Ботнет Kelihos/Hlux значительно сократился в размерах

Александр Панасенко 21 Ноября 2013 - 19:10

...

По оценке «Лаборатории Касперского», в настоящее время в состав ботнета-спамера Hlux, он же Kelihos, входят порядка 1 тыс. активных пиров (IP-адресов). Большинство зараженных машин работают под Windows XP, около половины имеют польскую прописку. Оценка произведена по результатам мониторинга подключений к sinkhole-серверу «Лаборатории», внедренному в бот-сеть в марте прошлого года.

Как показывает статистика, размеры Hlux/Kelihos резко сократились уже к июлю 2012 года. «Ботнет становится всё меньше и меньше, ― констатирует эксперт «Лаборатории Касперского» Стефан Ортлоф, ― жертвы со временем вылечили свои компьютеры или переустановили ОС. В настоящий момент мы фиксируем в среднем около 1000 уникальных ботов в месяц». Напомним: в сентябре 2011 года, при первой совместной попытке ликвидации Hlux, «лаборанты» насчитали в его составе 49 тыс. уникальных IP-адресов, в марте 2012-го, в ходе второго «штурма», ― свыше 110 тысяч, передает cybersecurity.ru.

По данным «Лаборатории», в настоящее время более 86% активных ботов Hlux работают под Windows XP, около 15% ― под Windows Server 2008. Соответствующие заражения обнаружены в 88 странах, в этом рейтинге с заметным отрывом лидирует Польша (44%).

Поток нелегитимных сообщений, генерируемых Hlux, тоже заметно сократился. Согласно статистике Trustwave, которая исправно отслеживает производительность ботнетов-спамеров, в минувшем мае на долю Hlux приходилось около 60% почтового мусора, в июле – 17%, а в начале ноября лишь 7,6%.

Как уже неоднократно отмечалось, р2р-ботнеты обладают повышенной живучестью. Hlux, обладающий развитой пиринговой инфраструктурой, уже пережил несколько попыток свержения и каждый раз восставал в новом обличье. В 2011 году такая акция с применением sinkholing была проведена силами Microsoft, «Лаборатории Касперского» и Kyrus Tech. Ботоводы сразу начали строить новую сеть, а прежняя и доныне находится под контролем «лаборантов». В следующем году «Лаборатория Касперского» объединилась с CrowdStrike, the Honeynet Project и Dell SecureWorks против Hlux-2. Через 20 минут после перехвата контроля над бот-сетью появился Hlux-3.

В 2013 году попытку нейтрализации Hlux вживую продемонстрировал на конференции RSA Тиллман Вернер (Tillmann Werner) из CrowdStrike. К этому времени одноименный зловред в дополнение к своему основному функционалу, рассылке спама, уже научился также красть все, что может представлять интерес для киберкриминала, от персональных идентификаторов до кошельков Bitcoin. Минувшим летом некоммерческая организация Malware Must Die объявила о нейтрализации 97 доменов, задействованных в схеме распространения Hlux, точнее, его DGA-версии. Спустя месяц эксперты стали свидетелями очередного нововведения: зловред начал использовать общедоступные черные списки для проверки репутации своих IP-адресов. Очевидно, повелители Hlux стремятся всеми силами удержать его тающую армию на плаву, хотя не исключено, что у них в рукаве еще есть сюрпризы, которые со временем всплывут во вредоносном спаме.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Татьяна Никитина 22 Ноября 2024 - 15:54

Трояны Домашние пользователи Корпорации

Инфостилер Jarka прожил год на PyPI под видом инструментов интеграции ИИ

Эксперты «Лаборатории Касперского» нашли на PyPI два схожих пакета, якобы реализующих доступ к API популярных ИИ-моделей — GPT-4 Turbo и Claude AI. Анализ показал, что истинной целью в обоих случаях является внедрение зловреда JarkaStealer.

Вредоносные библиотеки gptplus и claudeai-eng были загружены в репозиторий Python-кодов в ноябре прошлого года, притом из-под одного и того же аккаунта. До удаления с подачи Kaspersky их скачали более 1700 раз пользователи из 30 стран (в основном жители США, Китая, Франции, Германии и России).

Описания содержали инструкции по созданию чатов для ИИ-ботов и примеры работы с большими языковыми моделями (БЯМ, LLM). Для имитации заявленной функциональности в код был встроен механизм взаимодействия с демопрокси ChatGPT.

При запуске параллельно происходит загрузка с GitHub файла JavaUpdater.jar — инфостилера Jarka. При отсутствии у жертвы софта Java с Dropbox скачивается JRE.

Внедряемый таким образом вредонос умеет выполнять следующие действия в системе:

собирать системную информацию;
воровать информацию из браузеров;
прерывать процессы Google Chrome и Microsoft Edge (чтобы вытащить сохраненные данные);
отыскивать сессионные токены в Telegram, Discord, Steam, чит-клиенте Minecraft;
делать скриншоты.

Украденные данные архивируются и передаются на C2-сервер. После этого файл с добычей удаляется с зараженного устройства, чтобы скрыть следы вредоносной активности.

Как оказалось, владельцы JarkaStealer продают его в Telegram по модели MaaS (Malware-as-a-Service, «вредонос как услуга»), однако за доступ уже можно не платить: исходники были опубликованы на GitHub. В рекламных сообщениях и коде зловреда обнаружены артефакты, позволяющие заключить, что автор стилера владеет русским языком.

«Обнаруженная кампания подчёркивает постоянные риски, связанные с атаками на цепочки поставок, — отметил эксперт Kaspersky GReAT Леонид Безвершенко. — При интеграции компонентов с открытым исходным кодом в процессе разработки критически важно проявлять осторожность. Мы рекомендуем организациям внедрять строгую проверку целостности кода на всех этапах разработки, чтобы убедиться в легитимности и безопасности внешнего программного обеспечения или внешних компонентов».

Тем, кто успел скачать gptplus или claudeai-eng, рекомендуется как можно скорее удалить пакет, а также обновить все пароли и сессионные токены.