Исследователи в области безопасности из ESET предупреждают о появлении новой вредоносной программы для встроенных систем Linux. По словам экспертов, новый вредонос может предоставить злоумышленникам полный контроль над зараженным устройством.
Получившая название Rakos, новая вредоносная программа атакует уязвимые устройства с помощью брутфорс (brute force), пытаясь подобрать данные войти в систему по SSH, этот метод уже наблюдался ранее в других Linux-вредоносах. Конечной целью Rakos является создание большого ботнета.
Метод атаки очень схож с тем, что использовал Mirai – троян ищет слабозащищенные устройства, заражает их и затем использует для дальнейшего распространения. По данным компании , новая угроза начинает сканирование с небольшого списка IP-адресов, но затем постепенно расширяет его.
Rakos написан на языке Go и его файл сжат инструментом UPX. Троян загружает свою конфигурацию с помощью стандартного ввода (stdin) в формате YAML. Этот файл конфигурации включает в себя различную информацию: список команд, поступающих с сервера (C & C), учетные данные, которые используются для подбора данных доступа к устройству, а также внутренние параметры.
Затем вредоносная программа запускает локальный сервер HTTP, который пытается парсить URL-запрос на предмет различных параметров. В дополнение, троян создает веб-сервер, слушающий случайно выбранный TCP-порт (в диапазоне от 20000 до 60000).
Исследователи объясняют, что когда на этот порт приходит удаленный запрос, в ответ приходит IP-адрес. Вредоносная программа также посылает в командный центр HTTP- запрос, содержащий важную информацию об устройстве жертвы.
При анализе возможностей бэкдора, исследователи безопасности обнаружили, что он также способен обновлять конфигурационный файл, а также модернизировать себя. Кроме того, поскольку он посылает такую информацию, как IP-адрес устройства, имя пользователя и пароль, он обеспечивает злоумышленнику полный контроль над зараженным устройством.
Исследователи полагают, что вскоре ботнет может обзавестись функционалом, позволяющим проводить DDoS-атаки и распространять спам, учитывая тот уровень контроля над устройствами, который он предоставляет злоумышленнику.
Телефонные мошенники развернули масштабную кампанию по сбору персональных данных, прикрываясь оформлением «пропусков» в военкоматы. Злоумышленники требуют сообщить номера паспорта и СНИЛС, представляясь сотрудниками военкоматов и настаивая на личной явке под предлогом «оцифровки данных».
О новой схеме сообщил ТАСС со ссылкой на МВД. В ходе разговора мошенник утверждает, что не может направить повестку стандартным способом, и предлагает срочно оформить пропуск.
Для этого он запрашивает номера паспорта и СНИЛС. Сразу после получения данных разговор, как правило, обрывается.
В МВД напомнили, что официальные ведомства и государственные организации никогда не требуют сообщать реквизиты документов по телефону. В ведомстве рекомендуют отслеживать информацию через портал «Госуслуги» либо обращаться в военкомат самостоятельно.
Номера документов остаются востребованным товаром на теневом рынке: они используются в различных мошеннических схемах и кибератаках, а также перепродаются третьим лицам.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
