Банкер Ares обрел резервный способ поиска C2-сервера — с помощью DGA
Главная » Новости
Высокопроизводительные NGFW от ИнфоТеКСЭффективное решение для обеспечения безопасности вашей корпоративной сети. Реализован на доверенной аппаратной платформе и сертифицирован по требованиям российских регуляторов. Межсетевые экраны следующего поколения обеспечивает глубокую фильтрацию трафика, его контроль и блокировку на уровне приложений. Классический межсетевой экран и криптографический шлюз с ГОСТ VPN.→ Получить консультацию
Реклама, АО "Инфотекс", ИНН 7710013769, 16+

Банкер Ares обрел резервный способ поиска C2-сервера — с помощью DGA

Татьяна Никитина 08 Сентября 2022 - 19:27
...
Банкер Ares обрел резервный способ поиска C2-сервера — с помощью DGA

Банковский троян Ares, которого в Zscaler отслеживают с февраля прошлого года, получил обновления; самой приметной из новинок является генератор доменных имен, позволяющий продлить жизнь C2-серверам. Анализ показал, что алгоритм DGA идентичен тому, что некогда использовал Qakbot, однако его реализация отлична.

По словам экспертов, Ares построен на кодах Windows-троянов Kronos и Osiris (форка Kronos, использующего Tor для C2-связи). Банкер, впервые объявившийся в немецкоязычном спаме, активно развивается, получая новые веб-инжекты и модули (VNC, инфостилер для кражи данных из браузеров, VPN-клиентов, Filezilla, Outlook, криптокошельков).

В этом году операторы Ares взяли тайм-аут с марта по август, а затем выпустили новую версию — с DGA в качестве резервного механизма связи с C2. Теперь троян вначале пускает в ход вшитые в код URL, совершая до 50 попыток подключиться к центру управления; когда эти каналы недоступны, в ход идет DGA.

Как выяснилось, таким же алгоритмом в свое время пользовался Qakbot, однако вместо заимствования кода авторы Ares создали свой — скорее всего на основе opensource-варианта генератора Qakbot, доступного на GitHub.

Доморощенная реализация позволяет новобранцу создавать 50 доменов в заданный период (150 за месяц; генератор Qakbot работал намного быстрее, выдавая 5000 результатов). Имена при этом выглядят как последовательность строчных букв (от восьми до 25, латиница), к которой добавлен TLD-домен — .com, .net, .org, .info или .biz по вшитому списку.

Создавая домены по алгоритму, Ares использует вшитое зерно и текущую дату, которую получает на порту 13/TCP с серверов американского института стандартов и технологий (time-a.nist.gov, time-a-g.nist.gov или time.nist.gov). Qakbot с той же целью обращался к публичным ресурсам — google.com, cnn.com, microsoft.com.

Исследователи также отметили, что в арсенале банкера появились дополнительные веб-инжекты. Обновления пока не спускаются в динамике с C2, но в коде свежих образцов Ares обнаружены конфигурационные данные, указывающие новую цель — банк BBVA México.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Госдума приняла в первом чтении законопроект о периоде охлаждения
Яков Шпунт 15 Января 2025 - 18:38
Соответствие законодательству РФ Домашние пользователиГосударство Защита от мошенничестваБезопасность платежей
Госдума приняла в первом чтении законопроект о периоде охлаждения

Госдума 15 января приняла в первом чтении законопроект, предусматривающий введение так называемого «периода охлаждения» перед выдачей потребительского кредита.

Идею о введении «периода охлаждения» озвучил президент Владимир Путин во время «прямой линии» 19 декабря 2024 года.

Эта мера была предложена как способ борьбы с мошенничеством, при котором злоумышленники берут кредиты от имени жертв или вынуждают потерпевших переводить им как собственные, так и заемные средства.

Законопроект был внесен в Госдуму группой депутатов и сенаторов во главе с Анатолием Аксаковым. Документ обязывает банки и микрофинансовые организации (МФО) выдавать потребительские кредиты с отсрочкой: не менее 4 часов для займов от 50 до 200 тысяч рублей и не менее 48 часов для сумм, превышающих 200 тысяч рублей.

Кроме того, законопроект ужесточает правила пополнения токенизированных карт. Если сумма пополнения наличными превышает 50 тысяч рублей, деньги зачисляются на счет только через 48 часов.

Такую меру давно предлагал Банк России для противодействия увеличившемуся числу случаев мошенничества с использованием токенизированных карт.

В пояснительной записке к законопроекту указано, что введение «периода охлаждения» должно дать человеку время обдумать свои действия и избежать поспешных решений под влиянием мошенников.

Пресс-служба Госдумы сообщила, что законопроект был принят в первом чтении 15 января 2025 года. Этот документ относится к числу приоритетных для нижней палаты парламента. Как заявил спикер Госдумы Вячеслав Володин, окончательное рассмотрение законопроекта завершится до конца января.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Банки по-разному оценивают готовность к переходу на цифровой рубль
Новость
Банки по-разному оценивают готовность к переходу на цифровой...
Суд отказал в иске к Роскомнадзору по поводу замедления YouTube
Новость
Суд отказал в иске к Роскомнадзору по поводу замедления YouT...
В столичном суде рассматривают дело о взломе ИС российской таможни
Новость
В столичном суде рассматривают дело о взломе ИС российской т...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.