Архив

Войны спамеров

По данным Secureworks, один из компонентов «штормовых» троянцев, поразивших в январе Интернет, использовался для проведения DDoS-атак на веб-сайты борцов против спама и сайты спамеров-конкурентов.

Проведенное старшим научным сотрудником SecureWorks Джо Стюартом (Joe Stewart) исследование анатомии «штормового червя» позволило выявить интересные подробности. «Штормовой червь», он же W32/Small.DAM или Trojan.Peacomm, принадлежащий к тому же семейству вредоносных программ, что и более ранний вариант Win32/Nuwar, связан с другими зараженными машинами через Р2Р-протокол. Через Р2Р-каналы он получает URL, инициирующий второй компонент троянца, который, в свою очередь, загружает в инфицированную систему последующие компоненты, предназначенные для хищения адресов электронной почты, дальнейшего распространения вируса, проведения DDoS-атак и загрузки обновленной копии «штормового червя».

Ответственный за проведение DDoS-атак компонент game4.exe загружает в инфицированную систему конфигурационный файл с жестко запрограммированным целевым IP-адресом и информацией о характере атаки. Среди IP-адресов, зафиксированных Secureworks, были веб-сайты антиспамеров stockpatrol.com и spamnation.info, несколько веб-сайтов конкурирующих спамерских группировок, использующих червя-спамера Warezov, и веб-сайт интернет-сервиса, специализирующегося на переводе денежных средств, — capitalcollect.com. По мнению Стюарта, персональный сайт которого тоже был атакован, проводившие «штормовую» атаку спамеры стремились уязвить всех, кто мешает их бизнесу.

После DDoS-атаки на spamnation.info, инициированной 12 января, этот веб-сайт борцов с «биржевым» спамом удалось восстановить только через неделю. В конце января последовала серия атак на веб-сайты, распространяющие Warezov, владельцы которых ответили по-спамерски – изменили DNS-записи и перенаправили DDoS-атаки конкурентов на spamhaus.org. По данным Secureworks, в этих DDoS-атаках участвовало не менее трех ботнетов, никак не связанных между собой.

Для специалистов по сетевой безопасности криминальные разборки в Интернете не новость, конкурентная борьба в мире киберпреступности особенно сильно выражена в среде кардеров и «специалистов» по биржевым махинациям с акциями мелких компаний (схема «накачка-сброс»). Проблема в том, что «пешками» в этих междоусобицах являются, как правило, компьютеры безвинных пользователей, за контроль над которыми состязаются игроки теневого интернет-бизнеса, а под перекрестный огонь DDoS- и вирусных атак попадают и вовсе случайные сетевые объекты.

Повышение эффективности средств антиспам-защиты вынуждает спамеров совершенствовать криминальную технологию и сокращать объемы нелегитимных рассылок. По экспертному мнению, в ближайшем будущем тенденция к использованию киберкриминальными группировками высвобождающихся ресурсов ботнетов в DDoS-атаках против своих конкурентов и противников сохранится.

Источник: www.secureworks.com

Войны спамеров

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике