Архив новостей

Два миллиона высокопоставленных зомби

Исследователи компании Finjan обнаружили ботнет из 1,9 миллиона зараженных ПК, многие из которых работают в сетях американских и английских правительственных учреждений, крупнейших корпораций и университетов.

Данные, найденные на управляющем сервере ботнета, который находится на территории Украины, свидетельствуют, что он функционирует с февраля 2009 года. Шестеро совладельцев ботнета, используя широкую сеть партнерских программ, сдавали его в аренду через подпольные онлайн-форумы, взимая в среднем 100 долларов за 1000 зомби-машин.

Программа удаленного администрирования, используемая злоумышленниками, автоматически загружается на компьютер жертвы троянцем-даунлоудером при посещении зараженных веб-сайтов. Она эксплуатирует уязвимости браузеров Internet Explorer и Firefox, а также формата pdf. По данным Finjan, в настоящее время ее детектируют только 4 из 39 современных антивирусных продуктов.

Приложение, управляющее инфицированными ПК, позволяет реализовать множество функций, в том числе загрузку и исполнение программ копирования файлов, регистрации нажатий клавиш, рассылки спама.

Как выяснилось, большая часть приобщенных к новому ботнету компьютеров оснащена ОС Windows XP. По оценке экспертов, 45% зараженных машин находится на территории США, 6% — в Великобритании, немногим меньше – в Канаде, Германии и Франции. Многие из них привязаны к 77 доменам в зоне .gov, а в Великобритании новоявленной инфекцией поражены более 500 корпоративных сетей.

Найденную информацию Finjan передала правоохранительным органам США и Великобритании, уведомив о заражениях заинтересованные ведомства и бизнес-структуры. В настоящее время командный сервер обнаруженного ботнета отключен.
ФБР и лондонская полиция разыскивают его владельцев, чтобы предотвратить перенос управляющих функций ботнета на другой веб-хостинг.

Два миллиона высокопоставленных зомби

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Не только стилер: бэкдор Gopuram распространялся посредством атаки на цепочку поставок 3CX

В ходе изучения атаки 3CX на одном из компьютеров мы обнаружили файл guard64.dll. Библиотека с таким же именем использовалась в недавних развертываниях бэкдора, который мы назвали Gopuram и отслеживаем с 2020 года.

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике