Фишеры арендовали

В начале второй недели января эксперты по сетевой безопасности зафиксировали две последовательные атаки фишеров на клиентов систем интернет-банкинга Barclays и Halifax (отделения Bank of Scotland). Как удалось установить, созданные злоумышленниками для хищения банковских реквизитов веб-страницы были размещены на серверах «штормового» ботнета.

Первая фишинговая рассылка была произведена от имени службы технической поддержки Barclays Bank. Поддельные уведомления в типовой форме сообщали получателям о проведении штатной проверки клиентских аккаунтов и предлагали подтвердить персональные данные, пройдя по указанной в письме ссылке. Благодаря оперативности компании-регистратора фишерского домена, извещенной специалистами по информационной безопасности, данный сайт был быстро заблокирован.

На следующий день Fortinet и Marshal зафиксировали новую фишинговую рассылку — на сей раз от имени службы безопасности банка Halifax. Получатели этих фальшивых уведомлений извещались о попытке манипуляции их аккаунтом; далее следовала все та же просьба подтвердить персональные данные, кликнув по релевантной ссылке. Выяснилось, что вызываемая по этой ссылке поддельная страница регистрации в системе интернет-банкинга Halifax также была размещена на серверах «штормового» ботнета.

Исследователи Trend Micro обнаружили созданные фишерами для проведения данной атаки веб-сайты, отслеживая деятельность одиозной RBN. Несколько фишерских доменов удалось заблокировать, но IP-адрес подделанного ими сайта регистрации Halifax быстро менялся с помощью технологии «fast-flux DNS», используемой в сетях «штормового» ботнета. Тем не менее, браузеры Internet Explorer 7.0 и Firefox версии 2.0 определяли данную веб-страницу как фишинговую.

Специалисты по информационной безопасности полагают, что часть «штормового» ботнета была сдана в аренду фишерам, и предупреждают о возможности фишинговых атак, направленных на клиентов других банков.

Согласно экспертным оценкам, размеры «штормового» ботнета за последние 2-3 недели более чем удвоились; в настоящее время он насчитывает около 45000 боевых единиц. Причиной тому послужила хорошо подготовленная спам-кампания, развернутая операторами ботнета в минувший праздничный сезон, а также отсутствие релевантной политики и оперативности со стороны регистратора использованных для вредоносного хостинга доменов.

Источник: DARKREADING

Источник: NetWorkWorld