Хакеры используют Digg.com для распространения вирусов

Хакеры используют Digg.com для распространения вирусов

По сообщению антивирусной компании Panda Security, злоумышленники для распространения вредоносного программного обеспечения начали активно использовать популярный новостной аггрегатор Digg.com. Для распространения вирусов создаются фиктивные ссылки на какие-либо вымышленные новости с громкими заголовками - при нажатии на заинтересовавший заголовок, пользователь прямиком отправляется на сайты, содержащие трояны, вирусы и сетевые черви.

В Panda говорят, что их антивирусным экспертам удалось зафиксировать 52 аккаунта на Digg, которые занимались только тем, что рассылали "горячие" вирусные новости. Для того, что привлечь пользователей злоумышленники используют старые, но проверенные методы - какие-либо бульварные кричащие заголовки, с подробностями личной жизни западных публичных персон политики и шоу-бизнеса.

Когда пользователь попадал на сайт злоумышленника, то там под различными предлогами ему предлагалось то или иное вредоносное программное обеспечение.

По словам специалистов Panda Security, о данном методе распространения вирусов они уже предупредили администрацию Digg.

Администрация сервиса от комментариев по деталям конкретных аккаунтов отказалась, но подтвердила, что за последнее время было уничтожено около 300 "вирусных новостей".

"Проблема заключается в том, что злоумышленники очень крепко сели на данный сервис. Уже есть автоматические скрипты, сделанные под Digg, которые постоянно рассылают фиктивные ссылки", - говорит эксперт Panda Шон-Пол Коррел. По его словам, сейчас злоумышленники используют два метода - создают свои новости и вставляют вирусные ссылки в сообщения, отправленные другими пользователями в обсуждениях.

ИИ обнаружил невидимый для антивирусов Linux-бэкдор GhostPenguin

Исследователи из Trend Micro сообщили об обнаружении нового скрытного бэкдора для Linux под названием GhostPenguin. На протяжении четырёх месяцев он находился в базе VirusTotal, но ни один антивирус при этом не детектировал файл вредоноса. Обнаружить его удалось только благодаря системе автоматического поиска угроз, использующей алгоритмы ИИ.

Впервые файл загрузили на VirusTotal 7 июля 2025 года. Но классические механизмы анализа не увидели ничего подозрительного.

 

Лишь когда ИИ-пайплайн Trend Micro выделил образец как атипичный, эксперты провели детальное исследование и выяснили, что внутри скрыт полноценный бэкдор.

GhostPenguin написан на C++ и работает как многопоточный инструмент удалённого управления Linux-системой. Вместо привычных TCP-соединений он использует собственный зашифрованный UDP-протокол на базе RC5, что делает коммуникацию менее заметной и затрудняет обнаружение.

 

Отдельные потоки отвечают за регистрацию и передачу данных, благодаря этому GhostPenguin остаётся работоспособным даже в случае зависания отдельных компонентов.

После запуска бэкдор проходит подготовительный цикл:

  • проверяет, не запущен ли он уже, используя PID-файл;
  • инициирует хендшейк с C2-сервером и получает Session ID, который далее служит ключом шифрования;
  • собирает данные о системе (IP-адрес, имя хоста, версию ОС вроде «Ubuntu 24.04.2 LTS», архитектуру) и отправляет их на сервер до получения подтверждения.

Исследование также показало, что GhostPenguin, вероятно, ещё в разработке. В коде нашли отладочные элементы, неиспользуемые функции, тестовые домены и даже опечатки — вроде «ImpPresistence» и «Userame». Похоже, авторы торопились или отлаживали раннюю версию.

Главный вывод Trend Micro: традиционные методы анализа пропустили GhostPenguin полностью, тогда как ИИ-подход позволил заметить аномалию. Этот случай, по словам исследователей, наглядно демонстрирует, насколько сложными становятся современные угрозы и почему стратегия их поиска должна развиваться дальше.

RSS: Новости на портале Anti-Malware.ru