Бот-трафик на турсайтах вырос в 2,5 раза во время майских праздников

Бот-трафик на турсайтах вырос в 2,5 раза во время майских праздников

Бот-трафик на турсайтах вырос в 2,5 раза во время майских праздников

С 1 по 10 мая 2025 года объем бот-трафика, зафиксированного на сайтах туроператоров и онлайн-сервисах бронирования билетов и отелей, увеличился в 2,5 раза по сравнению с аналогичным периодом прошлого года.

Об этом сообщают аналитики компании StormWall, специализирующейся на защите от DDoS-атак.

По данным специалистов, всплеск активности связан с действиями киберпреступников, которые использовали ботов для различных схем — от парсинга и тестирования платежных карт до рассылки СМС и захвата учетных записей. Кроме того, зафиксированы случаи DDoS-атак на ресурсы туристических компаний.

Для атак злоумышленники использовали ботнет численностью около 300 тысяч заражённых устройств. Средняя мощность зафиксированных атак составила 2,3 Гбит/с, при этом пиковая мощность достигала 800 Гбит/с. Атаки охватили сайты туристических организаций в разных регионах России.

Несмотря на масштаб и интенсивность атак, большинство организаций оказались подготовлены к ним — серьезного ущерба инфраструктурам нанесено не было. Тем не менее, сайты отдельных региональных операторов временно прекращали работу.

Аналитики отмечают, что проблема бот-трафика в России продолжает набирать актуальность. В 2024 году его объем вырос на 86% по сравнению с 2023 годом, а в первом квартале 2025 года — на 92% относительно аналогичного периода прошлого года. Учитывая текущие тенденции, во втором квартале также ожидается дальнейший рост вредоносной активности в интернете.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru