Кибер-преступники создают специализированные поисковые системы, которые выводят пользователей на вредоносные сайты

Александр Панасенко 08 Мая 2009 - 09:47

...

Данная новая тенденция подтверждает тот факт, что кибер-преступники стали еще более профессиональны. Ранее кибер-преступники использовали технологии для оптимизации зараженных сайтов под поисковые системы или техники “blackhat SEO” для улучшения положения их вредоносных веб-страниц в результатах поиска популярных поисковых систем. Сейчас кибер-преступники начали использовать свои собственные поисковые системы, которые отправляют пользователей на веб-страницы, специально созданные для заражения и обмана пользователей.

Лаборатория PandaLabs обнаружила один из вредоносных "поисковиков", которым уже воспользовались около 195 000 пользователей.

Подобные поисковые системы работают следующим образом. Когда пользователи указывают слово для поиска, система выдает только пять или шесть результатов. Нажатие на одну из ссылок среди результатов перенаправляет пользователя на веб-страницу, созданную специально для распространения вредоносного ПО. Данные страницы могут содержать такой контент как порнографическое видео, для просмотра которого пользователям предлагается загрузить самую последнюю версию проигрывателя “Web media player”. Однако на самом деле, загружаемый файл является рекламным ПО WebMediaPlayer. Более того, подобные веб-сайты были также использованы для распространения ложных антивирусных программ.
Пример такого сайта Вы можете посмотреть здесь:
http://www.flickr.com/photos/panda_security/3504323344/

В данном случае кибер-преступники используют технику социальной инженерии: заражение пользователей происходит в результате того, что они переходят по подозрительным ссылкам и запускают вредоносные файлы.

Луис Корронс, Технический директор PandaLabs: “Мы начали искать слова, которые наиболее часто используются кибер-преступниками. Например, популярные ныне запрос "свиной грипп" или имена таких знаменитостей как Бритни Спирс или Пэрис Хилтон. В результате этого мы вышли на страницы, которые специально разработаны для распространения вредоносного ПО. Но затем мы обнаружили, что поиски даже наших собственных имен выдают результаты, которые также могут вывести на подобные вредоносные страницы! Хотя странно, что среди вредоносных результатов оказывались и случайные, нормальные результаты. Возможно, это было сделано для того, чтобы поддержать у пользователей иллюзию подлинности поисковика”.

Чтобы не стать жертвами данного типа атак, лаборатория PandaLabs настоятельно советует пользователям использовать только надежные поисковые системы и опасаться сайтов, предлагающих сенсационное видео и необычные истории.

“Если на подобном сайте Вас попросили загрузить кодек или программу другого типа для просмотра видео, то очень высока вероятность того, что это действительно вредоносный код”, - предупреждает Луис Корронс.

Для просмотра изображений, иллюстрирующих данную новую тенденцию, воспользуйтесь следующей ссылкой:
http://www.flickr.com/photos/panda_security/tags/adwarewebmediaplayer/

Для более подробной информации Вы можете использовать блог PandaLabs:
http://pandalabs.pandasecurity.com/archive/Swin-flu-and-the-Blackhat-SEO...

Следующая главная новость »

Знай своего врага: как работает киберразведка в 2026 году?
Регистрируйтесь на эфир!

Екатерина Быстрова 03 Марта 2026 - 14:14

Бэкдоры Целевые атаки Таргетированные атаки Корпорации Государство Positive Technologies

APT-группа Mythic Likho опять атакует субъекты КИИ в России

Эксперты департамента киберразведки Positive Technologies (PT ESC TI) подробно изучили активность APT-группировки Mythic Likho, которая нацелена на российские субъекты критической информационной инфраструктуры. По их оценке, это не «массовые рассылки наудачу», а тщательно спланированные и персонализированные атаки.

Mythic Likho не работает по шаблону. Перед началом кампании злоумышленники собирают максимум информации о потенциальной жертве: чем занимается компания, где расположена, с кем сотрудничает, кто в ней работает.

На основе этих данных готовится индивидуальный сценарий атаки и фишинговые письма. Причём в первом контакте может вообще не быть вредоносной ссылки — сначала атакующие стараются выстроить доверие.

Письма приходят якобы от сотрудников госорганов, ретейла или СМИ. Для дальнейшего развития атаки используются взломанные сайты реальных российских организаций и поддельные ресурсы, замаскированные под легитимные сервисы или облачные хранилища. Именно через них жертве подсовывают вредоносные файлы — «официальные» письма, договоры, счета, чеки, резюме или фотографии.

В арсенале группировки есть как собственные инструменты, так и сторонние разработки. Среди них загрузчики HuLoader и ReflectPulse, бэкдор Loki собственной разработки, а также коммерческие и свободно распространяемые вредоносные программы и дополнительные утилиты. После запуска бэкдора злоумышленники получают учетные данные, перемещаются по инфраструктуре, собирают ценные сведения, затем шифруют их и оставляют инструкции по выкупу.

По словам Виктора Казакова, ведущего специалиста группы киберразведки PT ESC TI, в качестве целей Mythic Likho выбирает крупные и платёжеспособные предприятия прежде всего из машиностроения, добывающей и обрабатывающей промышленности. Атаки продумываются детально, цепочки доставки вредоносных инструментов сложные, а инфраструктура злоумышленников хорошо замаскирована.

Интересная деталь: в ряде кампаний использовались инструменты, ранее замеченные у группировки (Ex)Cobalt, которая также активно атаковала российские компании. Это может говорить о связях Mythic Likho с более широким киберпреступным сообществом и о высоком уровне подготовки участников группы.

По прогнозам экспертов, Mythic Likho в ближайшее время никуда не исчезнет и продолжит представлять серьёзную угрозу для критической инфраструктуры в России.

Знай своего врага: как работает киберразведка в 2026 году?
Регистрируйтесь на эфир!