Троян Vidar меняет IP-адреса и начал использовать Tor-релеи

Троян Vidar меняет IP-адреса и начал использовать Tor-релеи

Троян Vidar меняет IP-адреса и начал использовать Tor-релеи

Киберпреступники, стоящие за Vidar, продолжают вносить изменения в бэкенд-инфраструктуру, стремясь сократить свой след в Сети. Меняя хостинг, владельцы инфостилера, по данным Team Cymru, отдают предпочтение провайдерам Молдавии и России.

В начале года исследователи заметили, что операторы криминального сервиса на основе трояна разделили свою инфраструктуру на две части: одну выделили постоянным клиентам, другую оставили для собственных нужд и, возможно, для VIP-персон.

Основным доменом во всех операциях Vidar является my-odin[.]com; он используется и для размещения панелей управления, и для аутентификации аффилиатов, и для расшаривания файлов. До недавнего времени файлы с сайта можно было загружать без авторизации, а теперь, по словам экспертов, пользователя перенаправляют на страницу входа.

Сервер, на котором размещен этот сайт, за три месяца трижды сменился. Вначале домен разрешался в IP 186.2.166[.]15, затем в 5.252.179[.]201, а в конце марта — уже в 5.252.176[.]49.

Примерно в то же время был реализован доступ к my-odin[.]com через VPN. На 5.252.176[.]49 были также зафиксированы исходящие соединения с легитимным сайтом blonk[.]co и хостом, расположенным в России (185.173.93[.]98:443).

К началу мая у головного сайта Vidar появился новый IP-адрес — 185.229.64[.]137, а операторы трояна получили возможность доступа к аккаунтам и репозиториям через Tor-релеи.

 

Коммерческий инфостилер Vidar активен в интернете с 2018 года и предоставляется в пользование как услуга (Malware-as-a-Service, MaaS). Зловред обычно распространяется через спам-рассылки и сайты, рекламирующие пиратский софт. Злоумышленники также могут с этой целью использовать Google Ads или программы-загрузчики вроде Bumblebee.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Вишинг-атака помогла похитить данные клиентов Cisco

Как сообщила Cisco, злоумышленник смог обманом получить доступ к данным пользователей Cisco.com. Всё произошло после фишингового звонка (так называемый «вишинг» — когда атакуют через голосовую связь), во время которого киберпреступник притворился сотрудником и убедил представителя Cisco выдать ему доступ.

Инцидент обнаружили 24 июля. Киберпреступник получил и выгрузил часть данных из облачной CRM-системы, с которой Cisco работает через стороннего подрядчика.

Утекла базовая информация о клиентах: имена, названия компаний, адреса, имейлы, телефоны, ID пользователей, а также технические детали вроде даты создания аккаунта.

Сколько всего пользователей пострадало — в Cisco не говорят. Представитель компании отказался уточнить масштабы утечки.

Судя по всему, это не первый случай взлома через такие CRM-платформы. Ранее сообщалось о похожих инцидентах у Allianz Life, Tiffany & Co., Qantas и других компаний, данные которых хранились в системах Salesforce. Известно, что Cisco тоже является клиентом Salesforce.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru