Обнаружен первый ботнет из инфицированных web-серверов

Александр Панасенко 14 Сентября 2009 - 13:05

...

Отечественные разработчики сервиса Unmask Parasites, ориентированного на выявление зараженных троянскими вставками web-страниц, сообщили об обнаружении ботнет-сети, состоящей из инфицированных web-серверов, работающих под управлением Linux. Все зараженные web-серверы поддерживают обмен данными между узлами и составляют единый ботнет, функционирование которого контролируется из одного центра управления.

На входящих в ботнет хостах, в дополнение к основному http-серверу, на 8080 порту запущен дополнительный http-сервер nginx, ориентированный на обработку запросов, формируемых инфицированными страницами с троянскими JavaScript вставками. Основная задача обнаруженного ботнета - поддержание сети для доставки злонамеренного ПО на машины клиентов, пользующихся содержащими уязвимости версиями web-браузеров, поражение которых происходит при открытии инфицированных web-страниц.

Особое значение придается унификации - выполнению серверной части ботнета и заражающей web-страницы на одном хосте. Использование реально функционирующего домена в "iframe src" или "javascript src" вставке значительно повышает время жизни инфицирующей страницы, по сравнению с указанием внешних ссылок, и позволяет обойти некоторые средства антивирусной защиты, если серверный злонамеренный код обрабатывает запросы в том же домене, хотя и под другим номером порта.

В настоящий момент в ботнете зафиксировано только около сотни серверов, работающих под управлением различных дистрибутивов Linux. Сеть выглядит как первый прототип и следует иметь в виду, что не представляет большого труда адаптировать серверную часть кода злоумышленников для других операционных систем. Код работает с правами пораженного аккаунта хостинга. Точно путь внедрения кода пока не определено, но наиболее вероятны три варианта организации загрузки и запуска кода злоумышленника на сервере:

* Использование широко известных уязвимостей в популярных web-приложениях (например, WordPress версии ниже 2.8.4);
* Огранизация словарного подбора простых паролей;
* Поражение троянским ПО одной из клиенских машин и последующая организация сниффинга FTP-паролей в локальной сети (именно так сейчас осуществляется получение паролей для подстановки троянских JavaScript вставок на сайты).

Web-мастерам и владельцам сайтов настоятельно рекомендуется проконтролировать публикацию отчетов о наличии уязвимостей в используемых общедоступных web-приложениях, произвести установку всех рекомендуемых обновлений, проверить наличие вирусов на машинах в локальной сети и провести аудит используемых паролей.

Источник

Следующая главная новость »

Подписывайтесь на телеграм-канал AM Live, чтобы всегда быть в курсе самых горячих и свежих новостей. Присоединяйтесь! »

Екатерина Быстрова 08 Января 2026 - 12:27

Android Трояны Домашние пользователи

Новая волна Ghost Tap тащит деньги у владельцев Android-смартфонов

Ваш смартфон может оказаться единственным «соучастником», который нужен мошеннику, чтобы опустошить банковский счёт — даже если карта всё это время лежит у вас в кошельке. Group-IB выпустила отчёт о стремительно растущем подпольном рынке Android-инструментов с поддержкой NFC, с помощью которых злоумышленники проводят удалённые бесконтактные платежи.

Исследователи назвали эту схему Ghost Tap. По сути, это цифровая версия карманной кражи: между картой жертвы и платёжным терминалом преступника выстраивается «мост» через интернет.

Такие инструменты активно продаются в телеграм-каналах, а ключевую роль в их распространении играют группы, связанные с китайским киберпреступным сообществом.

Схема завязана на ретрансляции NFC-сигнала и обычно использует два Android-приложения:

Reader — устанавливается на телефон жертвы. Его распространяют через СМС-фишинг или телефонные звонки под предлогом «проверки личности», «обновления платёжных данных» или «подтверждения карты». Пользователя просят приложить карту к смартфону.
Tapper — работает уже на устройстве мошенника. Он эмулирует карту жертвы и передаёт сигнал на платёжный терминал.

В итоге оплата проходит так, будто карта действительно находится рядом с POS-терминалом. Физического доступа к ней не требуется — достаточно одного «проверочного» касания.

Ghost Tap — это не эксперимент энтузиастов, а вполне себе налаженный бизнес. Group-IB обнаружила сразу несколько «брендов», конкурирующих между собой: TX-NFC, X-NFC, NFU Pay и другие. Они продают доступ к своим инструментам по подписке — от $45 в день до $1 000+ за три месяца.

Всего аналитики зафиксировали не менее 54 различных APK-вариантов. Некоторые продавцы предлагают круглосуточную «техподдержку», работая посменно, чтобы клиенты могли выводить деньги в любое время.

Но украсть данные карты — полдела. Для обналичивания используются нелегально полученные POS-терминалы, которые тоже спокойно продаются в Telegram. В отчёте упоминается группа Oedipus, торговавшая терминалами крупных финансовых организаций на Ближнем Востоке, в Северной Африке и Азии.

По данным Group-IB, только через одного такого продавца с ноября 2024 по август 2025 года прошло как минимум $355 тысяч нелегальных транзакций.