Fortinet: троян Buzus «поздравил» с Новым годом

Российское представительство компания Fortinet представило ежемесячный отчёт о состоянии сетевой безопасности по всему миру за декабрь 2010 года. В отчёте говорится о том, что киберпреступники шагнули далеко вперёд, повышая эффективность распределения своих нелегальных доходов.

Fortinet

«В декабре мы наблюдали большое количество кампаний по найму так называемых "денежных мулов". Это был первый случай, когда кампании проводились целенаправленно по конкретным странам на территории Азии, Европы, а также в Австралии, - комментирует данные отчёта Дерек Манки (Derek Manky), менеджер Fortinet по проектам в области сетевой безопасности и исследовании угроз. - В ходе этих кампаний вербовались люди, которые имели отношение к банковской сфере или искали работу в качестве "администраторов онлайн продаж"».

Злоумышленники для уменьшения подозрения и увеличения процента нанимаемых денежных мулов, злоумышленники использовали доменные имена, созвучные конкретному региону: cv-eur.com, asia-sitezen.com и australia-resume.com, при более тщательном изучении которых специалистами лаборатории FortiGuard было обнаружено, что все три домена были зарегистрированы на одно и то же российское лицо, а для вербовки людей по всему миру, использовался почтовый хостинг Google.

Локальные кампании по вербовке позволяют преступникам получать доступ к банковским счетам, использование которых регулируется различными банковскими и национальными законами и правилами. Таким образом, если один из счетов арестовывается, остальные остаются активными, и «бизнес» продолжает свою нормальную работу.

Декабрь был также отмечен возобновлением активности трояна Buzus. Его распространение осуществлялось посредством рассылки спама по всем найденным на рабочей станции электронным адресам. Массовость заражения была обеспечена тем, что письма приходили с адресов знакомых людей с предложением посмотреть новогоднюю поздравительную открытку. При попытке перейти по ссылке, компьютер становился частью бот-сети Hiloti.

«Hiloti использует принципиально новый подход - эта бот-сеть использует DNS в качестве канала для передачи отчётов о своих действиях на управляющие сервера, - продолжает комментировать Манки. - Это делается, чтобы избежать обнаружения, так как активность бот-агентов выглядит как легитимный DNS-трафик. На сегодняшний день Hiloti является одной из самых распространенных бот-сетей, поэтому киберпреступники предпочитают использовать именно её для своей деятельности. Высокая распределённость достигается благодаря финансовой заинтересованности участников. Дело в том, что посредники, способствующие дальнейшему распространению агентов бот-сети, получают денежное вознаграждение за каждую вновь заражённую систему. Благодаря подобной мотивации, сеть развивается намного быстрее, чем она могла бы делать это естественным образом».

В прошлом месяце аналитики FortiGuard обнаружили три уязвимости в продуктах Microsoft и Apple, которые позволяют выполнять произвольный код на рабочих станциях. Документ FGA-2010-65 описывает уязвимость ядра операционной системы Windows, которая позволяет выполнять на атакуемой машине код с повышенными привилегиями. В документе FGA-2010-64 говорится об уязвимости при загрузке DLL-файлов. Эта уязвимость имеет отношение сразу к нескольким продуктам в рамках операционной системы Windows 7. В FGA-2010-62 идет речь об уязвимости в продукте Apple QuickTime, которая приводит к целочисленному переполнению (integer overflow). Потенциальное заражение может произойти при банальной попытке просмотреть видеофайл формата QuickTime movie.

Уязвимости, описанные выше, а также опубликованные раннее, активно используются злоумышленниками, поэтому, как утверждает компания, особенно важно, чтобы все приложения имели самые последние обновления безопасности. Дополнить защиту рекомендуется системой предотвращения вторжений (IPS), которая позволит минимизировать возможность атак через давние и самые новые уязвимости. Последнее время всё большее значение приобретает механизм контроля приложений для борьбы с вредоносной активностью на прикладном уровне.

Лаборатория FortiGuard составила статистику и тенденции распространения угроз на основе данных, полученных с устройств FortiGate и других систем обнаружения, выпускаемых и установленных по всему миру. Клиенты, которые используют подписку сервиса FortiGuard, уже защищены от угроз, упоминаемых в указанном отчёте.

Ранее редакция THG сообщала, что 24-25 августа «Лаборатория Касперского» провела традиционный пресс-тур для журналистов стран СНГ и Балтии. В этом году тур совпал с выходом Kaspersky Internet Security 2011 (KIS) на российский и некоторые другие рынки. В нашей статье мы рассмотрели изменения, которые произошли в «Лаборатории Касперского» за последний год, а также поговорили о том, чем отличается KIS 2011 от предыдущих версий.

©  Tom's Hardware