Инциденты

Злоумышленник теряет контроль

Авторы вредоносного ПО всегда стараются скрыть, кто они такие на самом деле, верно? Неверно — даже среди нынешних киберпреступников, которых интересует лишь нажива, находятся такие, кто раскрывает информацию о себе. Удивительно, но вот правдивая история про то, как злоумышленник «представился», чтобы «получить компенсацию» у «Лаборатории Касперского» за проводимые ей антивирусные исследования.

Недавно мы заинтересовались новым сервисом для авторов вредоносных программ — [avtracker точка info]. Это онлайн-служба, позволяющая отслеживать деятельность производителей антивирусов. Главная страница [avtracker точка info] содержит описание сервиса по защите вредоносных программ от анализа со стороны антивирусных исследователей, а также призыв организовывать DDoS-атаки против антивирусных компаний:


Рисунок 1: текст с главной страницы [avtracker точка info]

Более того, наши коллеги-исследователи любезно предоставили нам сетевой запрос, который применялся для передачи информации владельцу ресурса [avtracker точка info]. Этот запрос использовался специальной шпионской программой, которую он распространял среди антивирусных лабораторий. После запуска на компьютере шпионская программа связывалась со своим хозяином и передавала ему информацию о зараженной машине. Мы поработали с этим запросом и заменили имя пользователя и параметры системы на попадавшиеся под руку строки.

Данные службы WHOIS личность владельца ресурса раскрыть не помогли — домен [avtracker точка info] был зарегистрирован анонимно. В этом нет ничего удивительного: киберпреступники обычно регистрируют домены анонимно, чтобы их было труднее вычислить.

До сих пор в этой истории не было ничего странного — обычный день из жизни антивирусной компании. Но вдруг — сюрприз! — владелец сервиса для авторов вредоносного ПО связался с нами сам и раскрыл информацию о себе. Более того, он потребовал заплатить ему 2000 евро в качестве компенсации ущерба, якобы понесенного им в результате нашей попытки «сломать» его новую игрушку.

На момент написания этого текста мы располагали упомянутой выше шпионской программой, которая содержала следующее сообщение в своем коде, указывающее на того же человека, что с нами связался:


Рисунок 2: сообщение от киберпреступника в коде шпионской программы

Конечно, мы собрали все необходимые данные и направили их нашему юристу, который предпримет соответствующие шаги. Если бы все киберпреступники так же охотно шли на контакт, как этот, жизнь антивирусных компаний была бы гораздо проще.

Злоумышленник теряет контроль

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике