McAfee предупреждает об опасных доменных зонах

McAfee предупреждает об опасных доменных зонах

Собираетесь посетить неизвестные сайты в доменной зоне Вьетнама? Тогда вам лучше обновить антивирус и включить максимальные настройки безопасности файерволла. Антивирусная компания McAfee говорит, что вьетнамский домен стал настоящим убежищем для различного рода кибер-преступников. Согласно сканированию, проведенному при помощи антивирусных продуктов McAfee, около 58% сайтов в домене .vn содержат злонамеренное программное ПО, которое было либо внедрено на легитимные сайты, либо сайты изначально были созданы для того, чтобы распространять внедоносное ПО.



Антивирусные аналитики предупреждают, что посещение вредоносных сайтов грозит пользователям потерей данных, кражей приватной информации с компьютеров и другими неприятностями. Всего в последнем отчете McAfee говорится, что из 27 млн проверенных сайтов в сети около 6,2% были инфицированы. Годом ранее этот показатель составлял 5,9%.

"Веб-пространство становится все более запутанным и безопасный веб-серфинг все более сложен, - говорится в отчете. - Сайты, потенциально опасные для посещения, содержат так называемые Drive-By программы, а также эксплоиты для пользовательского программного обеспечения".

В 2010 году вьетнамская доменная зона определенно стала фаворитом, хотя в 2009 году она была лишь на 39-м месте в списке опасных доменов. Объясняя такую опасность директор по исследованиям McAfee Labs Паула Грив говорит, что киберпреступники традиционно мигрируют в те зоны, где регистрация довольно дешева, а к регистраторам доменов не предъявляют дополнительных требований, таких как регистрация по официальным документам. В то же время правила регистрации доменных зон постоянно меняются и некогда безопасная зона может очень быстро превратиться в опасную.

В отчете говорится, что порядка 15 000 сайтов из проверенных 24 000 содержали в себе вредоносное программное обеспечение. Многие домены .vn используются для регистрации с целью последующего редиректа на другие злонамеренные сайты, контролируемые злоумышленниками.

Среди других потенциально опасных доменов компания отмечает зону .info, где за год активность злоумышленников возросла на 94,5%. Зачастую спамерские группы используют для хостинга поддельных сайтов, продажи запрещенных препаратов и тд.

Доменная зона .ru на сей раз расположилась на 5-м месте, с 10,1% инфицированных сайтов в 2010 году, причем годом ранее этот показатель был более чем вдвое ниже - 4,6%. Самым же безопасным доменом названа японская доменная зона .jp, где инфицировано менее 1% сайтов.

Источник

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В России и Белоруссии зафиксированы новые атаки хактивистов C.A.S

Всплеск активности C.A.S (Cyber Anarchy Squad) позволил экспертам «Лаборатории Касперского» освежить свои знания о техниках, тактиках и инструментах кибергруппы, а также выявить ее связи с другими хактивистами.

По данным ИБ-компании, группировка C.A.S проводит атаки на территории России и Белоруссии с 2022 года. От нападений, нацеленных на причинение максимального ущерба, страдают организации разных вертикалей.

Проникновение в сети мишеней обычно происходит через эксплойт уязвимостей в публично доступных сервисах — Jira, Confluence, Microsoft SQL Server. Иногда с этой целью используются услуги брокеров готового доступа.

Развить атаку помогают добытые из открытых источников трояны удаленного доступа (в настоящее время Revenge RAT и Spark RAT). Используются также CMD, PowerShell, Meterpreter, а для сбора учеток — XenAllPasswordPro, BrowserThief и Mimikatz.

Чтобы уберечь зловредов от обнаружения, их папки вносят в список исключений Microsoft Defender. В качестве дополнительной меры защиты троянские экзешники маскируют под легитимные процессы Windows: svxhost.exe, svrhost.exe, rpchost.exe, ssbyt.exe.

Взломщики также могут получить полный контроль над СЗИ — из-за неправильных настроек, и такие случаи нередки. В ходе одной из атак C.A.S удалось отключить агент EPP, который забыли запаролить, с использованием rm.ps1.

Для закрепления в системах создаются новые учетные записи (с помощью net.exe), а также новые ключи реестра.

Во взломанную сеть запускаются шифровальщики, созданные с помощью утекших в Сеть билдеров LockBit и Babuk. Расширения, добавляемые к именам обработанных файлов, обычно генерируются случайным образом.

Иногда в этом качестве используется число 3119, сдублированное в имени троянского файла. Как оказалось, это порядковые номера букв латиницы — C, A и S.

 

Для нанесения еще большего вреда злоумышленники могут стереть данные в некоторых сегментах сети или на определенных серверах. С этой целью вначале с помощью утилиты df проводится сбор информации о подключенных дисках, а потом уже в ход идет dd.

Участники C.A.S, как и многие другие хакитивисты, любят похвастаться своими успехами в Telegram.

 

Кроме телеграм-канала, у C.A.S есть открытый чат для ведения дискуссий с подписчиками. Примечательно, что среди его администраторов числятся также представители других хактивистских групп, в том числе Ukrainian Cyber Alliance.

В инфраструктуре одной из недавних жертв целевой атаки были обнаружены артефакты, указывающие на связь C.A.S с группировкой DARKSTAR, она же Shadow и Comet.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru