Хэллоуинский рейтинг ботнетов от компании ESET

Хэллоуинский рейтинг ботнетов от компании ESET

Международная антивирусная компания ESET к Хэллоуину подготовила пятерку самых страшных, ужасных и кошмарных ботнетов, также известных как «зомби-сети». Пользователи зачастую не подозревают, что их устройства используются посторонними лицами – вредоносная программа ведет себя крайне осторожно, ничем не выдавая своего присутствия.

Тем более, что киберпреступники стараются не активизировать ботнет, пока он не окрепнет и не вырастет минимум до нескольких сотен компьютеров – после этого можно перевести «зомби-сеть» на «самообеспечение», используя рассылаемый ботнетом спам с вредоносными ссылками для заражения новых пользователей.

Ко Дню всех святых ESET подобрала пятерку самых интересных и необычных «зомби-сетей», в которую вошли не только угрозы для Windows, но также для устройств на базе Android иMac OS.

ZeroAccess: Тятя-тятя, наши сети…

Первая версия трояна ZeroAccess, на основе которого был создан огромный ботнет, была обнаружена еще в июне в 2009 года. В процессе эволюции новые модификации трояна научились заражать 32- и 64-разрядные системы Windows и виртуозно скрываться как от пользователя, так и от антивирусных сканеров.

Так, ZeroAccess научился не просто скрываться от антивирусных приложений, но и «атаковать» их, отключая антивирус и препятствуя его дальнейшему запуску.

Для заражения пользователя киберпреступники активно применяют методы социального инжиниринга – например, исполняемый файл ZeroAccess зачастую загружается и устанавливается под видом кейгена или «кряка» для игры самим пользователем.

«Зомби-сеть» ZeroAccess используется владельцами для рассылки спама, загрузки новых вредоносных программ, накрутки посещаемости сайтов за счет кликов по рекламным ссылкам, а также для генерации электронной валюты Bitcoin (на захваченных ботнетом ПК выполняются специальные математические операции для генерации этой валюты).

Сегодня в состав ZeroAccess входит до 2 млн активных компьютеров, что делает его одним из крупнейших ботнетов за всю историю информационной безопасности (и самым крупным, созданным на основе P2P-архитектуры).

Atrax: Зомби глубокого залегания

На данный момент Atrax – технически самый сложный и интересный ботнет, использующий для распространения анонимную сеть TOR.

Поскольку передача данных в этой сети – процесс небыстрый, то ботнет не используется для кражи больших объемов данных. Вместо этого он собирает конфиденциальную информацию, вводимую в формы авторизации на различных порталах, а также загружает на ПК дополнительные вредоносные файлы.

Atrax попадает на ПК через специальную вредоносную страницу, замаскированную под сайт службы поддержки клиентов PayPal. Нетрудно догадаться, что эта ссылка распространяется при помощи фишинговых писем якобы от представителей данной платежной системы.

Ботнеты, подобные Atrax, представляют сложность для обнаружения истинного расположения командного центра «зомби-сети». Как ни парадоксально, но в данном случае анонимность TOR защищает не пользователей, а самих киберпреступников.

PokerAgent. Друзья с того света

Небольшой, но интересный ботнет, созданный специально для хищения информации у пользователей Facebook.

Речь идет о личной информации (имя, пол, фото, логины и пароли), а также о данных связанных с аккаунтами кредитных карт. Кроме того, ботнет использовался для получения игровых очков в сверхпопулярной игре Zynga Poker (ежемесячно к ней обращаются не менее 35 млн игроков).

Для получения искомых персональных данных был использован ботнет из 800 зараженных компьютеров, выполнявших инструкции командного центра. В итоге PokerAgent похитил данные 16 000 аккаунтов Facebook.

Также вредоносный код мог публиковать в Хронике зараженного пользователя фишинговую ссылку, ведущую на страницу с формой ввода логина и пароля, замаскированную под главную страницу Facebook. Как можно догадаться, введенные данные моментально попадали к злоумышленникам.

Android/GGSmart: Робозомби

Ботнеты для Android появились лишь в 2012 году, но уже активно развиваются, заражая все новые и новые устройства на базе этой мобильной платформы. Одним из самых успешных стал ботнет Android.GGSmart.

