Найден способ захвата бот-сетей Zeus

Ксения Ренселаева 28 Сентября 2010 - 19:28

...

В серверном программном обеспечении Zeus обнаружена критическая уязвимость, с помощью которой можно захватить контроль над системой управления бот - сети.

На данный момент ZeuS является самым распространенным и популярным среди киберпреступников средством для создания и распространения различных версий троянцев, нацеленных на кражу данных. Более того, зараженные компьютеры формируются в сеть, управляемой злоумышленником. Количество подобных сетей исчисляется тысячами, а то и десятками тысяч.

Известный исследователь в области безопасности, Билли Риос, в процессе тестирования последней версии серверного программного обеспечения - C&C Zeus 1.3.2.1, обнаружил в ней критическую уязвимость. По его мнению, она присуща не только этой версии, но и более ранним, а так же будет прослеживаться и в последующих версиях Zeus.

Как сообщил Риос в своем блоге, при установке приложения, для неавторизованного пользователя предоставляется не так уж много возможностей: есть доступ к странице авторизации (необходимы логин и пароль) и доступ к странице - «шлюзу», через которую осуществляется связь с зараженными компьютерами. В частности, через нее загружаются украденные персональные данные и компьютер-зомби получает инструкции. Название этой страницы может изменяться, а информация, проходящая через нее, шифруется с помощью алгоритма RC4. Но, тем не менее, ключ можно достаточно легко извлечь из памяти инфицированного компьютера или дешифровав файл config.bin, который является частью бота.

В результате исследования, оказалось, что с помощью страницы - «шлюз», Zbot клиенты могут загрузить не только файл журнала (logfile) на сервер, но и любой вредоносный код.

Разработчики Zeus предусмотрели такой вариант атаки и внесли в черный список выполнения файлы с расширением PHP. Но, правда, как выяснилось, они не учли, что программы, разработанные на PHP, коим и является их система управления, по умолчанию могут исполнять файлы «.php.» (с точкой на конце). Более того, вредоносный «.php.» файл, может быть легко перенесен в корневую папку (webroot).

Как объяснил Риос, получив собственный исполняемый PHP эксплойт, работающий на C&C, пользователь может извлечь конфигурационный файл (config.php) и получить полный доступ к системе. Ведь в этом файле содержаться все данные, а именно, местоположение базы данных MySQL, логин и пароль к ней.

Таким образом, эта уязвимость дает возможность специалистам в области безопасности захватить управление бот-сетью и уведомить жертв атаки. Но здесь, уже действуют этические нормы.

В тоже время, это дает шанс киберпреступникам взламывать сети друг друга, что подвергает персональные данные большей угрозе, чем раньше.

Следующая главная новость »

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!

Екатерина Быстрова 07 Мая 2026 - 09:53

macOS Трояны Домашние пользователи

Под видом очистки macOS юзерам подсовывают команды для запуска инфостилеров

Microsoft описала новую волну ClickFix-атак, нацеленных на пользователей macOS. Злоумышленники публикуют фейковые инструкции по очистке диска, оптимизации хранилища и решению системных проблем. На деле эти советы сводятся к одному: убедить пользователя скопировать и вставить команду в Терминал.

После запуска такая команда не чинит систему, а скачивает и выполняет вредоносный скрипт.

В кампаниях используются инфостилеры Macsync, Shub Stealer и AMOS, перехватывающие пароли, данные iCloud, документы, содержимое связки ключей (Keychain), данные браузеров и криптокошельков.

Трюк работает за счёт социальной инженерии. Пользователь сам запускает команду, которая выглядит как лайфхак. Внутри она может быть закодирована в Base64, а затем через стандартные инструменты macOS — curl, base64, gunzip, osascript — загружает и выполняет удалённый код. При этом нет привычного установщика или приложения, которое можно было бы заметить в Finder.

Такой подход помогает обходить часть защитных механизмов macOS. Например, Gatekeeper обычно проверяет скачанные приложения, но здесь вредоносный код приходит через Терминал и запускается по инициативе самого пользователя.

Microsoft выделяет несколько вариантов кампании. В одном случае загрузчик на zsh проверяет систему, ищет признаки русской или СНГ-раскладки, а затем подтягивает AppleScript-инфостилер. Он собирает данные браузеров, Keychain, iCloud, документы и артефакты мессенджеров и криптокошельков, упаковывает их в архив и отправляет злоумышленникам.

В другом сценарии скрипт закрепляется в системе через LaunchAgent в ~/Library/LaunchAgent/, после чего пейлоад ищет активный C2-сервер и выполняет новые команды прямо в памяти. Ещё один вариант устанавливает вредоносный Mach-O-файл в /tmp, разворачивает скрытый бэкдор и LaunchDaemon, чтобы запускаться с повышенными правами после перезагрузки.

Особое внимание злоумышленники уделяют криптокошелькам. Вредоносные скрипты ищут Trezor Suite, Ledger, Exodus, Electrum и другие приложения. В некоторых случаях легитимные кошельки могут подменяться троянизированными версиями, внешне похожими на настоящие.

Для устойчивости вредоносные компоненты маскируются под обновления Google, например через поддельный GoogleUpdate и LaunchAgent с названием вроде com.google.keystone.agent.plist. Такой канал позволяет не только украсть данные сразу, но и сохранить удалённый доступ к системе.

Apple уже обновила сигнатуры XProtect, а начиная с macOS 26.4 добавила защиту от вставки подозрительных команд в Терминал.

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!