Обнаружен ботнет Skynet с управлением через анонимную сеть TOR

Обнаружен ботнет Skynet с управлением через анонимную сеть TOR

Специалисты по сетевой безопасности из компании Rapid7 обнаружили, возможно, один из первых ботнетов, в котором связь зараженных машин с управляющим сервером выполнялась с помощью технологии TOR, обеспечивающей анонимный доступ к Интернету.

Первооткрыватели ботнета, получившего название Skynet, как искусственный интеллект в фильмах про Терминатора, предупредили, что в ближайшее время эту практику могут взять на вооружение и другие ботнеты, что сильно затруднит обнаружение и нейтрализацию их управляющих серверов.

Технология TOR, о которой мы не раз писали, была создана военными специалистами США в расчете на то, что с ее помощью подвергаемые гонениям активисты в странах с тоталитарными режимами смогут беспрепятственно общаться со своими единомышленниками и соратниками по подрывной работе против государства. Многоуровневая анонимизация в сети TOR почти исключает возможность перехвата и прослушки сообщений. Кроме того, через сеть TOR-ретрансляторов в странах с фильтрацией Интернета можно получать доступ к любым закрытым ресурсам за счет использования «выходных TOR-узлов» в странах с менее жестким режимом доступа. По прошествии времени выяснилось, что технология TOR открыла настоящий ящик Пандоры не только для правозащитников, но и для настоящих киберпреступников, сообщает soft.mail.ru.

Обнаруженный ботнет Skynet, по данным исследователей, представляет собой настоящий многофункциональный комбайн. В частности, Skynet поддерживает организацию распределенных атак на отказ в обслуживании (DDoS), генерацию виртуальной валюты Bitcoin с использованием вычислительных ресурсов графического процессора на зараженных машинах, исполнение произвольного кода по команде оператора, а также похищение реквизитов для доступа к веб-сайтам и банковским счетам пострадавших. Главное же отличие Skynet заключается в том, что доступ к его серверам управления возможен только через сеть TOR по протоколу Tor Hidden Service.

Традиционно протокол Tor Hidden Service используется для анонимного доступа к обычным веб-сайтам, а также к чат-серверам IRC и некоторым другим сервисам, включая удаленное управление по протоколу SSH (Secure Shell). Адрес такого сервиса выглядит как случайная последовательность символов с расширением .onion в качестве псевдо-домена верхнего уровня. По мнению представителей компании Rapid7, на данный момент не существует способов отследить и нейтрализовать управляющие серверы ботнета, скрытые с помощью протокола TOR Hidden Service.

По оценкам компании Rapid7 сейчас ботнет Skynet охватывает около 12-15 тысяч зараженных компьютеров. За семь месяцев, прошедших после обнаружения первых признаков этого ботнета, число пораженных машин увеличилось почти на 50 %. В состав ботнет-клиента, который устанавливается на машину жертвы, входит специальный бот с управлением через IRC-чат (этот бот умеет запускать несколько типов DDoS-атак и других действий), собственный TOR-клиент для Windows, модуль для «добычи» Bitcoin-валюты (путем сложных расчетов на графическом процессоре), а также специальная версия известного троянца Zeus с возможностью внедрения в браузер и кражи пользовательских данных для доступа к веб-сайтам и банковским счетам. Несмотря на то, что сеть TOR имеет ряд недостатков, включая большие задержки и невысокую пропускную способность, для передачи команд узлам ботнета этого вполне достаточно, как при запуске DDoS-атаки.

Еще один примечательный факт – каждый зараженный компьютер в ботнете Skynet сам становится TOR-ретранслятором, что делает сеть TOR еще более крупной и устойчивой к нагрузкам, а вместе с ней более устойчивым становится и работающий через нее ботнет.

По мнению специалистов из антивирусных компаний Bitdefender и «Лаборатория Касперского», ботнеты с управлением через TOR не являются такими уж неуязвимыми. Есть средства для борьбы с таким угрозами и на уровне интернет-провайдеров в виде блокирования трафика от всех известных выходных TOR-узлов. С другой стороны, это в итоге может разрушить сам исходный замысел системы TOR, где выходные узлы, теоретически, должны поддерживаться добровольцами в «свободных странах», чтобы оказывать услуги анонимности своим менее удачливыми коллегам, ищущим защиты от преследований.

Ищете бензин — отдаете аккаунт: мошенники запустили фейковые карты АЗС

Киберпреступники решили заработать на очередях за топливом. Специалисты «Эфшесть/F6» обнаружили более 60 фишинговых сайтов, которые маскируются под карты АЗС, игровые сервисы, маркетплейсы и видеохостинги. Схема у всех одна. Пользователю обещают показать, где есть бензин, выдать электронный талон на заправку или подарить бонусы в игре.

Для этого просят указать номер телефона, а затем ввести код из СМС. После этого мошенники получают доступ к аккаунту в мессенджере. Фейковые карты АЗС выглядят вполне убедительно.

 

На сайте предлагают выбрать вид топлива и регион, затем якобы находят несколько заправок. Но сам список не показывают. Вместо него появляется форма «подтверждения номера». В другом варианте преступники копируют оформление настоящего сервиса и требуют авторизацию ради несуществующего электронного талона.

 

Получив код, злоумышленники могут читать переписку, скачивать фото, видео и документы, просматривать контакты и рассылать сообщения от имени жертвы. Иногда владелец даже не сразу замечает взлом: доступ к аккаунту у него сохраняется, пока мошенники тихо хозяйничают внутри.

Та же сеть атакует и детей. Под видом Brawl Stars пользователям предлагают бесплатные ящики и игровую валюту после входа через мессенджер.

 

Более половины найденных сайтов прикрываются брендами маркетплейсов, еще 19% — социальными платформами. Остальные маскируются под карты АЗС, игры, видеосервисы и доски объявлений.

Чаще всего фишинговые страницы размещают в доменных зонах .site, .click, .shop, .lol и .xyz. «Эфшесть/F6» уже направила их на блокировку, но новые адреса продолжают появляться.

RSS: Новости на портале Anti-Malware.ru