Эта зомби-сеть происходит из Китая, родины огромного количества вредоносного ПО. Для заражения максимального количества пользователей злоумышленники встроили вредоносный код Android.GGSmart в ряд легальных приложений и популярных игр, распространяя угрозу через неофициальные магазины приложений Android.

Этот ботнет позволяет злоумышленниками удаленно управлять любым из захваченных мобильных устройств с целью хищения личной информации пользователя, загрузки дополнительных приложений, включая рекламные, а также для отправки платных SMS. На пике активности ботнет на основе Android.GGSmart включал до миллиона Android-устройств.

Flashback: Зомби в яблоках

Ботнет на основе трояна Flashback стал самым крупным ботнетом для устройств на платформе Mac OS X. На пике активности ботнет сумел объединить до 600 000 компьютеров, разрушив миф о неуязвимости ОС от Apple для вредоносных программ.

При распространении трояна Flashback киберпреступники рассылали вредоносные ссылки, замаскированные под страницы с играми, сайты с потоковым видео и подобные развлекательные порталы.

Для заражения системы киберпреступники использовали уязвимость нулевого дня (т.е. неизвестную прежде уязвимость) в плагине Java от Oracle. С помощью ботнета Flashbackкиберпреступники могли загружать на захваченные компьютеры дополнительное злонамеренное ПО сторонних производителей и перенаправлять пользователей на вредоносные сайты.

Что примечательно, обновление, закрывающее используемые злоумышленниками уязвимости компания Apple выпустила через два месяца после выпуска аналогичного обновления компанией Oracle. Позднее Apple даже была вынуждена разработать специальную утилиту для удаления Flashback с компьютеров пользователей. Кроме того, еще сильнее были ограничены возможности по установке внешних приложений – чем меньше пользователь установит программ, тем ниже вероятность заразить систему.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В Екатеринбурге лжемастера с сайтами на нейросетях берут втрое больше

В Екатеринбурге орудуют лжемастера, взимающие в два-три раза больше за ремонт бытовой техники. Они работают через онлайн-площадки и активно используют нейросети. Благодаря приёмам поисковой оптимизации эти ресурсы попадают в топ поисковой выдачи. Также мошенники размещают свои объявления на профильных классифайдах.

Как выяснило издание 66.RU, в городе действуют десятки мошеннических сервисов, которые завлекают клиентов рассказами о многолетнем опыте работы. Контент для таких сайтов зачастую создаётся с помощью нейросетевых инструментов.

Один из читателей издания обратился за ремонтом посудомоечной машины через сайт, найденный в поиске. Приехавший мастер выполнил работу, но потребовал 34 тысячи рублей — более чем в два раза выше среднерыночной стоимости.

Позже выяснилось, что указанный на сайте адрес не существует. Затем он был заменён на другой — в торговом центре, где никакой сервисной компании нет и никогда не было. Более того, лица сотрудников на сайте оказались сгенерированы нейросетью.

Журналисты обнаружили, что в верхней части поисковой выдачи по запросам о ремонте бытовой техники находятся сайты компаний, которые заявляют о многолетнем опыте, но зарегистрированы только в 2024–2025 годах. Это явное несоответствие указывает на мошеннический характер таких организаций.

На классифайдах также нашлись десятки однотипных объявлений с шаблонными положительными отзывами. Часто используются одни и те же фотографии — причём те же изображения встречаются в аналогичных объявлениях из других городов. В ряде случаев администрации сайтов уже начали блокировать такие публикации.

«Привлечь к ответственности или вернуть деньги в таких случаях крайне сложно. Фактически наказать человека, взявшего деньги, можно только в том случае, если ремонт не был проведён. Зная это, недобросовестные мастера формально выполняют какие-либо действия — иногда даже не связанные с реальной проблемой — или берут оплату наличными, чтобы было невозможно доказать сам факт передачи денег», — объяснил изданию адвокат Георгий Краснов.

Юрист рекомендует заранее согласовывать все условия и никогда не вносить предоплату. В случае завышения стоимости следует ссылаться на ранее достигнутые договорённости. Также важно проверять документы мастера.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru