Ботнет MayDay атакует корпоративные сети

Специалисты по сетевой безопасности выявили новый ботнет, специализирующийся на рассылке поддельных извещений о состоянии кредита, снабженных «троянскими» pdf-вложениями. Ботнет, получивший условное название MayDay, ориентирован на работу в условиях защищенных корпоративных сетей и использует для связи с командным сервером http-протокол.

Эксперты установили, что прикрепленный к спамовым письмам pdf-файл содержит программу-даунлоудер. Согласно классификации «Лаборатории Касперского», она является представителем семейства Backdoor.Win32.Mayday. После активации троянец посредством http-запросов через прокси-сервер устанавливает связь с командным сервером и загружает на компьютер жертвы другие программы, необходимые для ведения спам-рассылок и осуществления отчетности.

Эксперты установили также, что для поддержания связи между своими элементами в случае отключения командного сервера ботнет использует протоколы TCP и ICMP. В целях маскировки длительность сеансов связи зараженных машин с командным сервером ограничена. Адрес выявленного командного сервера принадлежит домену «.co.uk».

По оценке наблюдателей за деятельностью ботнетов из компании Damballa, размеры MayDay пока невелики. Ботнет составляют несколько тысяч инфицированных ПК, работающих преимущественно во внутренних сетях крупных бизнес-структур (включая компании, входящие в список Fortune 50), учебных заведений и ведущих интернет-провайдеров. 96,5% ресурсов MayDay расположены на территории США, 2,5% — в Канаде.

Тем не менее, специалисты по безопасности сходятся во мнении, что узкая специализация ботнета и применение технических средств камуфляжа создают предпосылки для его дальнейшей экспансии, а ущерб от его деятельности в Интернете может оказаться весьма значительным.

Источник: DARKREADING

Источник: TheRegister