Около 40% мирового спама рассылается из сети Rustock

Около 40% мирового спама рассылается из сети Rustock

...

Согласно последним статистически данным подразделения MessageLabs компании Symantec, более 40% мирового спама рассылается всего из одной бот-сети. В отчете говорится, что бот-сеть Rustock, где в апреле этого года насчитывалось около 2,5 млн инфицированных компьютеров, сейчас распространяет около 43 млрд спамовых писем ежедневно. Большая часть спама - это фармацевтическая реклама.



По расчетам Symantec, сейчас Rustock насчитывает около 1,3 млн инфицированных компьютеров, что говорит о почти двукратном уменьшении числа компьютеров-зомби. Несмотря на это, сама сеть увеличила свою активность, говорит Пол Вудс, аналитик MessageLabs.

Значительная часть компьютеров, входящих в Rustock, являются машинами, расположенными в Северной Америке и Западной Европе. Вудс говорит, что двукратное снижение размеров Rustock можно объяснить различными факторами, например тем, что антивирусы, установленные на компьютерах пользователей, научились лучше обнаруживать троянские программы, используемые операторами Rustock.

Помимо этого, Rustock перестала использовать протокол шифрования TLS (Transport Layer Security), используемый для защиты почтовых сообщений. При помощи TLS значительно сложнее анализировать email-трафик, в то же время использование этого протокола требует дополнительных вычислительных ресурсов.

Источник

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В ExpressVPN для Windows устранили уязвимость слива IP за считаные дни

ИБ-команда ExpressVPN опубликовала информацию об уязвимости, закрытой в Windows-клиенте версии 12. Возможность раскрытия IP-адреса пользователя возникает при установке RDP-соединения на порту 3389.

Уведомление о найденной уязвимости было подано 25 апреля в рамках программы bug bounty, запущенной для ExpressVPN. К 30 апреля вышла сборка 12.101.0.45 с исправлениями; фикс разошелся по всем каналам распределения, получил одобрение автора находки, и к концу июня тикет был официально закрыт.

В появлении проблемы был повинен отладочный код, по недосмотру оставшийся в промышленных сборках VPN-клиента для Windows с 12.97 по 12.101.0.2-beta. Из-за этого трафик на порту 3389/TCP (его также использует RDP) не попадал в VPN-туннель с предусмотренным шифрованием.

В итоге IP юзера ExpressVPN и факт RDP-подключения к конкретному серверу могли быть слиты интернет-провайдерам и другим обитателям сети. История посещения сайтов при этом не раскрывалась, компрометация шифрования трафика тоже была невозможна.

Эксплойт уязвимости возможен лишь в том случае, когда автор атаки о ней знает и удастся спровоцировать трафик на порту 3389 — к примеру, заставить намеченную жертву зайти на вредоносный сайт из-под VPN.

Данная угроза актуальна для организаций: RDP в основном используется в корпоративном окружении.

Полтора года назад в ExpressVPN была устранена другая уязвимость раскрытия информации. Реализация функции раздельного туннелирования привнесла баг, из-за которого на сторону сливались DNS-запросы пользователей и, как следствие, история посещения веб-ресурсов.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru