Dell SecureWorks определила пострадавших от RAT Comfoo

Троян Comfoo – гроза бизнеса и государства

Кирилл Токарев 02 Августа 2013 - 20:14

Корпорации

Государство

Dell

Системы защиты данных от потери

Средства криптографической защиты информации

Вредоносные программы

Трояны

Утечки информации

Кибербезопасность

...

Вредоносная программа Comfoo, использовавшаяся в 2010 году для взлома RSA, продолжает атаковать корпоративные и правительственные сети по всему миру. К такому неутешительному выводу пришли исследователи Dell SecureWorks, обнаружившие более 200 вариантов трояна.

Представители Dell SecureWorks Джо Стюарт (Joe Stewart) и Дон Джексон (Don Jackson) опубликовали новый отчет по исследованию угроз, в котором подробно описывается ситуация с трояном Comfoo. Он используется по всему миру для проникновения в закрытые сети, где большинство корпораций и правительственных организаций хранят важные данные. Банковские счета, торговые секреты и конфиденциальные правительственные программы – все эти данные лакомый кусок дляпреступников.

Согласно отчету, сегодня участились случаи APT (Advanced persistent threat) атак. Специалисты, занимающиеся APT, как правило, хорошо обучены, обладают доступом к техническим и финансовым ресурсам. Для проникновения в чужую сеть команды взломщиков чаще всего используют вредоносное программное обеспечение. При успешном получении доступа к сети, хакеры похищают необходимые им данные.

Ярким примером того стала кампания Comfoo. Эта система работает с 2006 года. Впервые о существовании угрозы мир узнал в 2010 году, после утечки данных из компании RSA. Согласно исследованию, RAT Comfoo использовался во время 64 нападений по всему миру. За последнее время было создано несколько сотен вариантов этой программы.

Чтобы проникнуть в корпоративную сеть Comfoo RAT часто заменяет собой DLL существующего, но неиспользуемого сервиса (новая служба при этом не устанавливается). Из-за этого вирус сложнее заметить системным администраторам. Руткит также используется для маскировки файлов Comfoo на диске. Трафик, который создается приложением, шифруется и перенаправляется в нужное место.

Местоположение главных жертв Comfoo.

Исследователям удалось определить, как Comfoo работает. Программа скачивает файлы, выполняет определенные команды и даже умеет открывать доступ к информации третьим лицам. По словам Dell SecureWorks, этим вирусом инфицированы правительственные и корпоративные сети в США, Европе и странах Азиатско-Тихоокеанского региона. Взломщики выбирают целью многие японские и индийские сайты, а также образовательные учреждения, медиа-, телекоммуникационные и энергетические компании. Часто хакеры также нападают на фирмы, предоставляющие услуги аудио- или видеоконференций. Эксперты полагают, что взломщики нападают на эти компании в поисках интересующей их интеллектуальной собственности или прослушивания переговоров.

Dell пока не сообщила название пострадавших компаний, но уже проинформировала их о взломе. По их оценкам в мире существуют еще и сотни других фирм, которые уязвимы перед Comfoo.

Следующая главная новость »

Российские платформы для обмена файлами: что реально работает?
Регистрируйтесь на эфир!

Яков Шпунт 17 Апреля 2026 - 17:43

Фишинг Мошенничество Онлайн-мошенничество Домашние пользователи

Школьников заманивают в ловушку от имени школы ради аккаунтов в MAX

Аналитики сервиса Smart Business Alert (SBA) компании ЕСА ПРО, входящей в ГК «Кросс технолоджис», предупредили о волне атак на школьников, в которых злоумышленники действуют от имени руководства учебных заведений. Конечная цель таких схем — кража аккаунтов в российском мессенджере MAX.

Как отмечают в SBA, выбор этой аудитории не случаен. Он связан с началом периода подготовки к экзаменам, когда школьники и их родители становятся особенно восприимчивыми к манипуляциям на темы, связанные со школой.

Наиболее распространённый сценарий — фишинговая схема. Ученикам предлагают проголосовать за свою школу в некоем конкурсе. Для этого нужно перейти по ссылке и подтвердить участие. Затем жертву просят ввести номер телефона, к которому привязан аккаунт в MAX, а также код из СМС.

Поскольку аккаунт в MAX тесно связан с учётной записью на Госуслугах, перехват этих данных может открыть злоумышленникам доступ и к личному кабинету пользователя. Атака может развиваться и по более сложному сценарию: в неё подключаются лжесотрудники правоохранительных органов, которые начинают запугивать жертву уголовной ответственностью за использование «мошеннического ресурса».

«Мошенники всегда выбирают наиболее удобный момент для атаки, и чем ближе экзамены, тем более массовыми могут стать такие схемы. В этот период школьник погружён в подготовку, находится в состоянии стресса и с большей вероятностью выполнит просьбу, которая выглядит как поручение от руководства школы. Особенно трудно отказаться, если обращение подаётся как действие в интересах школы накануне важного экзамена. Дополнительным фактором риска становится то, что от школьников и их родителей всё чаще требуют перейти в мессенджер MAX для учебной коммуникации. Это упрощает задачу мошенникам: потенциальных жертв легче искать в одном цифровом пространстве и атаковать по единому сценарию», — отмечает руководитель сервиса SBA Сергей Трухачёв.

Высокую активность злоумышленников в MAX фиксируют и правоохранительные органы. Российский мессенджер всё чаще используют для фишинговых атак и распространения вредоносных приложений на фоне замедления других платформ и перетока пользователей. При этом, как отметил высокопоставленный представитель профильного главка МВД, на успешность атак сам факт перехода аудитории в новый мессенджер напрямую не влияет.

Российские платформы для обмена файлами: что реально работает?
Регистрируйтесь на эфир!