Архив

Mega-D — родственник

По данным компании Marshal, около 32% всего спама в настоящее время рассылается с ботнета, условно названного Mega-D[ick] из-за узкой специфики рекламируемых им товаров — лекарственных снадобий, призванных (если верить спамерам) увеличить мужское достоинство до фантастических размеров.

Специалисты Marshal наблюдают за деятельностью Mega-D около года и отмечают, что за это время объемы рассылаемого с него спама увеличились почти втрое и значительно превысили предельный показатель его «штормового» конкурента — 21%, зафиксированный компанией в середине прошлого года. Основными объектами рекламной кампании, проводимой операторами Mega-D с помощью спам-рассылок, являются такие «достижения» доморощенной фармацевтики, как Herbal King, MaxHerbal, Express Herbals и VPXL.

Согласно экспертным оценкам, владельцы ботнета за последние несколько месяцев значительно расширили свой боевой арсенал за счет инфицированных компьютеров в странах Азии и Северной Америки. Mega-D атакует владельцев ПК посредством спамовых писем, снабженных ссылками на поддельные веб-страницы социальных ресурсов, — в частности, Facebook. Пройдя по ссылке, получатель видит уведомление о необходимости обновить флэш-плеер и кнопку соответствующей опции. При попытке скачать «новую версию плеера» пользователь загружает на свой компьютер троянскую программу, однако в продолжение иллюзии получает доступ к обещанному видеоконтенту.

Особенности организации Mega-D и стиль работы его операторов позволили некоторым экспертам высказать предположение о его близком родстве со «штормовым» ботнетом. Подобно последнему, Mega-D умело эксплуатирует интерес интернет-сообщества к громким событиям и сенсациям, отражая их в заголовках писем-приманок. Управление ботнетом и связь между его отдельными узлами осуществляются на основе р2р-протокола. Во избежание обнаружения антивирусным ПО, в котором используется метод сигнатурного анализа, версии Mega-D-троянца регулярно обновляются. Кроме того, при попытке изучить троянскую программу в виртуальной среде она, как и «штормовой» троянец, дезактивируется.

В то же время эксперты отмечают, что в отличие от операторов «штормового» ботнета владельцы Mega-D атакуют осторожно, не привлекая к себе лишнего внимания блюстителей сетевой безопасности и СМИ. Исследователи Marshal полагают, что «штормовой» ботнет идет ко дну за счет собственного паблисити. По данным компании, количество рассылаемой им нелегитимной корреспонденции в последнее время значительно сократилось и составляет менее 2% всего спам-трафика.

Как показал анализ статистики Marshal, за 70% спама в январе были ответственны операторы пяти ботнетов: Mega-D, Pushdo («поклонники знаменитостей»), HTML, One Word Sub и «штормового». Вторым по плодовитости фигурантом (после Mega-D) является ботнет, специализирующийся на рассылке рекламы фальшивых часов и виагры в html-формате. На его долю приходится 23% от общего объема спама. Объемы рассылок с ботнета Pushdo, эксплуатирующего звездные имена, сократились до 6% спам-трафика.

Источник: ZD Net

Источник: SC Magazine

Источник: MARSHAL

Mega-D — родственник

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике