Dell SecureWorks определила пострадавших от RAT Comfoo

Троян Comfoo – гроза бизнеса и государства

Кирилл Токарев 02 Августа 2013 - 20:14

Корпорации

Государство

Dell

Системы защиты данных от потери

Средства криптографической защиты информации

Вредоносные программы

Трояны

Утечки информации

Кибербезопасность

...

Вредоносная программа Comfoo, использовавшаяся в 2010 году для взлома RSA, продолжает атаковать корпоративные и правительственные сети по всему миру. К такому неутешительному выводу пришли исследователи Dell SecureWorks, обнаружившие более 200 вариантов трояна.

Представители Dell SecureWorks Джо Стюарт (Joe Stewart) и Дон Джексон (Don Jackson) опубликовали новый отчет по исследованию угроз, в котором подробно описывается ситуация с трояном Comfoo. Он используется по всему миру для проникновения в закрытые сети, где большинство корпораций и правительственных организаций хранят важные данные. Банковские счета, торговые секреты и конфиденциальные правительственные программы – все эти данные лакомый кусок дляпреступников.

Согласно отчету, сегодня участились случаи APT (Advanced persistent threat) атак. Специалисты, занимающиеся APT, как правило, хорошо обучены, обладают доступом к техническим и финансовым ресурсам. Для проникновения в чужую сеть команды взломщиков чаще всего используют вредоносное программное обеспечение. При успешном получении доступа к сети, хакеры похищают необходимые им данные.

Ярким примером того стала кампания Comfoo. Эта система работает с 2006 года. Впервые о существовании угрозы мир узнал в 2010 году, после утечки данных из компании RSA. Согласно исследованию, RAT Comfoo использовался во время 64 нападений по всему миру. За последнее время было создано несколько сотен вариантов этой программы.

Чтобы проникнуть в корпоративную сеть Comfoo RAT часто заменяет собой DLL существующего, но неиспользуемого сервиса (новая служба при этом не устанавливается). Из-за этого вирус сложнее заметить системным администраторам. Руткит также используется для маскировки файлов Comfoo на диске. Трафик, который создается приложением, шифруется и перенаправляется в нужное место.

Местоположение главных жертв Comfoo.

Исследователям удалось определить, как Comfoo работает. Программа скачивает файлы, выполняет определенные команды и даже умеет открывать доступ к информации третьим лицам. По словам Dell SecureWorks, этим вирусом инфицированы правительственные и корпоративные сети в США, Европе и странах Азиатско-Тихоокеанского региона. Взломщики выбирают целью многие японские и индийские сайты, а также образовательные учреждения, медиа-, телекоммуникационные и энергетические компании. Часто хакеры также нападают на фирмы, предоставляющие услуги аудио- или видеоконференций. Эксперты полагают, что взломщики нападают на эти компании в поисках интересующей их интеллектуальной собственности или прослушивания переговоров.

Dell пока не сообщила название пострадавших компаний, но уже проинформировала их о взломе. По их оценкам в мире существуют еще и сотни других фирм, которые уязвимы перед Comfoo.

Следующая главная новость »

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!

Яков Шпунт 27 Марта 2026 - 12:17

Мошенничество Онлайн-мошенничество Домашние пользователи

Появилась новая схема угона аккаунтов на Госуслугах

Злоумышленники начали использовать новую двухэтапную схему для кражи учётных записей на Госуслугах и в онлайн-банках. Формальным поводом для запуска атаки служит якобы обновление медицинских данных. Эта схема применяется не только против россиян, но и против граждан Белоруссии.

Как сообщает РИА Новости, обычно мошенники выходят на связь через мессенджеры, чаще всего через Telegram. Похожая схема также получила распространение в Белоруссии, о чём сообщают местные СМИ и ряд территориальных органов МВД страны.

На первом этапе злоумышленники представляются медицинскими работниками. Под предлогом обновления данных медицинской карты они просят сообщить возраст, рост, вес, а также пожаловаться на самочувствие. После этого лже-медик просит указать в чате номер телефона, на который якобы поступит голосовой звонок для подтверждения данных.

Затем начинается вторая фаза. В разговор вступает якобы сотрудник Госуслуг, который сообщает о попытке взлома аккаунта. Он просит назвать код из СМС, который на самом деле используется для получения доступа к учётной записи на Госуслугах или в личном кабинете онлайн-банка.

Встречаются и другие варианты развития схемы. Например, вместо сотрудника Госуслуг с жертвой может связаться лже-сотрудник правоохранительных органов. Такой сценарий особенно распространён в Белоруссии, но встречается и в России.

Как отметил депутат Госдумы Сергей Леонов, в некоторых случаях мошенники начинают атаку не с переписки, а с голосового звонка. В качестве повода может использоваться приглашение на диспансеризацию.

«Настоятельно рекомендую быть бдительными. Если вам поступил звонок от поликлиники якобы с приглашением на диспансеризацию и просьбой назвать данные паспорта и СНИЛС для этого, то кладите сразу же трубку. Ни в коем случае не называйте никакие персональные данные. Тем более не называйте никогда код из СМС якобы для подтверждения записи к врачу — это мошенники. Лучше сразу положить трубку, найти телефон поликлиники на сайте и перезвонить напрямую», — такие рекомендации дал депутат.

«Каждый код — это открытие доступа аферистам в вашу жизнь», — напомнила официальный представитель МВД России Ирина Волк.

Первые попытки использования этой схемы были зафиксированы в Ростовской области ещё в декабре. Тогда мошенники допускали много несоответствий — например, использовали номера других регионов, что вызывало подозрения у потенциальных жертв.

В конце марта злоумышленники снова активизировали эту тему. Так, 24 марта о новой волне таких атак писала газета «Тульская пресса».

Кроме того, в январе уже фиксировалось несколько волн атак, направленных на кражу аккаунтов на Госуслугах. Тогда для этого использовались телеграм-боты, а предлогами служили актуализация данных для компаний в сфере ЖКХ или акции маркетплейсов.