Архив новостей

Citadel Tracking

С середины декабря эксперты Seculert насчитали свыше 20 бот-сетей, сформированных на основе Citadel и использующих 5 разных версий этого зловреда.

Напомним, что Citadel ― одна из новейших модификаций ZeuS, которые стали активно множиться после утечки исходного кода в Сеть. Его авторы позиционируют его на черном рынке как SaaS-продукт и в обеспечение развития своего open-source проекта создали мощную CRM-платформу, мобилизующую опыт и ресурсы нового киберсообщества.

Seculert удалось определить географический разброс нескольких ботнетов, в состав которых входят совокупно свыше 100 тыс. ПК, зараженных Citadel. Его жертвы ― жители Западной Европы, США, Австралии, России и Индии. Наибольшее число заражений обнаружено в Италии (24%) и США (19%), в 2-3 раза меньше ― в Австралии, Германии, Польше, Великобритании.

Зафиксированные версии Citadel различаются набором дополнительных модулей и опций, некоторые из них были предложены самими пользователями. Например, одна из версий имеет опцию шифрования конфигурационного файла и каналов C&C связи по AES, и клиенту предоставляется выбор: использовать этот стандарт или перешедший по наследству от «Зевса» RC4. Citadel обрел также средство защиты от сторонних глаз, отслеживающих вредоносную активность (Zeus Tracker, MalwareURL и т.п.). Загрузка обновлений и файлов конфигурации в пределах конкретного ботнета теперь осуществляется с использованием особого ключа.

Ресурсы поставщиков антивирусов и других защитных решений занесены в список запрещенных; эта опция позволяет Citadel блокировать загрузку новых средств обеспечения безопасности и обновлений для тех, что уже установлены. Модуль видеозаписи действий пользователя, отображаемых на экране, тоже предоставляется как опция. Он использует mkv-кодек и активируется при заходе жертвы на определенные сайты, но видеозаписи требуют больших объемов памяти на C&C сервере.

Citadel Tracking

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Microcin снова в деле

В феврале 2020 года мы обнаружили троянца на ПК дипломатической организации. Мы с высокой степенью уверенности приписываем эту кампанию группе SixLittleMonkeys (также известной как Microcin).

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике