Новые тучи на горизонте Spamhaus

Новые тучи на горизонте Spamhaus

Голландский транзит-провайдер A2B Internet обратился в местную полицию с жалобой на антиспамерскую организацию Spamhaus, которая, по утверждению заявителей, использует незаконные методы воздействия, а именно ― шантаж и «DoS-атаки».



Яблоком раздора в начавшейся тяжбе является голландский хостинг-провайдер Cyberbunker (AS34109), он же CB3ROB, который использует серверы датацентра, выходящего в Сеть через A2B (AS51088). По словам активистов, Cyberbunker предоставляет своим клиентам «пуленепробиваемые» площадки, которые исправно служат спамерам, фишерам и распространителям зловредов. Его услугами в свое время пользовались The Pirate Bay и RBN (Russian Business Network), передает securelist.

По свидетельству Spamhaus, в текущем году криминальная активность в сетях Cyberbunker усилилась, однако хостер упрямо отказывался прекратить обслуживание веб-сайтов, продвигаемых через спам-рассылки. Борцы за чистоту интернета пытались заручиться поддержкой вышестоящего провайдера, A2B, но тот, по их словам, долгое время игнорировал их призывы. Проблемы начались, когда активисты вознамерились напрочь лишить Cyberbunker доступа к интернету. Уступив их напору, A2B заблокировал блок IP-адресов, засветившийся в черных списках Spamhaus, однако этого оказалось мало. В начале октября антиспамеры занесли в блок-лист весь диапазон A2B, и компании ничего не оставалось, как отлучить сомнительного клиента от Сети.

Доброе имя A2B было сразу же восстановлено, однако интернет-провайдера возмутили неучтивое поведение и нецивилизованный modus operandi, который, по его словам, избрала некоммерческая организация. В действиях борцов со спамом пострадавший усмотрел стремление навязать собственное мнение, пренебрежение к национальным законам и чужим политикам в отношении абьюзов. Глава компании намерен предать широкой гласности этот конфликт и обсудить его на ближайшем совещании участников RIPE.

Spamhaus, со своей стороны, пытается доказать свою правоту, намекая на нечистоплотность самого транзит-провайдера . По данным антиспамеров, до A2B виновник междоусобицы выходил в Сеть через Ecatel.net, затем Grafix.nl и Datahouse.nl. Последние два канала контролирует A2B, а репутация Ecatel давно подмочена связями с киберкриминалом. Тем временем, оставшись без связи, Cyberbunker нашел альтернативный канал, но так и не избавился от сомнительных клиентов. Расследованием его деятельности с подачи Spamhaus займутся голландские борцы с преступлениями в сфере высоких технологий, которым активисты передали всю соответствующую документацию.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Троян Shuyal Stealer ворует данные из 19 браузеров и исчезает без следа

В ИБ-компании Point Wild проанализировали образец Windows-стилера Shuyal, объявившегося в июле, и обнаружили внушительный список целевых браузеров — 19 наименований, в том числе Яндекс Браузер и Tor.

Свое имя написанный на C++ зловред (детектится на VirusTotal с результатом 48/72 по состоянию на 8 октября) получил по найденному в экзешнике идентификатору. От собратьев новобранец отличается не только большим количеством целей, но также умением заметать следы.

После запуска Shuyal Stealer прежде всего выполняет глубокое профилирование зараженной системы с помощью WMI: собирает данные жестких дисков (модель, серийный номер), подключенной клавиатуры (включая ID), информацию о настройках монитора, чтобы выстроить стратегию кражи данных сообразно конкретным условиям.

Троян также прибивает Диспетчер задач, способный выдать запуск вредоносных процессов, и прописывается в системе на автозапуск.

Кража данных осуществляется с помощью скриптов PowerShell. При этом зловреда интересует следующая информация:

  • сохраненные в браузере учетки, куки и история посещения сайтов;
  • содержимое буфера обмена;
  • токены аутентификации из Discord, Discord Canary и Discord PTB.

Инфостилер также умеет делать скриншоты, чтобы добавить контекст к украденным данным.

Вся добыча вместе с журналом вредоносной активности (history.txt) помещается в директорию runtime, специально создаваемую в папке временных файлов. Для эксфильтрации ее содержимое архивируется (runtime.zip) и затем отсылается в телеграм-бот, который Shuyal находит по вшитому ID.

Завершив кражу и вывод данных, Shuyal пытается стереть все следы своего присутствия в системе с помощью скрипта util.bat.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru