ESET нашла ботнет, управляемый через правительственный сайт Грузии

ESET нашла ботнет, управляемый через правительственный сайт Грузии

Компания ESET, сообщает об обнаружении сети зараженных компьютеров (ботнет), которая управляется через официальный сайт правительства Грузии. В начале 2012 года специалисты ESET выявили ботнет, получивший название Win32/Georbot. По данным компании ESET, управляющие команды исходят с официального сайта правительства Грузии. Целью создания данного ботнета является похищение документов и цифровых сертификатов с зараженных компьютеров.



Еще одна особенность этой вредоносной программы заключается в том, что она ищет на инфицированном ПК файлы конфигурации RDP (Remote Desktop Connection) с целью дальнейшего хищения и получения несанкционированного доступа к ним. Кроме того, бот способен создавать аудио- и видео-записи и собирать информацию о локальной сети.

На сегодняшний день ботсеть Georbot по-прежнему активна, последние ее обновления были зафиксированы 20 марта текущего года. Аналитики ESET отмечают, что Georbot имеет механизм обновлений, который позволяет ей оставаться незамеченной для обнаружения антивирусными программами. У ботнета также есть резервный механизм получения команд на случай недоступности основного командного центра – это подключение к специальной веб-странице, размещенной на одном сервере с официальным сайтом грузинского правительства.

По данным компании ESET, Win32/Georbot ориентирован в первую очередь на компьютерных пользователей Грузии. Из всех зараженных компьютеров, которые специалистам удалось обнаружить, 70% находились в Грузии, затем следует США со значительно более низким показателем (5.07%), далее идут Германия (3.88%) и Россия (3.58%).

«Этот факт вовсе не означает, что правительство Грузии занимается управлением данной вредоносной программой. Довольно часто организации не знают о том, что их серверы были скомпрометированы, - говорит Пьер-Марк Бюро, менеджер по глобальному мониторингу вредоносной активности ESET. – Однако стоит отметить, что Министерство юстиции Грузии и CERT (Команда быстрого реагирования на компьютерные инциденты) были полностью осведомлены о ситуации. Расследование данного инцидента все еще продолжается, и с нашей стороны мы не прекращаем мониторинг».

Аналитикам компании ESET также удалось получить доступ к центру управления ботнетом, содержащим информацию о числе зараженных ПК, их местоположении и передаваемых командах. Среди полученной информации определенный интерес представляют ключевые слова, используемые для поиска документов, которые интересуют злоумышленников. В списке ключевых слов - министерство, служба, секретно, говорит, агент, США, Россия, ФБР, ЦРУ, оружие, ФСБ, КГБ, телефон, номер и др.

Специалистами установлено, что такие возможности ботнета, как запись видео с помощью веб-камеры, получение снимков рабочего стола, проведение DDoS-атак были применены не один раз. Тот факт, что ботнет использовал сайт Грузии для получения команд и обновлений, а возможно и для распространения вредоносного ПО, говорит о том, что главной целью злоумышленников являются граждане Грузии. Однако уровень технологической реализации данной угрозы является довольно низким. Вирусные специалисты ESET полагают, что если бы данная атака спонсировалась государством, то она была бы более технически продвинутой и скрытой. По мнению специалистов, Win32/Georbot был разработан киберкриминальной группой, целью которой является добыча секретной информации с последующей перепродажей.

«Такие угрозы, как Stuxnet and Duqu являются примерами высокотехнологичного кибероружия, предназначенного для достижения строго определенных целей. Win32/Georbot, несмотря на то, что он менее технологичен, все равно имеет новые уникальные характеристики, - делает заключение Рихард Цвиненберг, главный эксперт по исследованиям и разработкам компании ESET. - В случае с Georbot цель злоумышленников, скорее всего, заключается в получении доступа к системе и хранимой, обрабатываемой в ней информации. Это подтверждается, например, поиском конфигурационных файлов RDP для удаленного доступа к машине».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В Екатеринбурге лжемастера с сайтами на нейросетях берут втрое больше

В Екатеринбурге орудуют лжемастера, взимающие в два-три раза больше за ремонт бытовой техники. Они работают через онлайн-площадки и активно используют нейросети. Благодаря приёмам поисковой оптимизации эти ресурсы попадают в топ поисковой выдачи. Также мошенники размещают свои объявления на профильных классифайдах.

Как выяснило издание 66.RU, в городе действуют десятки мошеннических сервисов, которые завлекают клиентов рассказами о многолетнем опыте работы. Контент для таких сайтов зачастую создаётся с помощью нейросетевых инструментов.

Один из читателей издания обратился за ремонтом посудомоечной машины через сайт, найденный в поиске. Приехавший мастер выполнил работу, но потребовал 34 тысячи рублей — более чем в два раза выше среднерыночной стоимости.

Позже выяснилось, что указанный на сайте адрес не существует. Затем он был заменён на другой — в торговом центре, где никакой сервисной компании нет и никогда не было. Более того, лица сотрудников на сайте оказались сгенерированы нейросетью.

Журналисты обнаружили, что в верхней части поисковой выдачи по запросам о ремонте бытовой техники находятся сайты компаний, которые заявляют о многолетнем опыте, но зарегистрированы только в 2024–2025 годах. Это явное несоответствие указывает на мошеннический характер таких организаций.

На классифайдах также нашлись десятки однотипных объявлений с шаблонными положительными отзывами. Часто используются одни и те же фотографии — причём те же изображения встречаются в аналогичных объявлениях из других городов. В ряде случаев администрации сайтов уже начали блокировать такие публикации.

«Привлечь к ответственности или вернуть деньги в таких случаях крайне сложно. Фактически наказать человека, взявшего деньги, можно только в том случае, если ремонт не был проведён. Зная это, недобросовестные мастера формально выполняют какие-либо действия — иногда даже не связанные с реальной проблемой — или берут оплату наличными, чтобы было невозможно доказать сам факт передачи денег», — объяснил изданию адвокат Георгий Краснов.

Юрист рекомендует заранее согласовывать все условия и никогда не вносить предоплату. В случае завышения стоимости следует ссылаться на ранее достигнутые договорённости. Также важно проверять документы мастера.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru