В Китае активизировались фишеры

Александр Панасенко 11 Ноября 2011 - 11:45

...

В январе-июне текущего года Антифишинговая рабочая группа (Anti-Phishing Working Group, APWG) зафиксировала свыше 112 тыс. фишинговых атак ― на 70% больше, чем в предыдущем полугодии. Одной из причин увеличения этого глобального показателя является рост активности китайских фишеров, предпочитающих атаковать соотечественников.

По данным APWG, за полгода количество фишинговых атак (уникальных веб-сайтов) на территории Китая увеличилось на 44%. Около 90% этих эскапад были направлены против клиентуры Taobao.com ― местного аналога eBay и Amazon. На долю китайцев пришлось также 70% доменов, зарегистрированных фишерами в отчетный период. Из них 37% были привязаны к TLD-зоне .tk, 25% ― к .cc, 21% к .info, 12% к .com. Все фишинговые сайты, размещенные в зоне .сс, были оформлены через службы бесплатных поддоменов, сообщает securelist.

Эксперты также отметили учащение случаев взлома веб-серверов, совместно используемых легальными владельцами доменов в качестве виртуальной хостинг-площадки. Получив административный доступ к такому ресурсу, фишер загружает копию поддельной страницы и вносит изменения в конфигурацию сервера, обеспечивая общий доступ именных узлов к новому контенту. В итоге каждый веб-сайт, привязанный к данному серверу, начинает воспроизводить эту фишинговую страницу. Таким образом, установив контроль над одним сервером, злоумышленник получает в свое распоряжение целую сеть ловушек, доступных через ресурсы с «белой» репутацией.

В первом полугодии APWG обнаружила около 42,5 тыс. разноименных фишинговых сайтов, созданных на виртуальных серверах, ― 37% от общего количества. К счастью, такие плацдармы фишеров менее долговечны: их медианное время жизни составляет около 10 часов, а прочих сайтов-ловушек ― больше полусуток. В целом срок службы фишинговых сайтов значительно сократился и в среднем составил немногим более 54,5 часов ― на 25% меньше, чем в предыдущем полугодии. Медианное значение побило 4-летний рекорд, снизившись до отметки 10 часов 44 минуты.

Количество уникальных доменных имен, задействованных в фишинговых атаках, увеличилось на 87% и составило немногим менее 80 тысяч. 18% из них были зарегистрированы со злым умыслом, причем в 93% случаев фишеры отдавали предпочтение зоне .tk, .info, .com или .net. Число злоупотреблений на сервисах поддоменов также возросло, на 7%. Свыше 30% таких абьюзов пришлось на зону .co.cc, вопреки активной позиции соответствующего сервиса в отношении жалоб. Тем не менее, это заметный прогресс по сравнению с предыдущим полугодием.

В отчетный период эксперты зафиксировали фишинг-атаки против 520 организаций, включая банки, торговые сервисы, социальные сети, налоговые службы, почтовые услуги, холдинговые компании, интернет-провайдеров и операторов лотерей. Главной мишенью фишеров является PayPal, второе место занял китайский сервис Taobao, контролируемый Alibaba Group.

Следующая главная новость »

Атаки на цепочку поставок: как защититься до компрометации?
Регистрируйтесь на эфир!

Екатерина Быстрова 22 Апреля 2026 - 11:20

Трояны Мошенничество Онлайн-мошенничество Домашние пользователи F6

Фальшивые моды для Minecraft заражают Windows и крадут данные геймеров

Поклонникам Minecraft стоит насторожиться: под видом безобидных модов для игры злоумышленники начали распространять вредоносные программы для Windows. Об угрозе предупредили специалисты компании F6, которая занимается технологиями для борьбы с киберугрозами.

Речь идёт о зловреде WeedHack. Его маскируют под «полезные» моды, читы и инструменты для дюпа (для быстрого получения игровых ресурсов нечестным способом).

Распространяют такие файлы через короткие ролики в TikTok: пользователю показывают заманчивое видео, а ссылку на скачивание оставляют в описании.

На первый взгляд всё выглядит вполне привычно для игровой среды. Но вместо полезного дополнения человек получает инфостилер — вредоносное приложение, которое незаметно собирает данные с компьютера и отправляет их злоумышленникам.

Самое неприятное в этой схеме то, что вредоносный файл действительно может работать как мод для Minecraft, не вызывая сразу подозрений. Пока пользователь думает, что просто установил очередное дополнение к игре, зловред параллельно загружает дополнительные модули с управляющих серверов и запускает скрытые механизмы автозапуска.

По данным F6, возможности у WeedHack довольно широкие. Он может красть учётные данные более чем из 40 браузеров, токены сессий Minecraft и Discord, а также данные криптокошельков — как из браузерных расширений, так и из некоторых десктопных приложений.

Кроме того, вредонос способен добраться до папки tdata Telegram. С такими данными злоумышленники могут попытаться войти в аккаунт пользователя без ввода кода аутентификации.

В F6 также отмечают, что в продвинутой версии WeedHack умеет больше, чем обычный стилер. По сути, он может превращаться в полноценный троян, открывающий удалённый доступ к устройству жертвы.

Отдельно интересно, как устроена сама схема распространения. По данным аналитиков, WeedHack распространяется по модели «вредонос как услуга» (Malware-as-a-Service).

Специалисты выяснили, что значительная часть связанных с ней доменов была зарегистрирована в зоне .RU. Всего удалось выявить 20 доменов, из которых 14 использовались как управляющие серверы, веб-панели или резервные площадки. После обращения CERT F6 все 14 доменов в зоне .RU были заблокированы. Также компания направила обращения для блокировки доменов в зоне .CY, жалобы на файлообменники, через которые распространялись вредоносные JAR-файлы, и запросы в TikTok на удаление роликов с опасными ссылками.

Атаки на цепочку поставок: как защититься до компрометации?
Регистрируйтесь на эфир!