Бинарники Kelihos сменили прописку

Участники швейцарского проекта Abuse.ch обнаружили, что операторы р2р-ботнета Kelihos, специализирующегося на рассылке спама, покинули TLD-домен .eu и обновляют боты с сайтов, размещенных в российской национальной зоне.

По данным Abuse.ch, перенос площадок, используемых злоумышленниками для распространения Kelihos, он же Hlux, в другую TLD-зону произошел минувшим летом. Активисты насчитали свыше 170 ru-доменов, ассоциированных с хостами fast-flux сети, раздающими вредоносные файлы calc.exe и rasta01.exe. Все эти домены зарегистрированы через Reggi.ru и обслуживаются NS-серверами, также размещенными на fast-flux ботнете. Регистратор DNS-имен все тот же – Internet.bs (Багамы), сообщает securelist.com.

По оценке Abuse.ch, ботнет Kelihos в настоящее время охватывает 100-150 тыс. уникальных IP-адресов, ежедневно рассылающих спам. Нелишне напомнить, что результаты наблюдений, представленные экспертами, касаются новообразования, созданного ботоводами на базе Kelihos вскоре после ликвидации прежней бот-сети. Та была выведена из строя в сентябре прошлого года силами Microsoft, Лаборатории Касперского и Kyrus Tech и насчитывала около 50 тыс. IP-адресов.

По свидетельству Лаборатории Касперского, новая версия Kelihos появилась сразу после нейтрализации первоначального варианта ботнета и к февралю успела поразить несколько десятков тысяч пользовательских ПК. Функционал бота был расширен с целью обеспечить ботоводам дополнительные статьи дохода. Обновленный Kelihos умеет также заражать флэшки, создавая на них lnk-файлы подобно тому, как это делает Stuxnet, что создает еще один канал для распространения данного зловреда.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

У Wildberries украли 385 млн руб. с помощью бреши в обработке платежей

Руководство интернет-магазина Wildberries обратилось к правоохранителям по факту мошенничества, в результате которого компания потеряла 385 миллионов рублей. Оказалось, что злоумышленники использовали ошибку при обработке платежей.

Схема работала следующим образом: мошенники регистрировались на площадке в качестве продавцов, после чего выставляли несуществующий товар и, выступая уже в роли покупателей, пытались оплатить его по некорректным реквизитам.

Сам реализатор при этом переводил продавцу средства, будто сделка прошла успешно. Эксперты предупреждают, что похожие мошеннические схемы угрожают всем интернет-магазинам, ориентированным на быстрый рост.

Как сообщил «Коммерсант», ему удалось ознакомиться с копией заявления представителей Wildberries, направленного в УВД по СЗАО Москвы. Маркетплейс просит полицию возбудить уголовное дело по факту похищения более 385 миллионов рублей. Фотографию заявления можно найти в Telegram-канале «Банкста».

Подробно мошенническую схему пока никто не описывает, однако известно, что Wildberries в контексте вышеописанных действий переводит продавцу деньги как за успешную продажу. При этом банк блокирует операцию подставных покупателей, но деньги интернет-магазина всё равно уходят продавцам в лице мошенников.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru