Эксперты Symantec вышли на хакера, стоящего за бэкдором Bachosens

Эксперты Symantec вышли на хакера, стоящего за бэкдором Bachosens

Symantec отслеживает действия хакера, который, по-видимому, разработал сложную вредоносную программу. Несмотря на то, что злоумышленник пытался скрыть свою личность, исследователи считают, что ему это не до конца удалось.

В 2014 году компания обнаружила вредоносную программу, которая получила имя Bachosens, но есть доказательства того, что разработчик этого вредоноса ведет свою активность с начала 2009 года. Symantec первоначально считала, что атаки, связанные с Bachosens, были проведены некой государственной структурой, учитывая сложность этого зловреда, однако дальнейший анализ выявил некоторые ошибки.

Bachosens, который, как полагают эксперты, распространялся через фишинговые письма, представляет собой бэкдор, обеспечивающий постоянный доступ хакера к зараженной системе. В анализируемых атаках Symantec также обнаружила кейлоггер, который, по мнению исследователей, был запущен вручную злоумышленником на зараженном устройстве.

В отличие от многих других бэкдоров, которые используют HTTP или HTTPS для связи с командными серверами (C&C), Bachosens делает это через DNS, ICMP и HTTP. Вредоносная программа использует алгоритм генерации доменов (DGA) для создания центров управления, экспертам удалось определить, что DGA настроен на создание только 13 доменов в год.

Несмотря на то, что Bachosens является довольно сложным зловредом, исследователи отметили, что кейлоггер не использовал какой-либо обфускации. А тот факт, что один из образцов вредоносной программы распространялся вместе с онлайн-игрой, убедил экспертов в том, что за этими атаками на стоит какая-либо серьезная структура.

Более тщательный анализ вредоноса и данных регистрации доменных имен указал экспертам на русскоязычного человека, который, по-видимому, проживает в городе Тирасполь в восточной Молдове.

По мнению исследователей, хакера зовут Игорь, он связан с магазином автозапчастей. Также эксперты уточнили, что этот хакер опубликовал персональную информацию на форумах для автолюбителей, таким образом раскрыв себя.

«Те данные, что злоумышленник раскрыл о себе в интернете, указывают на то, что он является лицом, занимающимся автомобильной промышленностью» - пишет Symantec в блоге.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Firefox будет очищать рекламные cookies каждые 24 часа

С выпуском Firefox 79 Mozilla тайком внедрила новую функцию в механизм защиты от отслеживания пользователей в Сети. Теперь браузер, релиз последней версии которого состоялся на прошлой неделе, блокирует трекинг с помощью редиректа.

Различным рекламным компаниям и веб-аналитикам недавно пришлось искать новые методы отслеживания пользователей, поскольку разработчики браузеров Firefox, Chrome и Brave всячески борются с трекерами и скриптами для снятия цифрового отпечатка.

После того как интернет-обозреватели запретили использование сторонних файлов cookies, кому-то из рекламодателей пришла гениальная идея, суть которой заключалась в использовании редиректа.

Таким образом, когда пользователь взаимодействовал с каким-либо сайтом, рекламные компании сначала перенаправляли его на свои домены, где устанавливали cookies отслеживания от первого лица, а уже потом пользователя благополучно редиректили на запрашиваемую страницу.

Mozilla, посмотрев на такое поведение, решила серьёзно усложнить задачу рекламодателям. По словам разработчиков, Firefox будет очищать cookies даже от первой стороны каждые 24 часа.

Это значит, что ежедневно у пользователя будет новая личность для рекламодателя. То есть его действия не получится связать с предыдущей активностью, так как профиль будет уникален.

Тем не менее в Mozilla подчеркнули, что не всегда уместно очищать cookies, поскольку в некоторых случаях это может привести к выходу из учётных записей (например, социальных сетей и других онлайн-площадок).

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru