«Лавина», сошедшая со «скалы»

По оценке [PDF 673Кб] Антифишинговой рабочей группы (APWG), за четверть фишинговых атак, реализованных в первом полугодии, ответственна криминальная группировка Avalanche («Лавина»), заявившая о себе в конце прошлого года.

Агрессивность этих фишеров неуклонно возрастает. В качестве мишеней они избрали системы интернет-банкинга более 30 финансовых организаций, онлайн-сервисы и веб-сайты трудоустройства. Упомянутая группа оперирует вредоносными программами, контролирует ряд DNS-серверов и использует разветвленную сеть прокси-серверов на базе ПК конечных пользователей, IP-адреса которых постоянно меняются в соответствии с технологией динамической перерегистрации (fast-flux). Каждая атака направлена против одной-двух мишеней, причем злоумышленники нередко прибегают к повторным атакам. По свидетельству экспертов, по стилю организации и методам работы Avalanche сильно напоминает одиозную группировку Rock Phish.

Как правило, Avalanche единовременно обращается к услугам не более трех регистраторов или реселлеров и проверяет, заметят ли они, что имена доменов практически одинаковы (например, 11fjfhi.com, 11fjfhj.com, 11fjfh1.com и 11fjfhl.com). Если реакции не последовало, зарегистрированные домены используются для проведения атак; в противном случае фишеры ищут другие возможности.

Поскольку на каждом домене можно разместить до 30 уникальных страниц-ловушек, число доменов, использованных Avalanche в первом полугодии, было невелико — всего 8% от общего количества уличенных в фишинге. Пока участники группировки, в основном, размещают свои веб-страницы с вредоносным содержимым на специально зарегистрированных площадях. По оценке APWG, 43% доменов, созданных в отчетный период для проведения фишинговых атак, принадлежали Avalanche.

Однако многие регистраторы ведут оперативный обмен информацией и обращают особое внимание на ресурсы, зарегистрированные с нарушением стандартной процедуры — например, с помощью поддельной кредитки. В результате время жизни фишинговой страницы Avalanche невелико и в среднем составляет 18 часов 45 минут.

В начале своих гастролей в Сети злоумышленники активно регистрировались в зоне .org. Однако с начала года ее оператор приступил к реализации программы противодействия фишингу, и к середине мая Avalanche покинула пределы этой доменной зоны. Она обходит стороной регистраторов .info и .biz, проводящих жесткую антифишинговую политику, и предпочитает использовать более уязвимые зоны .eu и .be.