Rock Phish вновь меняет тактику

Согласно наблюдениям исследователей компании RSA, одиозная группировка Rock Phish вознамерилась повысить эффективность фишинговых атак, дополнив свой арсенал троянской программой семейства Zeus.

Теперь, получив фишинговое послание с ботнета, контролируемого Rock Phish, неосторожный пользователь рискует попасть под двойной удар. Пройдя по указанной злоумышленниками ссылке на поддельную веб-страницу, он может, утратив бдительность, оставить на ней персональную информацию. Однако, вне зависимости от того, поддастся он искушению или нет, велика вероятность, что на его компьютер будет скрытно установлена многоцелевая модификация троянца Zeus.

Специалисты RSA отмечают, что при проведении данных атак процент заражений очень высок, так как злоумышленники используют уязвимости «нулевого дня» пользовательских ОС, браузеров и прикладных программ. Кроме того, троянец загружается с веб-хостинга, в адрес которого внедрен домен одного из сервисов Google; сами URL динамически изменяются, затрудняя работу защитных систем.

По сведениям экспертов, злоумышленникам даже не пришлось прибегать к услугам вирусописателей: последняя модификация Zeus продается на подпольном рынке готовым комплектом за умеренную цену — 700 долларов. Во избежание обнаружения бинарный файл троянской программы автоматически обновляется перед каждой атакой, сводя на нет использование занесенных в антивирусные базы сигнатур. За последние полгода в RSA было зарегистрировано более 150 вариантов Zeus, производительность которых составляет в среднем 4000 заражений в сутки.

В функционал бота, помимо стандартных процедур инсталляции и внедрения в запущенные процессы, входит комплексная процедура кражи информации. Троянец ворует сохраненные в системе пользовательские пароли, контролирует осуществляемый через браузер ввод данных в формы – особенно информации финансового характера, делает скриншоты экрана при использовании виртуальной клавиатуры, подменяет содержимое запрашиваемых веб-страниц.

По оценке экспертов, группировка Rock Phish, которой многие приписывают российские корни, ответственна за половину фишинговых атак в Интернете. Используемые ею новаторские методы всегда обеспечивали высокую эффективность злонамеренных эскапад. С именем Rock Phish связывают появление графического спама и «одноразовых» URL, применение ботнетов для проведения фишинговых атак. Данная группировка использует такой прием обхода спам-фильтров, как «зашумление» контента и URL в электронных сообщениях, а рассылка с помощью спам-бота по спискам активных адресов, найденных в базе резидентной машины, обеспечивает впечатляющий процент доставки фишинговых посланий.

Источник: RSA

Источник: SearchSecurity