USD 65.99 ЕВРО 74.9

Хакеры расширяют ботнет Kelihos, полагаясь на русский патриотизм

Экономика

Банда злоумышленников, стоящая за ботнетом Kelihos обманывает пользователей, устанавливая вредоносное ПО на их компьютерах, апеллируя к пророссийским настроениям, подогреваемым последними международными санкциями против страны.

 

Исследователи из  компаний безопасности Websense и Bitdefender независимо друг от друга обнаружили новую кампанию спама, которая призывает русскоязычных пользователей добровольно предоставлять свои компьютеры для использования в распределенных атаках отказа в обслуживании (DDoS) против веб-сайтов правительств, которые ввели санкции против России за участие в конфликте на востоке Украины.

Ссылки в  сообщениях электронной почты указывают на версию троянской программы, используемой в Kelihos или Hlux — ботнете, о котором исследователи в области безопасности Websense заявили в пятницу в своем блоге. Этот четырехлетний ботнет ассоциируется с различными вредоносными действиями: рассылкой спама, кражей паролей браузеров, FTP клиентов и других программ, кражей и майнингом биткоинов, предоставления доступа к компьютерам через бэкдоры и запуском DDoS-атак.

Несмотря на  DDoS-функциональность в некоторых вредоносных вариантах Kelihos, это приглашение добровольно предоставлять компьютеры для нападений на западные правительственные веб-сайты — только уловка, чтобы заразить больше систем, заявляет Богдан Ботезату, старший аналитик по угрозам в Bitdefender.

«Давая жертвам,   якобы, возможность стать   частью войны из их безопасного дома, злоумышленники повышают шансы добавить компьютеры к своей сети, которые в конечном итоге будут использоваться для выполнения других задач», сказал Ботезату. «Операторы ботнета Kelihos имеют  только одну конечную цель: монетизировать зараженные машины».

Об этом говорит и наличие трех файлов в зловредной программе, распространяемой спам-кампанией, которая может использоваться для перехвата и мониторинга трафика локальной сети, что не имеет ничего общего с DDoS-атаками. Эти файлы, называемые npf_sys, packet_dll и wpcap_dll, на деле являются частью легитимного приложения под названием WinPcap и имеют цифровую подпись.

«Kelihos полагается на эти файлы, чтобы наследовать функциональность сетевого мониторинга, чтобы не разрабатывать эту функцию самостоятельно», сказал Ботезату. «Иногда злоумышленники используют публично известные и широко распространенные библиотеки для получения определенной функциональности, потому что эти библиотеки были тщательно протестированы (они менее подвержены сбоям), и они также известны в системах безопасности, так что они не рискуют быть удаленными».

Ботезату   считает, что этот последний трюк банды Kelihos может иметь высокий показатель успеха. Некоторые DDoS атаки, запускаемые такими хакерскими группами, как Anonymous, на самом деле привлекали добровольцев для загрузки и установки специализированных программ на их компьютерах. Такие волонтерские атаки были организованы в России в 2008 году во время российско-грузинского конфликта.

«Такой подход не только увеличивает количество потенциальных жертв, но и позволяет хакерам географически выбирать цели среди стран, которые, скорее всего, ответят на такой вызов: российских и украинских граждан, которых касаются санкции», сказал Ботезату.

 

подготовлено по материалам networkworld.com