Бот-сеть Zeus использует уязвимость Adobe PDF для набора новых ПК

Александр Панасенко 19 Апреля 2010 - 12:33

...

ИТ-компания Websence предупреждает, что крупная бот-сеть Zeus сменила тактику набора новых зомбированных ПК и теперь для инфицирования использует незакрытую уязвимость в формате Adobe PDF. Эксперты говорят, что новый эксплоит "/Launch" применяется администраторами Zeus уже несколько дней и некоторое количество ПК здесь уже было набрано таким способом.

Технический директор Websence Дэн Хаббард говорит, что Zeus занимается рассылкой злонамеренных PDF-файлов, которые при открытии на компьютерах пользователей сохраняются под именем Royal_Mail_Delivery_Notice.pdf, однако в реальности этот файл является исполняемым и предназначен для работы в Windows. При выполнении кода этого файла происходит взлом системы.

В Websence говорят, что уязвимость PDF, используемая Zeus, даже не является уязвимостью в полном смысле, она скорее использует широкие возможности формата PDF и использует его спецификации. Ранее в этом же месяце независимый бельгийский ИТ-специалист Дидье Стивенс представил в интернете многошаговую атаку при помощи функции /Launch, которая может "сломать" даже полностью пропатченную Windows-систему.

Отметим, что еще в августе 2009 года компания Rapid7, работающая над открытым программным обеспечением Metasploit, также указала на проблемы с функцией Launch. Тогда эксплоит с задействованием данной функции был представлен на конференции Black Hat USA.

Сейчас в Websence говорят, что эксплоит применяет одну из разновидностей атаки с использованием функции Launch. Хуже того, что PDF-атака - это лишь часть цепочки, по которой работает Zeus. Полный механизм ИТ-специалистам раскрыть пока не удалось. Хаббард говорит, что у него нет сомнений в использовании дополнительного программного обеспечения Zeus для манипуляции зараженными ПК.

Напомним, что буквально на прошлой неделе директор Adobe по безопасности Брэд Аркин заявил, что в будущих версиях Adobe PDF функция Launch будет сохранена, но по умолчанию отключена. Сейчас на сайте Adobe размещены инструкции, которые помогут минимизировать вероятность атак.

Источник

Следующая главная новость »

В прямом эфире подведем итоги года для рынка информационных технологий. Присоединяйтесь! »

Татьяна Никитина 25 Декабря 2025 - 17:49

Android iOS Фишинг Мошенничество Онлайн-мошенничество Домашние пользователи

Мошенники предлагают таксистам прогу поиска мест с высоким спросом

Питерская киберполиция предупреждает таксистов и курьеров о новой уловке мошенников. Злоумышленники предлагают опробовать платное приложение, якобы отслеживающее спрос в разных районах, а затем крадут деньги со счета и оформляют займы.

Фейковый «радар коэффициентов» продвигают в мессенджерах. Заинтересовавшимся собеседникам предоставляют ссылку на левый сайт; установка мобильного приложения осуществляется вручную.

Активация проги требует ввода данных банковской карты — для оплаты «пробной подписки». Заполучив реквизиты, мошенники снимают деньги с карты жертвы и от ее имени оформляют микрозаймы и кредиты.

Во избежание неприятностей полиция советует придерживаться следующих правил:

устанавливать приложения не по ссылкам в чатах, а лишь из официальных источников (App Store, Google Play);
не вводить реквизиты карт в сомнительных приложениях, проводить платежи только через мобильный банк либо с помощью Apple Pay / Google Pay;
обращать внимание на запрашиваемые разрешения, они не должны выходить за рамки заявленной функциональности;
использовать антивирус, регулярно обновлять ОС и установленные программы;
новинки нужно обязательно обсуждать в сообществе, проверять отзывы, сайт и репутацию разработчика.

При обнаружении несанкционированных списаний со счета следует сразу уведомить об этом банк и заблокировать карту. Свидетельства мошенничества (скриншоты, ссылки, переписку) рекомендуется сохранить; также стоит предупредить коллег об угрозе.

В прямом эфире подведем итоги года для рынка информационных технологий. Присоединяйтесь! »