Win32/RBrute атакует пользователей Facebook и Google

Александр Панасенко 16 Апреля 2014 - 10:07

...

Международная антивирусная компания ESET обнаружила новый компонент крупнейшего ботнета Win32/Sality – Win32/RBrute. В отличие от уже известных элементов ботнета, он модифицирует DNS-сервис роутеров таким образом, что скомпрометированный роутер перенаправляет пользователей на поддельную страницу загрузки браузераGoogle Chrome. Фальшивый установщик представляет собой один из вредоносных файлов самого Sality.

Семейство файловых инфекторов Win32/Sality известно с 2003 г. Специалисты вирусной лаборатории ESET отслеживали его на протяжении длительного времени. В рейтинге информационных угроз за март 2014 г. Sality занимает вторую строку с ростом активности 1,68%.

Ботнет Sality может выступать в роли вируса или загрузчика других вредоносных программ (downloader). Он обладает модульной архитектурой, его компоненты отвечают за рассылку спама, организацию DDoS, генерацию рекламного трафика и взлом VoIP аккаунтов. Долговечность и постоянное совершенствование ботнета свидетельствуют о высокой квалификации авторов вредоносного кода.

Согласно данным телеметрии, в октябре 2013 г. в составе Sality появился еще один компонент, дополняющий работу ботнета новыми функциями. Он получил название Win32/RBrute.

Первый модуль RBrute детектируется антивирусными продуктами ESET NOD32 как Win32/RBrute.А. Он осуществляет поиск веб-страниц панелей управления роутера, чтобы изменить запись основного DNS-сервера. В настоящее время Win32/RBrute.A позволяет злоумышленникам получить доступ к различным моделям роутеров, административные веб-страницы управления которых защищены очень слабым паролем или к которым можно получить доступ из интернета.

Когда пользователи обращаются к сайтам, содержащим в названии домена «facebook» или «google», поддельный DNS-сервис направляет их на «страницу установки Google Chrome». Вместо браузера на компьютеры загружается вредоносный файл самого Win32/Sality. Так злоумышленники обеспечивают дальнейшее расширение ботнета.

Существует еще один модуль вредоносной программы – Win32/RBrute.B. Он устанавливается Sality на скомпрометированных компьютерах и может выступать в качестве DNS или НТТР прокси-сервера для доставки поддельного установщика Google Chrome.

«Простые векторы заражения пользователей вредоносным кодом Win32/Sality не могут быть достаточно эффективными, чтобы поддерживать популяцию ботнета на соответствующем уровне, – комментирует Артем Баранов, ведущий вирусный аналитик ESET. – Злоумышленники нуждались в новом способе распространения вредоносной программы, и таким способом стал DNS hijacking для роутера. В зависимости от того, подвержен ли выбранный роутер эксплуатации, жертвами перенаправлений может стать множество подключенных к нему пользователей».

Следующая главная новость »

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!

Яков Шпунт 10 Апреля 2026 - 12:30

Соответствие законодательству РФ Общее Защита от мошенничества

На портале «Госуслуги» в ближайшее время может появиться специальная кнопка для сообщений о мошенничестве и других преступных посягательствах. Предполагается, что эта мера позволит быстрее оповещать заинтересованные стороны, включая правоохранительные органы, банки и операторов связи, а также ускорит реагирование на инциденты.

О появлении такой «тревожной кнопки» заявил первый вице-премьер, заместитель председателя правительства Дмитрий Григоренко на встрече с президентом Владимиром Путиным. Беседа была посвящена ходу реализации государственных программ по цифровизации госуслуг.

«Мы хотим на портале „Госуслуг“ сделать так называемый сервис с „красной кнопкой“ – когда гражданин понимает, что его обманули. Проблема в чём? Он прекращает разговор и только потом осознаёт, что стал жертвой мошенников. Куда ему бежать? Идти писать заявление или куда-то обращаться? Это как раз то время, которое играет на руку мошенникам», – заявил Дмитрий Григоренко в ходе обсуждения с президентом.

Генеральный директор компании Phishman Антон Горелкин в комментарии для радиостанции Business FM назвал эту меру полезной, поскольку она позволит быстрее блокировать действия злоумышленников:

«Когда вы понимаете, что это мошенник, его ещё нет в базе, он вам звонил, а вы его остановили или, наоборот, он вас обманул, вы заходите на „Госуслуги“ и сообщаете об этом, тем самым подтверждая, что этот номер мошеннический.

После этого информация поступает в государственную систему, которая объединяет данные операторов и банков. Она дополняется этим сообщением. В результате такие звонки начинают блокироваться у всех. Банки, соответственно, тоже получают сведения о том, что номер неблагонадёжный.

Это поможет противодействовать мошенническим кибератакам. Раньше была проблема в том, что для блокировки номеров нужно было получать судебное разрешение, затем процедуру упростили — заработала автоматическая система, в которую включены операторы, банки и правоохранительные органы. Теперь к ней добавят ещё и население».

Уже с 1 октября 2025 года такой инструмент появился в мобильных приложениях банков, а также в банкоматах и терминалах. При его использовании автоматически формируется справка о сомнительной операции, которую затем можно приложить к заявлению о возбуждении уголовного дела.

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!