Новый ботнет Masuta использует уязвимость D-Link

Олег Иванов 24 Января 2018 - 09:35

...

Новый ботнет Masuta использует уязвимость D-Link

Исследователи в области безопасности полагают, что автор ботнета Satori снова взялся за дело, на этот раз атакуя маршрутизаторы для создания ботнета, получившего название Masuta.

Согласно анализу NewSky, есть два варианта этой атаки. Первый вариант, получивший имя Masuta, опирается на стандартный поиск IoT-устройств с учетными данными по умолчанию. Второй вариант, названный PureMasuta, эксплуатирует старую ошибку сетевого администрирования.

Эта ошибка была обнаружена еще в 2015 году Крейгом Хеффнером в протоколе администрирования домашней сети D-Link.

«Используемая вредоносом уязвимость позволяет обойти проверку подлинности, используя специально созданный SOAP-запрос — hxxp://purenetworks.com/HNAP1/GetDeviceSettings. Кроме того, возможно выполнение системных команд (приводящих к произвольному выполнению кода) из-за неправильной обработки строк. Следовательно, можно сформировать запрос SOAP, который сначала обходит аутентификацию, а затем вызывает произвольное выполнение кода», — пишет команда NewSky.

Если у вас есть уязвимое устройство — например, AC300 от D-Link, убедитесь, что на нем установлена прошивка новее чем 2015 года.

В декабре мы писали, что маршрутизаторы Huawei используются для создания ботнета OKIRU/SATORI. А в январе стало известно, что ботнет Satori теперь атакует устройства для майнинга Ethereum.

Следующая главная новость »

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »

Екатерина Быстрова 11 Февраля 2026 - 09:03

Трояны Домашние пользователи

Троянская версия 7-Zip превращает компьютеры в прокси-узлы

Исследователи из Malwarebytes обнаружили вредоносную версию популярного архиватора 7-Zip, которая распространяется через поддельный сайт 7zip[.]com. Вместо обычной установки программы пользователи получают скрытый пейлоад: заражённый компьютер начинает работать как узел резидентского прокси.

Поводом для расследования стал пост на Reddit, где пользователь пожаловался на заражение после скачивания 7-Zip не с официального сайта 7-zip.org, а с похожего домена.

Выяснилось, что вредоносный установщик действительно инсталлирует рабочую версию архиватора, но параллельно загружает дополнительные компоненты.

Основная задача зловреда — использовать устройство жертвы как прокси-сервер. Это позволяет третьим лицам направлять интернет-трафик через IP-адрес пользователя. Фактически компьютер становится частью чужой инфраструктуры, а владелец может даже не подозревать об этом.

Вредоносная программа также применяет методы сокрытия от анализа: проверяет среду запуска на признаки виртуальных машин и инструментов мониторинга, прежде чем активироваться.

По словам менеджера по исследованиям и реагированию Malwarebytes Стефана Дасича, любой компьютер, на котором запускался установщик с 7zip[.]com, следует считать скомпрометированным.

Интересно, что жертва попала на поддельный сайт после перехода по ссылке из комментариев к ролику на YouTube. В Malwarebytes отмечают, что такие мелкие ошибки — например, указание неправильного домена в обучающем видео — могут использоваться злоумышленниками для массового перенаправления пользователей на вредоносную инфраструктуру.

Эксперты советуют скачивать программы только с официальных сайтов и сохранять проверенные адреса в закладках. Также стоит насторожиться, если установщик подписан непривычным сертификатом или ведёт себя нетипично.

Кроме того, исследователи связали эту кампанию с более широкой схемой распространения proxyware — в найденных файлах упоминались Hola, TikTok, WhatsApp (принадлежит Meta, признанной экстремистской и запрещенной в России) и Wire. Это может указывать на использование заражённых устройств в более крупной сети прокси-инфраструктуры.

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »