Хакеры используют Google Groups для управления ботнетом

Хакеры используют Google Groups для управления ботнетом

Эксперты из компании Symantec обнаружили группу интернет-преступников, использующих сервис телеконференций Google Groups в качестве командного центра для вредоносного программного обеспечения, заразившего компьютеры. Данный пример, по мнению представителей Symantec, является еще одной иллюстрацией того, что мошенники меняют способы взаимодействия со своими ботнетами.

Ранее подобный механизм был обнаружен на сервисе блогов Twitter, когда один из блогов был использован в качестве своеобразного командного сервера для передачи команд троянцам, атакующим ИТ-ресурсы. По прогнозам Symantec, в будущем популярность сервисов блогов как C&C-механизмов (Comand and Control) будет лишь расти и администраторам сервисов придется постоянно закрывать "бот-блоги" и "бот-конференции".

Эксперты Symantec рассказывают, что киберпреступники использовали Google Groups для управления трояном Trojan.Grups, представляющего собой злонамеренный код под Windows. Троянская программа открывает путь к зараженным ПК с целью подселения других вредоносных кодов. Когда троян проникает в компьютер, он считывает сообщения из специальной конференции, где содержатся команды для него. После того, как троян считывает команду, он выполняет ее и публикует в конференции отчет о проданной работе.

Одним из важных моментов этой атаки является использование довольно устойчивого шифра RC4 для шифрования "общения" командный центр публикует сообщения, зашифрованные в RC4, а троян таким же зашифрованным способом отвечает. Подобные шаги свидетельствуют о дополнительных шагах злоумышленников, направленных на избежание обнаружения.

Аналитики Symantec отмечают, что одним из серьезных недостатков данного метода является сохранение истории "переписки" трояна и его авторов, что позволяет отследить все шаги обеих сторон. В случае с Trojan.Grups эксперты полагают, что авторы всей атаки находятся на Тайване, так как дешифровка сообщений показывает, что они уходят в зону .tw, а некоторые моменты кода говорят о том, что оригинал был написан на упрощенном китайском.

источник 

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Инфраструктура банковского Android-трояна Mamont все еще активна

Эксперты ГК «Солар» обнаружили четыре рабочих сервера Mamont с панелью управления и билдером вредоносных APK. Находки, видимо, — лишь часть инфраструктуры банковского трояна для Android, и она по-прежнему активна.

Действующие C2 были выявлены в ходе изучения образца зловреда (уровень детектирования на VirusTotal20/63 на 6 марта), найденного незадолго до новости о задержании трех предполагаемых разработчиков Mamont.

Пресс-служба МВД России тогда сообщила, что в ходе обысков был «изъят управляющий сервер» трояна, а ресурсы, использовавшиеся в криминальных целях, заблокированы.

Многофункциональный Mamont активен в рунете с 2023 года. Согласно статистике «Лаборатории Касперского» за 2024 год, это одна из топовых финансовых угроз для Android.

Распространяется вредонос в основном через Telegram, при этом его зачастую выдают за видео в надежде, что любопытство заставит адресатов забыть, что APK — недопустимый формат для такого контента.

 

Трояна также могут раздавать под видом специализированного софта — приложения службы доставки, трекера заказов, оформленных онлайн (в фейковом магазине), и т. п. После установки он начнет воровать ключи от счетов и СМС-коды, а также получать обновления — до тех пор, пока не уничтожат его командную инфраструктуру.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru