На днях я обнаружил новый инструмент, позволяющий любому человеку создать вредоносную программу с помощью нескольких кликов мышкой. При исполнении вредоносной программы зараженный компьютер присоединяется к ботнету, который управляется с помощью Twitter, и используется в нелегальных целях.
Инструмент, который находится в открытом доступе, называется TwitterNET Builder. Требуется всего лишь пара кликов для создания вредоносной программы, которая превращает обычный компьютер в узел ботнета. TwitterNET Builder создает профиль на Twitter, с которым зараженный компьютер связывается для получения команд и инструкций.
У такого вредоносного кода нет механизма распространения, он должен запускаться вручную с компьютера-жертвы. Однако эти вредоносные программы могут устанавливаться на компьютер и исполняться, к примеру, в ходе drive-by атаки или с червем, который проникает на машину через обнаруженную уязвимость.
На момент написания блога инструмент был доступен в двух версиях. Sunbelt описывает первую версию как инструмент, поддерживающий небольшое количество команд с неизменяемыми именами. Бот может загружать и исполнять файлы, проводить DDoS атаки, открывать веб-сайты, а также контролировать общение зараженного компьютера и Twitter. Подробное описание возможных команд приведено в оригинальном блогпосте Sunbelt.
Новая версия TwitterNET Builder позволяет киберпреступнику самому определять названия команд, что намного усложняет выявление аккаунтов, которые иcпользуются для контроля этих ботнетов.
Как защитить себя?
Так как у данного инструмента отсутствуют собственные механизмы распространения, он загружается и выполняется вручную – к примеру, файл может быть получен как вложение в электронном письме или через программу быстрого обмена сообщениями. Будьте осторожны при открытии почтовых вложений или файлов, пересылаемых вам во время разговора в чате. Также необходимо соблюдать осторожность, чтобы компьютер не был инфицирован в ходе drive-by атаки, которая, к примеру, может использовать уязвимость вашего браузера.
Большинство таких вредоносных инструментов используют уже известные функции и код, которые с легкостью идентифицируются эффективной антивирусной программой. Удостоверьтесь, что на вашем компьютере установлены обновления антивирусного ПО и все защитные патчи сторонних производителей.
Первая версия TwitterNET Builder детектируется «Лабораторией Касперского» как Backdoor.Win32.Twitbot.a, вторая — как Backdoor.Win32.Twitbot.b.
Новые инструменты позволяют хакерам-дилетантам создавать ботнеты с помощью Twitter!