Win32/RBrute атакует пользователей Facebook и Google

Win32/RBrute атакует пользователей Facebook и Google

Международная антивирусная компания ESET обнаружила новый компонент крупнейшего ботнета Win32/Sality – Win32/RBrute. В отличие от уже известных элементов ботнета, он модифицирует DNS-сервис роутеров таким образом, что скомпрометированный роутер перенаправляет пользователей на поддельную страницу загрузки браузераGoogle Chrome. Фальшивый установщик представляет собой один из вредоносных файлов самого Sality.

Семейство файловых инфекторов Win32/Sality известно с 2003 г. Специалисты вирусной лаборатории ESET отслеживали его на протяжении длительного времени. В рейтинге информационных угроз за март 2014 г. Sality занимает вторую строку с ростом активности 1,68%.

Ботнет Sality может выступать в роли вируса или загрузчика других вредоносных программ (downloader). Он обладает модульной архитектурой, его компоненты отвечают за рассылку спама, организацию DDoS, генерацию рекламного трафика и взлом VoIP аккаунтов. Долговечность и постоянное совершенствование ботнета свидетельствуют о высокой квалификации авторов вредоносного кода.

Согласно данным телеметрии, в октябре 2013 г. в составе Sality появился еще один компонент, дополняющий работу ботнета новыми функциями. Он получил название Win32/RBrute.

Первый модуль RBrute детектируется антивирусными продуктами ESET NOD32 как Win32/RBrute.А. Он осуществляет поиск веб-страниц панелей управления роутера, чтобы изменить запись основного DNS-сервера. В настоящее время Win32/RBrute.A позволяет злоумышленникам получить доступ к различным моделям роутеров, административные веб-страницы управления которых защищены очень слабым паролем или к которым можно получить доступ из интернета.

Когда пользователи обращаются к сайтам, содержащим в названии домена «facebook» или «google», поддельный DNS-сервис направляет их на «страницу установки Google Chrome». Вместо браузера на компьютеры загружается вредоносный файл самого Win32/Sality. Так злоумышленники обеспечивают дальнейшее расширение ботнета.

Существует еще один модуль вредоносной программы – Win32/RBrute.B. Он устанавливается Sality на скомпрометированных компьютерах и может выступать в качестве DNS или НТТР прокси-сервера для доставки поддельного установщика Google Chrome.

«Простые векторы заражения пользователей вредоносным кодом Win32/Sality не могут быть достаточно эффективными, чтобы поддерживать популяцию ботнета на соответствующем уровне, – комментирует Артем Баранов, ведущий вирусный аналитик ESET. – Злоумышленники нуждались в новом способе распространения вредоносной программы, и таким способом стал DNS hijacking для роутера. В зависимости от того, подвержен ли выбранный роутер эксплуатации, жертвами перенаправлений может стать множество подключенных к нему пользователей».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Число атак через WhatsApp в России выросло в шесть раз в 2025 году

По данным Координационного центра доменов .RU/.РФ, число случаев мошенничества в мессенджере WhatsApp (принадлежит признанной в России экстремистской и запрещённой корпорации Meta) увеличилось в шесть раз в первом квартале 2025 года по сравнению с аналогичным периодом прошлого года.

Согласно оценкам экспертов, опрошенных «Известиями», самыми распространёнными мошенническими схемами являются звонки от имени сотрудников правоохранительных органов или руководителей компаний, массовые рассылки с взломанных аккаунтов, а также фишинговые атаки, маскирующиеся под предложения от различных компаний.

Директор компании «Интернет-Розыск» Игорь Бедеров отметил, что цель таких атак — получить от жертвы подтверждение данных или «проверить безопасность счетов». Для повышения доверия злоумышленники активно используют утечку персональных данных.

«Если мошенники выходят на связь через сообщения, они часто отправляют фишинговые ссылки на поддельные сайты. Также они могут просить передать коды из СМС», — добавил Игорь Бедеров.

Одна из популярных схем — звонок от имени руководителя компании, который якобы просит помочь сотруднику ФСБ или МВД. Такой «сотрудник» действует крайне напористо, запугивает жертву и заставляет выполнять его указания.

«Мне сказали, что моя фамилия фигурирует в деле о незаконном выводе денег за границу от имени моей компании. Были предъявлены документы и распоряжение генерального директора. Руководитель якобы просил содействовать органам и выполнить их инструкции. Меня заставили назвать номера счетов и банковских карт, а потом — перевести средства на другие счета. Запугивание продолжалось несколько часов. К счастью, я вовремя опомнился», — рассказал москвич Михаил.

Как свидетельствуют обсуждения на форумах и в соцсетях, такие «сотрудники» обычно прекращают общение, если собеседник требует соблюдения официальных процедур, например, предъявления ордера при визите домой.

По словам представителя Координационного центра доменов .RU/.РФ Евгения Панкова, за первые месяцы 2025 года число атак на пользователей WhatsApp в России выросло в шесть раз по сравнению с аналогичным периодом прошлого года.

«У WhatsApp в России большая пользовательская база, включая наиболее уязвимые категории — детей и пожилых людей. Основными инструментами злоумышленников остаются фишинг и социальная инженерия. Они легко адаптируют сценарии под текущие интересы людей, что создаёт для них эффект “золотой лихорадки”», — пояснил Панков.

Также набирает обороты захват учётных записей. Чтобы потерять доступ к аккаунту, достаточно перейти по вредоносной ссылке. После взлома аккаунт используется для массовой рассылки сообщений с просьбами о финансовой помощи — и люди нередко на них откликаются.

По словам Игоря Бедерова, злоумышленники рассылают такие сообщения, в том числе с использованием голосовых сообщений, созданных на основе образцов реального голоса родственников или знакомых жертвы с применением дипфейк-технологий.

Широко распространены и фишинговые рассылки, ведущие на поддельные сайты, где собираются данные банковских карт. Для привлечения внимания используются обещания крупных скидок, бонусов, лотерей и выгодных инвестиций.

В преддверии отпусков активизировались рассылки с предложениями выгодного бронирования отелей и аренды жилья на курортах. При этом мошенники используют и другие каналы — социальные сети и видеохостинги.

«Мне предложили забронировать отель “Жемчужина” в Сочи на июнь со скидкой 30%. Я действительно интересовалась этим отелем и связалась через WhatsApp с якобы его сотрудниками. Меня попросили перевести 50 тыс. рублей для фиксации брони. Однако по приезде выяснилось, что бронь не была оформлена. Пришлось срочно искать другое жильё. Деньги вернуть не удалось, несмотря на обращение в полицию», — рассказала одна из жертв схемы.

«Пользователям важно соблюдать базовые правила безопасности: включить двухфакторную аутентификацию или настроить ключи доступа для защиты аккаунта, критически относиться к “щедрым” предложениям и сомнительным просьбам. Не переходите по ссылкам из подозрительных сообщений и используйте надёжное защитное решение на всех устройствах — это поможет предотвратить переход на фишинговые или мошеннические сайты», — порекомендовала контент-аналитик “Лаборатории Касперского” Татьяна Щербакова.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru