Microsoft обезвредила командную инфраструктуру трояна Zloader

Татьяна Никитина 14 Апреля 2022 - 17:08

...

Microsoft обезвредила командную инфраструктуру трояна Zloader

Получив разрешение суда, специалисты Microsoft захватили контроль над 65 доменами, которые использовались для управления ботнетом Zloader. Выявить их удалось совместными усилиями рабочей группы, в которую также вошли эксперты ESET, Black Lotus Labs (в составе Lumen), Avast и подразделения Unit 42 ИБ-компании Palo Alto Networks.

Теперь при поиске C2 по вшитому в код адресу запросы резидентных ботов перенаправляются на подставной сервер Microsoft (sinkhole). Судебный ордер также позволяет обезвредить еще 319 доменов, зарегистрированных ботоводами. Эти имена сгенерированы по DGA (вредонос использует такой механизм в качестве резервного), и рабочая группа уже принимает меры по блокировке аналогичных регистраций в будущем.

В заявлении ESET по этому поводу говорится о трех ботнетах Zloader: эксперты различают их по используемой версии зловреда. Заражения зафиксированы по всему миру, с наибольшей концентрацией в Северной Америке, Японии и Западной Европе.

В ходе расследования удалось также идентифицировать создателя компонента вредоносной программы, используемого для загрузки на ботнет шифровальщиков; умельцем оказался Денис Маликов из Симферополя.

По словам Microsoft, целью предпринятых усилий являлась деактивация C2-инфраструктуры Zloader. Противник, конечно, постарается восстановить связь с потерянными ботами, но правоохранительные органы уже поставлены в известность и будут начеку, а ИБ-эксперты продолжат следить за развитием событий на этом фронте.

Модульный троян Zloader впервые появился на интернет-арене в 2007 году и вначале использовался только для кражи финансовой информации у владельцев Windows-машин. Со временем он научился также воровать и другие данные (из браузеров, Microsoft Outlook), регистрировать клавиатурный ввод, делать скриншоты, уклоняться от детектирования и загружать других зловредов, в том числе шифровальщиков.

Владельцы Zloader стали сдавать свой ботнет в аренду, взимая плату за доступ к зараженным компьютерам по модели MaaS (Malware-as-a-Service, вредонос как услуга). По данным Microsoft, этим удобством в свое пользовались криминальные группы, стоявшие за Ryuk, DarkSide и BlackMatter. Распространяется MaaS-зловред различными способами, но чаще всего через спам или вредоносную рекламу в поисковой выдаче.

С прошлого года популярность Zloader как загрузчика пошла на спад, и сейчас его используют, по словам ESET, только две кибергруппы. Однако расслабляться пока рано: эксперты обнаружили в дикой природе новую версию трояна — 2.0 (образцы тестовые, скомпилированы в июле прошлого года).

Следующая главная новость »

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Екатерина Быстрова 19 Января 2026 - 09:32

Уязвимости программ Домашние пользователи Корпорации

Xiaomi Redmi Buds можно взломать по Bluetooth без сопряжения и доступа

У владельцев Xiaomi Redmi Buds появился неприятный повод насторожиться. В популярной линейке беспроводных наушников нашли две критические уязвимости, которые позволяют атаковать устройство по Bluetooth — без сопряжения, подтверждений и вообще какого-либо участия пользователя.

О находке рассказали специалисты CERT/CC. Под удар попали модели Redmi Buds от 3 Pro до 6 Pro. Атака возможна, если злоумышленник находится в радиусе действия Bluetooth — примерно до 20 метров.

Самая опасная уязвимость получила идентификатор CVE-2025-13834. Исследователи прямо сравнивают её с легендарным багом Heartbleed, который когда-то потряс весь интернет.

Суть проблемы в том, что прошивка наушников не проверяет длину входящих данных. Если отправить специально сформированную команду RFCOMM TEST с «раздутым» размером, но пустой нагрузкой, устройство доверчиво отвечает кусочком своей памяти.

И это не абстрактные байты. За один запрос атакующий может получить до 127 байт конфиденциальных данных — например, номер телефона собеседника во время активного звонка. Команду можно повторять снова и снова, тихо вытаскивая данные из памяти, пока пользователь даже не подозревает, что происходит что-то странное.

Вторая уязвимость, CVE-2025-13328, бьёт уже не по конфиденциальности, а по работоспособности. Здесь всё проще и грубее: если засыпать наушники большим количеством команд, их очередь обработки переполняется, ресурсы заканчиваются — и прошивка падает.

Соединение обрывается, наушники перестают отвечать, а оживить их можно только физически, убрав в зарядный кейс и достав обратно. Причём атака работает сразу по нескольким каналам, включая стандартный Hands-Free Profile (HFP) и некий вспомогательный сервис Airoha, который, судя по всему, вообще не предназначался для внешнего использования.

Чтобы провернуть атаку, не нужно ничего подтверждать и ни с кем соединяться. Достаточно узнать MAC-адрес наушников — а это легко делается обычными инструментами для Bluetooth-сканирования.

В тестах исследователей атаки успешно проводились с расстояния около 20 метров. Стены и помехи могут сократить дальность, но в общественных местах этого более чем достаточно.

На момент публикации официального патча нет. В отчёте прямо указано, что получить комментарий от Xiaomi о сроках устранения уязвимостей не удалось.

До выхода патча рекомендация предельно простая и не слишком удобная: отключать Bluetooth, когда наушники не используются, особенно в людных местах — транспорте, офисах, кафе и аэропортах.

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »