Инциденты

Осенняя чистка Рунета

Электронные сигареты, тайна фамилии, диеты, сайты знакомств и прочие рекламные страницы уже давно являются неотъемлемой частью рунета. Эти сайты все видели пользователи и в спаме, и в социальных сетях, и при вводе популярного поискового запроса, и при неосторожном клике по баннеру, и т.д.

Наши коллеги из компании «Доктор Веб» тоже обратили внимание на данную проблему и рассказали историю про взломы сайтов для перенаправления пользователей на вредоносные программы.

Учитывая, что за этим инцидентом скрывается нечто большее, чем просто установка троянцев-блокеров, мы решили более детально рассказать о том, что на самом деле происходит и нанести очередной удар по всем недобросовестным «вебмастерам», причастным к распространению вредоносных программ.

TDS

Для этой истории не так уж и важно как пользователь попал на вредоносный сайт: через ссылку в спаме, через сайт с эксплойтами или через поисковый запрос — главное, чтобы этого пользователя грамотно «обслужили» и начислили за его приход денежку спамеру, ботоводу или вебмастеру. Для того, чтобы грамотно разруливать пользовательские потоки злоумышленники используют специальную систему TDS (Traffic Distribution System), которая в зависимости от параметров уже и перенаправит пользователя на ZIP архив с трояном или на сайт с диетой. В случае, описанном в новости от «Доктор Веб», все ссылки на зараженных и специально созданных сайтах имеют следующий вид:

hxxp://black.ipua.ru/w/go.php?sid=11&tds-file=drayvera-dlya-monitora-samsung-syncmaster-740n

hxxp://smile.bzs.su/go.php?sid=1&tds-file=Hp%20scanjet%202200c%20hp

hxxp://soft-zakach.ru/go.php?sid=1&tds-key=drayvera-dlya-zvukovogo-adaptera

По URL’ам видно что все эти ссылки видут на одну TDS, которая называется Simple TDS. После перехода по данным ссылкам пользователя перенаправляют на сайты tdsloadik.ru и megobit.koo1.ru.
С последнего сайта и загружается вредоносная программа – троянец-блокер. Все сайты связаны с множеством IP адресов, на которых хостится огромное количество сайтов разной тематики — от порнографии до торрент-трекеров и предложений по загрузке бесплатного Skype’а.

Пример графа с сайта robtex.com по IP адресу, с которого распространяются троянцы

Таким образом, владельцы данных сайтов платят взломщикам сайтов, спамерам и прочим темным личностям, деньги за каждого пользователя, с которого удастся выманить те самые СМС’ки и не важно за что: за разблокировку компьютера, за новую версию Skype’а, за торрент файл с piratebay’я или книгу с lib.ru. Но кто является владельцем?

Партнерка

В Рунете существует большое количество партнерских сайтов, которые зарабатывают деньги подобным образом. Это и DailyCash и StimulProfit и т. д. Но в данном случае с троянцем-блокером, мы имеем дело с партнеркой LoadPays, так как именно в их конфигурационных файлах было обнаружено упоминание сайтов, распространяющих троянцы.

Со всеми подобными партнёрками ЛК борется уже очень давно и не удивительны пронзительные возгласы «партнёров» лишающихся притока денег после блокирования доступа нашим клиентам к таким сайтам.

Сообщение о блокировке доступа к сайтам партнёрки StimulProfit на форуме searchengines.ru

Чистка Рунета

Учитывая очередной инцидент с массовым распространением вредоносных программ через данные партнерские программы, мы ужесточаем наши правила блокирования доступа к сайтам партнерок. Под блокировку всеми доступными нам методами, включая проактивные облачные технологии, попадают все TDS’ки, скрипты, контент, IP адреса сайтов, DNS’ы и хостеры, замешанные в любом из видов мошенничества с СМС’ками в рунете, будь то диеты или блокеры. Задача нашей компании – защита наших клиентов от всех видов мошенничества в сети, и именно интересы наших клиентов стоят на первом месте. Владельцам партнерских программ и TDS мы же рекомендуем начать более тщательно проверять своих партнеров и прекратить борьбу за «черный трафик» любыми методами. Чревато, знаете ли.

Одновременно мы надеемся, что такие меры помогут сделать Рунет чище и свободнее от криминала. Ведь именно криминал и мошенничество отпугивают большую часть людей от использования Сети в полной мере. Именно криминал отпугивает от совершения покупок в Сети. Именно криминал задерживает развитие Интернет в России.

Осенняя чистка Рунета

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике