Пейлоад в крякнутом софте собрал в ботнет 400 тыс. Windows-компьютеров

Пейлоад в крякнутом софте собрал в ботнет 400 тыс. Windows-компьютеров

Пейлоад в крякнутом софте собрал в ботнет 400 тыс. Windows-компьютеров

Масштабная киберпреступная кампания затронула по меньшей мере 400 тысяч пользователей Windows. Злоумышленники доставляют на устройства жертв приложения для прокси-серверов, в результате чего компьютеры ничего не подозревающих юзеров выступают в качестве выходных узлов (exit node).

Такие ботнеты удобны для преступников тем, что с их помощью можно запускать атаки с подстановкой скомпрометированных учётных данных (credential stuffing) со свежих IP-адресов.

Помимо этого, взломанные компьютеры могут действовать и в безобидных целях: верифицировать рекламу, собирать сведения, тестировать веб-сайты и безопасно перенаправлять трафик.

По словам исследователей из AT&T Alien Labs, злоумышленникам удалось собрать около 400 тыс. выходных узлов из устройств пользователей. Кстати, стоящая за ботнетом организация утверждает, что владельцы этих устройств дали своё согласие, однако в AT&T Alien Labs выяснили, что вредоносная нагрузка устанавливать в системы незаметно.

«У нас есть доказательства скрытной установки прокси на компьютеры пользователей, хотя владельцы утверждают обратное. Более того, приложение подписано, антивирусы его не детектируют», — пишут эксперты.

Интересно, что эта же компания, которая управляет описанным ботнетом, ранее контролировала выходные узлы, созданные пейлоадом AdLoad, атакующим системы macOS.

Цепочка заражения начинается с запуска лоадера, который спрятан в крякнутом софте или играх. Именно этот загрузчик скачивает и устанавливает приложение-прокси; это происходит в фоновом режиме без какого-либо взаимодействия с пользователем.

Параллельно на командный сервер отправляются специальные параметры, позволяющие зарегистрировать очередного «клиента» и добавить его устройство в ботнет.

Если вы столкнулись с этой киберугрозой, исследователи рекомендуют поискать исполняемый файл «Digital Pulse» в директории «%AppData%\». Можно также найти похожий ключ в реестре Windows.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Платформа Сфера теперь доступна в формате SaaS

На ежегодной конференции «НОТА ДЕНЬ» ИТ-холдинг Т1 представил SaaS-версию своей платформы «Сфера». Новая модель не требует локальной установки — для работы достаточно веб-браузера, а все обновления и вопросы безопасности находятся в зоне ответственности разработчика.

Функционально SaaS-версия не отличается от других вариантов развертывания платформы. В её состав входят следующие модули:

  • Сфера.Задачи — инструмент для управления проектами, задачами, статусами и отчетностью;
  • Сфера.Знания — централизованная база знаний с гибкой системой разграничения доступа;
  • Сфера.Код — репозиторий исходного кода с функциями ревью, контроля изменений и истории;
  • Сфера.Дистрибуция и лицензии — модуль для управления релизами, сборками и лицензиями.

Платформа размещена как на инфраструктуре холдинга Т1, так и на мощностях сторонних центров обработки данных. Все используемые площадки соответствуют требованиям российского законодательства, включая нормы по защите персональных данных. Обеспечивается шифрование данных на всех уровнях, аудит пользовательской активности, разграничение прав на основе ролевой модели и регулярное резервное копирование.

Платформа поддерживает интеграции с корпоративными системами через REST API и Webhooks. Также реализованы коннекторы к инструментам CI/CD и внутренним системам трекинга задач. Предусмотрен импорт данных из популярных решений, таких как Jira, GitHub, Confluence и SVN.

Как отмечает руководитель производственного блока вендора НОТА Юрий Мацыгин, SaaS-модель предназначена для компаний, которые не располагают собственной ИТ-инфраструктурой, но заинтересованы в использовании инструментов платформы. Такой подход позволяет упростить запуск, обеспечить масштабируемость и снизить издержки на внедрение, при этом ускоряя вывод цифровых продуктов на рынок.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru