Вредонос GoScanSSH избегает заражения правительственных и военных сетей

Вредонос GoScanSSH избегает заражения правительственных и военных сетей

Эксперты Cisco Talos сообщили о вредоносной программе, получившей название GoScanSSH, этот зловред используется для компрометации серверов SSH, открытых для доступа из Сети. Злонамеренный код написан на языке программирования Go, что является не совсем обычной практикой.

Во вредоносе обнаружено несколько интересных функций, например, GoScanSSH старается не заражать правительственные и военные сети.

«Мы выявили новое семейство вредоносных программ, используемое для компрометации SSH-серверов. Мы назвали эту программу GoScanSSH», — пишут специалисты.

Злоумышленник создал уникальные бинарники для каждой зараженной системы. Как сообщает эксперты, командный центр использует прокси-сервер Tor2Web, благодаря чему гораздо сложнее отследить инфраструктуру C&C.

GoScanSSH совершала атаки типа брутфорс на общедоступные SSH-серверы. Киберпреступники использовали список, содержащий более 7 000 комбинаций имени пользователя и пароля. Если брутфорс-атака срабатывает, загружается уникальный вредоносный код, который выполняется на сервере.

В процессе сканирования уязвимых SSH-серверов GoScanSSH случайным образом генерирует IP-адреса, а затем сравнивает их со списком блоков CIDR в попытке избежать сканирования диапазонов, используемых различными правительственными и военными организациями. В частности, игнорируются диапазоны, принадлежащие Министерству обороны США.

Исследователи обнаружили более 70 уникальных образцов этой вредоносной программы.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Серия Долгая ночь Игры престолов стала самой популярной у преступников

«Лаборатория Касперского» представила результаты интересного исследования, касающегося заинтересованности киберпреступников в использовании темы сериала «Игра престолов». Напомним, что «Игра престолов» является одной из любимых тем злоумышленников, которые маскируют вредоносные программы под пиратские копии.

По словам исследователей «Лаборатории Касперского», сразу же после начала трансляции последнего сезона нашумевшего сериала был отмечен резкий рост активности киберпреступников.

На протяжении последних недель ежедневное число атак с использованием вредоносов, распространяемых под видом пиратских серий, в среднем составляло 300-400. После выхода каждой новой серии (в первые 3-4 дня) эта цифра увеличивалась втрое — приблизительно до 1200 атак.

Аналитики «Лаборатории Касперского» также выяснили, какая серия финального сезона «Игры престолов» стала самой популярной у мошенников. Оказалось, что такая честь досталась третьей серии — «Долгая ночь».

После ее выхода количество атак возросло до 3000.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru