Злоумышленники все чаще используют ресурсы анонимной сети Tor

Злоумышленники все чаще используют ресурсы анонимной сети Tor

Авторы вредоносного программного обеспечения все чаще применяют анонимную сеть Tor для сокрытия реального расположения их командно-контрольных серверов. Об этом говорят в антивирусной компании Eset, эксперты которой все чаще обнаруживают C&C-серверы, работающие как скрытые Tor-сервисы.



The Tor Hidden Service - это протокол, который позволяет пользователям устанавливать собственные сервисы, как правило, это веб-сервисы, однако обратиться к ним можно только через саму сеть Tor и через хосты, заканчивающиеся на псевдо-доменное разрешение .onion. Данный протокол был создан с целью сокрытия реального IP-адреса посредством скрытого сервиса, который явно закрывает IP-адреса клиентов и серверов, работающих друг с другом, пишет cybersecurity.ru.

Сам трафик между Tor-клиентом и скрытым сервисом Tor маршрутизируется случайным образом через сеть шлюзов, которые выбираются в различных вариантах, причем шлюзами могут быть и обычные компьютеры в сети. Таким образом, установить местоположение сервера на практике почти невозможно.

В Eset говорят, что использование Tor для C&C-серверов не является чем-то революционно новым. Впервые о подобной возможности заговорили еще на конференции Defcon 18 в 2010 году. Однако до сих пор практическое использование данной концепции было в новинку. Так, ранее Rapid 7 обнаружила бот-сеть Skynet, в которой работали от 12 до 15 тысяч компьютеров, а командный сервер работал в качестве скрытого сервиса Tor.

Сейчас в Eset обнаружили новые образцы подобного Tor-ориентированного софта. "В июле исследователи Eset выявили два разных типа Tor-ботнетов, которые базируются на семействе вредоносных кодов Win32/Atrax and Win32/Agent.PTA. Оба варианта ориентированы на перехват данных из пользовательских веб-форм", - говорит антивирусный специалист Eset Антон Черепанов.

По его словам, в отличие от Skynet, новинки применяют веб, а не IRC для работы серверов, которые прячутся в Tor-сетях.

Atrax может быть скачан и исполнен, после чего он встраивает вредоносный код в процессы браузера, а сам трафик вредоноса шифруется при помощи алгоритма AES. Этот код позволяет воровать банковские реквизиты и данные веб-форм.

Другой код - Agent.PTA представляет собой нового представителя семейства PTA, известного с начала 2012 года. Здесь также есть функционал для перехвата данных веб-форм.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Мошенники стали в 16 раз чаще звонить с поддельных номеров из-за рубежа

За последнюю неделю количество фейковых звонков с иностранных номеров в Россию выросло в 16 раз. Об этом рассказали в Сбере. Всплеск удалось заметить в том числе благодаря пользователям, которые отправляли жалобы через раздел «Сообщи о мошеннике» в приложении СберБанк Онлайн.

Такие звонки — не новость: злоумышленники давно используют облачные АТС, где можно быстро взять в аренду номер с кодом другой страны.

Чаще всего — европейских. Иногда — стран с «похожими» номерами (например, +84 95), чтобы выглядело более правдоподобно. Всё это делается через IP-телефонию, что позволяет обходиться без операторов сотовой связи и затрудняет блокировку.

Зампред правления Сбера Станислав Кузнецов отметил, что несмотря на резкий рост таких звонков, в общем объёме мошеннических вызовов их пока немного. Антифрод-система банка их фиксирует и ставит подозрительные операции на усиленный контроль — благодаря этому удаётся избегать хищений.

Но в банке всё равно призывают не терять бдительность:

«Если вам звонят с незнакомого номера из-за границы — просто не отвечайте. Если у вас нет родных или деловых контактов за рубежом, то такие звонки почти наверняка мошеннические».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru