симулировав часть фотохостинга Flickr («клонировав» сеть из 7 200 связанных друг с другом учётных записей и воспроизведя частоту выкладывания фотографий). Условные конфиденциальные данные попадали к условным хозяевам ботнета в приемлемые сроки. Интересно, что созданная Stegobot сеть работает в обе стороны: ботнет-заводчики могут выкладывать фото с исполняемым кодом и ждать, пока последний доберётся до нужных заражённых компьютеров.

Из опубликованного отчёта об исследовании неясно, предупреждают ли авторы (возглавляемые Шиширом Нагараджей, одним из создателей программы для анонимизации фотографов) мир о возможности появления сконструированного преступниками трояна или предлагают использовать «зловред» для преодоления интернет-цензуры. Stegobot хорош и для тех и для других целей: передачу информации практически невозможно отследить.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Рекордную DDoS-атаку в 11,5 Тбит/с провели с ботнета из 300 тыс. роутеров

Специалисты QiAnXin XLab уже год отслеживают DDoS-атаки с участием AISURU и уверены, что рекордный по мощности флуд, зафиксированный в прошлом месяце Cloudflare, был сгенерирован именно этим ботнетом.

Китайским экспертам удалось выявить трех операторов вредоносной сети. Один из них, с ником Snow, отвечает за разработку DDoS-бота, некто Tom — за поиск уязвимостей для распространения инфекции, Forky — за сдачу ботнета в аренду.

В апреле этого года Tom взломал сервер, с которого Totolink раздает обновления прошивки для своих роутеров, и внедрил вредоносный скрипт (t.sh), выполняющий перенаправление на загрузку AISURU.

В результате численность ботнета за короткий срок перевалила за 100 тысяч. В настоящее время, по оценке исследователей, в его состав входят около 300 тыс. зараженных устройств, способных дружными усилиями создать DDoS-флуд мощностью до 11,5 Тбит/с.

Для распространения AISURU в основном используются уязвимости N-day в роутерах D-Link, Linksys, Zyxel, SDK Realtek, а также в IP-камерах. Конкуренции зловред не терпит: так, он в какой-то момент угнал все видеорегистраторы nvms9000 у RapperBot.

Особой избирательности в выборе целей для DDoS-атак не замечено. Их число может доходить до нескольких сотен в сутки.

 

География мишеней — в основном Китай, США, Германия, Великобритания и Гонконг.

 

В новейших образцах AISURU реализована также прокси-функциональность. С этой целью им придан опциональный модуль для проверки скорости интернета по Speedtest.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru