В декабре 2010 г. троян Buzus распространялся в виде новогодних открыток
Согласно ежемесячному отчету Fortinet о состоянии сетевой безопасности по всему миру за декабрь 2010 г., киберпреступники шагнули далеко вперёд, повышая эффективность распределения своих нелегальных доходов.
По информации Fortinet, для уменьшения подозрения и увеличения процента нанимаемых денежных мулов злоумышленники использовали доменные имена, созвучные конкретному региону: cv-eur.com, asia-sitezen.com и australia-resume.com, при более тщательном изучении которых специалистами лаборатории FortiGuard было обнаружено, что все три домена были зарегистрированы на одно и то же российское лицо, а для вербовки людей по всему миру использовался почтовый хостинг Google. Локальные кампании по вербовке позволяют преступникам получать доступ к банковским счетам, использование которых регулируется различными банковскими и национальными законами и правилами. Таким образом, если один из счетов арестовывается, остальные остаются активными, и «бизнес» продолжает свою нормальную работу, пояснили в Fortinet.
«В декабре мы наблюдали большое количество кампаний по найму так называемых “денежных мулов”. Это был первый случай, когда кампании проводились целенаправленно по конкретным странам на территории Азии, Европы, а также в Австралии, – прокомментировал данные отчёта Дерек Манки (Derek Manky), менеджер Fortinet по проектам в области сетевой безопасности и исследовании угроз. – В ходе этих кампаний вербовались люди, которые имели отношение к банковской сфере или искали работу в качестве “администраторов онлайн-продаж”».
Кроме того, декабрь ушедшего года был также отмечен возобновлением активности трояна Buzus. Его распространение осуществлялось посредством рассылки спама по всем найденным на рабочей станции электронным адресам. Массовость заражения была обеспечена тем, что письма приходили с адресов знакомых людей с предложением посмотреть новогоднюю поздравительную открытку. При попытке перейти по ссылке, компьютер становился частью бот-сети Hiloti.
«Hiloti использует принципиально новый подход – эта бот-сеть использует DNS в качестве канала для передачи отчётов о своих действиях на управляющие сервера, – пояснил Дерек Манки. – Это делается, чтобы избежать обнаружения, так как активность бот-агентов выглядит как легитимный DNS-трафик. На сегодняшний день Hiloti является одной из самых распространенных бот-сетей, поэтому киберпреступники предпочитают использовать именно её для своей деятельности». По словам Манки, высокая распределённость достигается благодаря финансовой заинтересованности участников: посредники, способствующие дальнейшему распространению агентов бот-сети, получают денежное вознаграждение за каждую вновь заражённую систему. «Благодаря подобной мотивации, сеть развивается намного быстрее, чем она могла бы делать это естественным образом», – заключил Манки.
В декабре 2010 г. аналитики FortiGuard обнаружили 3 уязвимости в продуктах Microsoft и Apple, которые позволяют выполнять произвольный код на рабочих станциях. Так, документ FGA-2010-65 описывает уязвимость ядра операционной системы Windows, которая позволяет выполнять на атакуемой машине код с повышенными привилегиями. В документе FGA-2010-64 говорится об уязвимости при загрузке DLL-файлов. Эта уязвимость имеет отношение сразу к нескольким продуктам в рамках операционной системы Windows 7. В FGA-2010-62 идет речь об уязвимости в продукте Apple QuickTime, которая приводит к целочисленному переполнению (integer overflow). Потенциальное заражение может произойти при банальной попытке просмотреть видеофайл формата QuickTime movie, говорится в отчете Fortinet.
Лаборатория FortiGuard составила статистику и тенденции распространения угроз на основе данных, полученных с устройств FortiGate и других систем обнаружения, выпускаемых и установленных по всему миру.
© CNews
