Архив

Конкурент

По оценке компании Damballa, ботнет Kraken, первоначально названный исследователями «Mayday» («SOS») за многообещающий потенциал, в настоящее время насчитывает свыше 400000 инфицированных машин и к середине апреля пополнит свои ряды еще 200000 жертвами.

Специалисты Damballa впервые зафиксировали результаты деятельности операторов нового ботнета еще в конце 2006 года, но с уверенностью установить его уникальность смогли только в этом году. Долгое время исследователи не исключали возможность, что он является одним из сегментов «штормового» ботнета. Последний, по их предположениям, в настоящее время объединяет около 200000 зомби-компьютеров (по другим оценкам – 85000).

Метод инфицирования, применяемый операторами ботнета Kraken, до конца не выяснен. Предполагается, что заражение происходит при открытии вложения в спамовое письмо, замаскированного под файл изображения (с такими расширениями, как «.jpeg» или «.png»). Вместо указанного изображения на машину жертвы загружается исполняемый файл, классифицируемый в «Лаборатории Касперского» как Virus.DOS.I13.Kraken и Virus.Unix.Kraken. В настоящее время он детектируется только 20% антивирусных программ.

По данным исследователей, создатели Kraken предусмотрели возможность изменения структуры кода, что затрудняет работу статических анализаторов и детекторов сигнатур. После активации вредоносная программа копирует себя на жесткий диск компьютера жертвы в несколько измененном формате – на случай обнаружения оригинала антивирусными средствами. В качестве дополнительной меры защиты резидентная программа периодически обращается к командному серверу за обновлениями. Эксперты Damballa отмечают большое количество вариантов Kraken и высокую скорость их обновления.

Внутренний трафик ботнета шифруется, для передачи управляющих команд используется специальный протокол, работающий поверх UDP и TCP. При выходе из строя командного сервера его функции автоматически переносятся на другой узел внутри ботнета в соответствии с жестко заданным алгоритмом. По данным Damballa, основные командные серверы Kraken находятся на территории Франции, России и США. В настоящее время в состав данного ботнета входят не менее 50 компьютеров, принадлежащих компаниям из списка «Fortune 500», сети которых оборудованы новейшими антивирусными средствами.

Основной деятельностью операторов ботнета Kraken пока является рассылка спам-рекламы займов и ссуд на выгодных условиях, медицинских препаратов для сильной половины интернет-сообщества, поддельных часов и онлайн-казино. Специалисты Damballa отмечают высокую производительность используемых ботнетом программ для рассылки спама, которая может составлять 500000 писем в сутки. Однако они не исключают возможность использования ботнета для выполнения и других криминальных задач.

Источник: www.darkreading.com

Источник: searchsecurity.techtarget.com

Источник: www.theregister.co.uk

Конкурент

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике