Специалисты Check Point детально изучили эксплоит кит Nuclear

Специалисты Check Point детально изучили эксплоит кит Nuclear

Аналитики израильской компании Check Point представили подробнейший отчет о работе набора эксплоитов Nuclear, детально изучив инфраструктуру всего сервиса, а также вредоносные кампании, использующие Nuclear в ходе своих атак. По данным специалистов, создатель Nuclear, это россиянин, проживающий в Краснодаре и зарабатывающий на своем детище порядка 100 000 долларов в месяц.

Согласно отчету, Nuclear распространяется в популярном сегодня формате MaaS (Malware-as-a-Service), то есть сдается в аренду по подписке.

Исследователи пришли к выводу, что ведущим разработчиком Nuclear выступает один человек, который живет в Краснодаре. Разумеется, он работал над набором эксплоитов не один, на разных этапах ему помогали другие разработчики, к тому же управлять таким сервисом в одиночку – сложно. Тем не менее, основным автором Nuclear назван именно неизвестный краснодарец, пишет xakep.ru.

 

Схема инфраструктуры Nuclear

blog6

 

Инфраструктура сервиса проста: центральное место здесь занимает главный сервер создателя Nuclear, через который он управляет всем и предоставляет доступ к своей инфраструктуре другим хакерам, оплатившим подписку.

Любой, кто заплатил хозяину Nuclear, получает в распоряжение собственный сервер, которым легко управлять благодаря удобной контрольной панели и наглядной статистике. С сервера осуществляется контроль за распространением малвари.

Еще на один уровень ниже расположилось множество серверов поменьше, они отвечают за так называемые «landing pages», то есть хостят веб-страницы, на которые перенаправляются жертвы, чтобы получить порцию малвари.

 

Схема атаки, использующей набор эксплоитов Nuclear

blog7

 

Исследователи Check Point пишут, что на момент проведения расследования им удалось обнаружить 15 арендованных серверов. Суммировав плату за аренду сервера и гонорар создателя Nuclear, аналитики подчитали, что автор набора эксплоитов зарабатывает порядка $100 000 ежемесячно.

Чтобы избежать проблем с законом, автор Nuclear ограничивает свою малварь по географическому признаку. Эксплоит кит не атакует пользователей из России, Украины, Азербайджана, Армении, Беларуси, Грузии, Казахстана, Киргизстана, Молдовы, Таджикистана и Узбекистана. Однако эти ограничения несильно стесняют Nuclear. Только за время наблюдений исследователи Check Point зафиксировали 1 846 678 атак: именно столько пользователей за это время посетили целевые страницы злоумышленников. Фактическому заражению подверглись 9,95% этих пользователей, то есть Nuclear доставил малварь на 184 568 компьютеров.

Набор эксплоитов распространяет самых разных вредоносов. Так, за время наблюдений на устройства жертв было доставлено 144 478 криптовымогателей, 54 403 банковских трояна, 193 бота для кликфрода и 172 руткита.

Лидером по числу заражений стал вымогатель Locky, на его счету более 110 000 жертв. Если учесть, что операторы шифровальщика требуют от каждого пострадавшего выкуп в размере 0,5 биткоина (порядка $230), выходит, что эти арендаторы Nuclear заработали $12 650 000. Данные были основаны на статистике компании Bitdefender, которая подсчитала, что выкуп операторам шифровальщиков выплачивает в среднем каждая вторая жертва.

Исследователи Check Point пишут, что их детальные изыскания (первая часть которых была опубликована еще в апреле 2016 года), похоже, напугали злоумышленника, и на данный момент все известные серверы Nuclear прекратили свою работу.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Фейковое Android-приложение Deepseek AI крадет банковские данные

Специалисты K7 Labs раскрыли новую вредоносную кампанию, в рамках которой злоумышленники распространяют банковский троян для Android под видом популярного чатбота Deepseek AI. Вредонос назвали OctoV2.

Атака начинается с фишинговой ссылки, ведущей на поддельный сайт, внешне практически неотличимый от официального ресурса Deepseek AI.

Пользователям предлагается скачать приложение с названием «DeepSeek.apk». После установки вредоносная программа маскируется под оригинальное приложение, используя его иконку.

Зловред сначала просит пользователя разрешить установку приложений из неизвестных источников, после чего инсталлирует две отдельные вредоносные программы — «родительское» приложение com.hello.world и «дочернее» com.vgsupervision_kit29.

«Дочерний» софт активно запрашивает у жертвы доступ к специальным возможностям операционной системы Android (Accessibility Service).

 

Исследователи столкнулись со сложностями анализа «родительского» приложения из-за парольной защиты. Здесь наблюдается тенденция к росту числа подобных вредоносных APK-файлов с защитой от реверс-инжиниринга.

Тем не менее специалистам удалось определить, что «родительское» приложение проверяет наличие файла с расширением «.cat», после чего устанавливает дополнительный вредоносный пакет.

Кроме того, троян OctoV2 использует алгоритм генерации доменов (DGA), что позволяет постоянно менять имена серверов управления и обходить блокировки. Кроме того, троян передаёт на серверы злоумышленников информацию обо всех установленных на заражённом устройстве приложениях.

Напомним, ранее банковский Android-троян Octo выдавал себя за Google Chrome и NordVPN.

Специалисты рекомендуют быть особенно внимательными при скачивании приложений и избегать установки программ из неизвестных источников.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru