Новый бэкдор использует FTP-сервер в качестве командного центра

Новый бэкдор использует FTP-сервер в качестве командного центра

Новый бэкдор использует FTP-сервер в качестве командного центра

Специалисты Trend Micro столкнулись с ботнетом, использующим необычный вид соединения с командным центром (C&C) – FTP-сервер. Несмотря на то, что это наименее популярный способ, у него есть свои преимущества.

Основное преимущество заключается как раз в том, что благодаря тому, что командный FTP-сервер используется крайне редко, он может оставаться незамеченным для администраторов и исследователей.

Однако минус такого подхода кроется в открытом трафике, который можно легко проанализировать. Более того, благодаря ошибке в коде конкретно этого бэкдора, он не всегда выполняет правильные команды.

Схема заражения берет свое начало во вредоносном документе с макросами. В документах есть доказательства того, что атакуются Красный Крест и Всемирная организация здравоохранения. Также в этих документах упоминается Северная Корея. Trend Micro детектирует их как W2KM_SYSCON.A.

Каждый документ содержит две длинные строки с кодировкой Base64, этот же метод был использован для распространения семейства вредоносных программ Sanny в конце 2012 года.

«Сходства нового бэкдора с Sanny настолько очевидны, что мы полагаем, что за обеими этими вредоносными программами стоит одна и та же группа киберпреступников», - утверждают в Trend Micro.

Попав в систему, вредонос первым делом получает имя компьютера, которое затем используют в идентификаторе. Затем он подключается к FTP-серверу, используя данные, хранящиеся в конфигурационном файле.

Вышеупомянутая ошибка в коде бэкдора приводит к тому, что некоторые команды не выполняются из-за неверно обрабатываемых строк.

По мнению исследователей из Trend Micro, использование FTP-сервера злоумышленниками есть не что иное, как попытка обойти защитные меры. Следовательно, администраторы должны взять на заметку наличие такого способа.

В WhatsApp для Android тестируют пароль для защиты аккаунта

WhatsApp (принадлежит Meta, признанной экстремистской и запрещенной в России) готовится добавить ещё один уровень защиты аккаунтов. В бета-версии WhatsApp для Android 2.26.7.8, доступной через программу тестирования Google Play, обнаружили упоминания новой функции — отдельного пароля для учётной записи.

По данным WABetaInfo, мессенджер тестирует механизм, который позволит пользователям задать буквенно-цифровой пароль длиной от 6 до 20 символов. Обязательное условие — минимум одна буква и одна цифра.

В настройках можно будет создать, изменить или полностью удалить пароль. Также WhatsApp, как ожидается, будет показывать подсказки о надёжности комбинации.

 

Идея в том, чтобы усложнить перехват аккаунта. Даже если злоумышленник получит шестизначный код подтверждения (например, через сим-свопинг или в случае компрометации устройства), этого будет недостаточно. Для входа потребуется ещё и пароль аккаунта.

Сценарий входа будет зависеть от настроек безопасности. Если пользователь включил только пароль, после ввода 6-значного кода система запросит именно его. Если же активирована и двухэтапная проверка (2FA с ПИН-кодом), сначала придётся ввести 2FA-код, а затем — пароль аккаунта.

Сейчас WhatsApp уже позволяет включить двухэтапную проверку с ПИН-кодом и привязкой электронной почты для восстановления доступа. Новый пароль фактически станет дополнительным барьером поверх существующих механизмов.

Функция пока находится в разработке, но сам факт её появления в бета-версии говорит о том, что Meta (признана экстремистской и запрещена в России) серьёзно настроена усилить защиту от перехвата аккаунтов.

RSS: Новости на портале Anti-Malware.ru