VPNFilter недооценивали — обнаружены 7 новых модулей вредоноса

VPNFilter недооценивали — обнаружены 7 новых модулей вредоноса

VPNFilter недооценивали — обнаружены 7 новых модулей вредоноса

Исследователи Cisco Talos раскрыли больше подробностей относительно печально известного вредоноса VPNFilter. В ходе исследований специалисты обнаружили семь дополнительных вредоносных модулей, которые могли быть использованы для атак на сетевые маршрутизаторы. С их помощью злоумышленники могли красть данные и создавать скрытую сеть для управления и запуска последующих атак.

Судя по всему, VPNFilter изначально был разработан для целевых атак на Украину в годовщину кибернападения другого знаменитого зловреда — NotPetya. Однако киберпреступники планировали использовать VPNFilter в долгосрочной перспективе.

Возможно, обнаружение вредоносной программы экспертами помешало киберпреступникам осуществить свой изначально план. Однако в Сети все еще присутствуют тысячи маршрутизаторов, уязвимых для VPNFilter. Например, роутеры компании Mikrotik.

Последнее исследование Cisco Talos доказывает, что опасность в их случае никуда не делась. Пользователям надо быть начеку и устанавливать все выходящие обновления безопасности.

Из-за той опасности, которая угрожает пользователям Mikrotik, Cisco опубликовала инструмент под названием Winbon Protocol Dissector, который может использоваться для детектирования вредоносной активности в маршрутизаторах этой компании.

Согласно экспертам, вот эти семь новых модулей VPNFilter, ранее не обнаруженных исследователями:

  • «htpx» — модуль, перенаправляющий и проверяющий содержимое незашифрованного веб-трафика, который проходит через скомпрометированные устройства.
  • «ndbr» — многофункциональная SSH-утилита, которая предоставляет удаленный доступ к устройству. С ее помощью можно передавать файлы по протоколу SCP. Также этот модуль может запускать утилиту сканирования сетевых портов nmap.
  • «nm» — модуль, предназначенный для маппинга сети. С его помощью злоумышленники проводят разведывательные операции.
  • «netfilter» — утилита управления фаерволом, она может использоваться для блокировки ряда сетевых адресов.
  • «portforwarding» — модуль, который позволяет перенаправлять сетевой трафик с устройства в сеть, указанную злоумышленником.
  • «socks5proxy» — модуль, превращающий скомпрометированное устройство в прокси-сервер. Он четко настроен на прослушивание порта 5380. В реализации этого модуля было допущено несколько ошибок.
  • «tcpvpn» — этот модуль позволяет атакующим создать Reverse-TCP VPN на взломанных устройствах. Таким образом киберпреступники подключают их для экспорта данных и удаленного управления.

Напомним, что в мае ФБР рассказало пользователям, что нужно предпринять в случае заражения маршрутизаторов нашумевшим в последнее время вредносом VPNFilter. Оказывается, нужно всего лишь перезагрузить затронутые роутеры. Напомним, что VPNFilter связывают с группировкой Fancy Bear, которая, как многие предполагают, спонсируется Кремлем.

А в июне стало известно, что VPNFilter может также заражать маршрутизаторы от ASUS, D-Link, Huawei, Ubiquiti, UPVEL и ZTE.

Купоны на топливо оказались приманкой: мошенники собирают данные водителей

Топливная тема снова стала приманкой для мошенников. Эксперты «Лаборатории Касперского» зафиксировали новую волну почтовых рассылок, в которых пользователям обещают купоны на топливо и участие в программах лояльности АЗС.

Только с 30 июня по 1 июля 2026 года специалисты обнаружили более 3 тыс. таких писем.

Пользователю приходит письмо с предложением зарегистрировать купон на топливо. Для этого нужно перейти на сайт и заполнить анкету. На фейковом ресурсе обещают бесплатное оформление, доступ к топливу на АЗС по всей России и быструю подачу заявки. Конечно, всё срочно, выгодно и только сегодня.

Но вместо купона пользователь отдаёт мошенникам свои данные. Причём теперь злоумышленников интересуют не только имя и номер телефона. В анкетах также просят указать марку и модель автомобиля, госномер, предпочитаемый тип топлива и регион использования машины.

По мнению экспертов, такие данные могут использоваться как заготовка для более убедительной атаки. Например, после заполнения анкеты мошенники могут позвонить жертве уже от имени программы лояльности или представителя АЗС. Дальше сценарий может быть любым: эксклюзивная топливная карта, предоплата за бронирование топлива, заправка вне очереди или другая красивая легенда, которая в итоге ведёт к хищению денег.

Для убедительности фейковые сайты копируют элементы настоящих сервисов: фирменное оформление, карты АЗС, личный кабинет, горячую линию и описание преимуществ программы. Всё это бутафория. Дополнительно давят на срочность: количество купонов якобы ограничено, а топливо нужного класса вот-вот закончится.

В «Лаборатории Касперского» напоминают: если за купон, ваучер или льготу просят ввести личные данные, данные машины или заранее перевести деньги — это красный флаг. Проверять нужно адрес сайта, источник письма и не переходить по сомнительным ссылкам.

Ранее специалисты уже фиксировали похожие топливные схемы: фейковые ваучеры на 100 литров топлива и вредоносные Android-приложения под видом сервисов поиска топлива.

Кроме того, на днях Минэнерго заявило о риске сбора данных на сайтах и в сервисах, которые показывают наличие топлива на заправках.

RSS: Новости на портале Anti-Malware.ru