Gameover ZeuS генерирует тысячи поддельных доменов в день
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Обновленный вариант Gameover ZeuS заразил 10 тысяч компьютеров

Кирилл Токарев 02 Августа 2014 - 16:48
...

Исследование экспертов по безопасности израильской компании Seculert указывает на восстановление активности вредоносного программного обеспечения Gameover ZeuS и Shylock. Согласно полученным данным, с помощью этих вредоносных приложений была создана огромная бот-сеть.

Несмотря на то, что обновленный Gameover ZeuS не такой мощный и разностронний, как его предшественник, вредоносное программное обеспечение смогло инфицировать около 10 тыс. компьютеров. Главный исследователь вирусов Seculert Авив Рафф (Aviv Raff) нашел некоторые отличия в свежей версии Gameover ZeuS. Создатели программного обеспечения отказались от механизма связи pee-to-peer для контроля захваченных ПК. Данная особенность делала сложным разрушение оригинального ботнета.

Кроме того, авторы программы теперь используют новый алгоритм генерирования доменов, который выдает список тысячи адресов за день, чтобы скрыть командный сервер хакеров. Количество генерируемых имен и частота их создания впечатляет, учитывая, что предыдущие версии вируса создают такое же количество доменов за неделю.

Seculert в прошлом нашла оригинальный Gameover ZeuS, поэтому ей удалось сравнить новую и старую версию и установить, что за последние дни все больше зараженных ПК связались с системой хакеров, в которую входит около 10 тыс. ботов. Согласно информации израильской компании, пик заражения зафиксировали 25 июля, а количество запросов снизилось до 4 тыс. к 30 числу того же месяца

В случае со Shylock, Рафф утверждает, что в сутки около 10 тыс. ботов пыталось связаться с доменом злоумышленников. Данные компании свидетельствуют, что после 29 июля к домену подключилось более 8 тыс. зараженных ПК.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Bloody Wolf атакует Кыргызстан и Узбекистан через поддельные документы
Екатерина Быстрова 28 Ноября 2025 - 09:04
ТрояныЦелевые атакиТаргетированные атаки КорпорацииГосударство
Bloody Wolf атакует Кыргызстан и Узбекистан через поддельные документы

Исследователи из Group-IB сообщили о новой волне целевых атак группировки Bloody Wolf. Если раньше действия злоумышленников замечали в Казахстане и России, то теперь, по данным компании, они активно атакуют организации в Кыргызстане и Узбекистане. Кампанию фиксируют минимум с июня 2025 года.

Главная цель атак — установка удалённого доступа NetSupport RAT. Для этого хакеры используют довольно простую, но эффективную тактику: они выдают себя за государственные структуры.

В случае с Кыргызстаном злоумышленники маскировались под Министерство юстиции, рассылая легитимно выглядящие PDF-файлы и ссылки на домены, похожие на реальные. Внутри таких документов скрывались JAR-файлы, которые запускали цепочку заражения.

По данным Group-IB и государственного предприятия «Укук» при Генпрокуратуре Кыргызстана, атаки нацелены на государственные структуры, финансовый сектор и ИТ-компании.

 

Механизм атаки практически неизменен. Получателю приходит письмо, где его просят скачать «необходимые документы» и установить Java Runtime якобы для просмотра файлов. На деле JAR-файл оказывается загрузчиком, который подтягивает NetSupport RAT с серверов злоумышленников и закрепляется в системе тремя способами:

  • создаёт планировщик задачи;
  • прописывает значение в реестре;
  • помещает BAT-файл в автозагрузку.

Узбекский этап кампании выделяется дополнительной хитростью — геофенсингом. Если открыть вредоносную ссылку из другой страны, жертва попадёт на легитимный сайт data.egov.uz. Но пользователи внутри Узбекистана получают вредоносный JAR, вшитый в PDF.

 

Исследователи отмечают, что загрузчики написаны на устаревшей Java 8 от 2014 года. Это указывает на возможность использования специально созданного генератора JAR-файлов. Сам RAT также старый — версия NetSupport Manager от 2013 года.

Несмотря на использование недорогих и доступных инструментов, Bloody Wolf остаётся эффективной угрозой. Эксперты подчёркивают: группа демонстрирует, как простые коммерческие решения могут превращаться в полноценные региональные кибероперации, если комбинировать их с социальной инженерией и грамотным выбором целей.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Количество фишинговых доменных имен выросло на 38%
Новость
Количество фишинговых доменных имен выросло на 38%
Минцифры РФ готовит список юрлиц, которым разрешено проводить обзвоны
Новость
Минцифры РФ готовит список юрлиц, которым разрешено проводит...
Две уязвимости в ksmbd Linux позволяют получить root через SMB
Новость
Две уязвимости в ksmbd Linux позволяют получить root через S...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.