Приложение дня: Ultrasurf VPN

Обнаружен ботнет из более чем 550 000 «маков»



Автор: Softodrom.ru
Дата:

Специалисты компании «Доктор Веб», российского разработчика средств информационной безопасности, провели специальное исследование, позволившее оценить картину распространения троянской программы BackDoor.Flashback, заражающей компьютеры, работающие под управлением операционной системы Mac OS X. Сейчас в ботнете BackDoor.Flashback действует более 550 000 инфицированных рабочих станций, большая часть которых расположена на территории США и Канады. Это в очередной раз опровергает заявления некоторых экспертов об отсутствии угроз для пользователей «маков», отмечают эксперты компании «Доктор Веб».

Заражение троянцем BackDoor.Flashback.39 осуществляется с использованием инфицированных сайтов и промежуточных TDS (Traffic Direction System, систем распределения трафика), перенаправляющих пользователей Mac OS X на вредоносный сайт. Таких страниц специалистами «Доктор Веб» было выявлено достаточно много — все они содержат Java-скрипт, загружающий в браузер пользователя Java-апплет, который, в свою очередь, содержит эксплойт. Среди недавно выявленных вредоносных сайтов фигурируют, в частности:

godofwar3.rr.nu
ironmanvideo.rr.nu
killaoftime.rr.nu
gangstasparadise.rr.nu
mystreamvideo.rr.nu
bestustreamtv.rr.nu
ustreambesttv.rr.nu
ustreamtvonline.rr.nu
ustream-tv.rr.nu
ustream.rr.nu

По информации из некоторых источников на конец марта в выдаче Google присутствовало более 4 млн. зараженных веб-страниц. Кроме того, на форумах пользователей Apple сообщалось о случаях заражения троянцем BackDoor.Flashback.39 при посещении сайта dlink.com.

Начиная с февраля 2012 года злоумышленники начали использовать для распространения вредоносного ПО уязвимости CVE-2011-3544 и CVE-2008-5353, а после 16 марта они стали применять другой эксплойт (CVE-2012-0507). Исправление для данной уязвимости корпорация Apple выпустила только 3 апреля 2012 года.

Эксплойт сохраняет на жесткий диск инфицируемого «мака» исполняемый файл, предназначенный для скачивания полезной нагрузки с удаленных управляющих серверов и ее последующего запуска. Специалистами «Доктор Веб» было выявлено две версии троянца: приблизительно с 1 апреля злоумышленники стали использовать модифицированный вариант BackDoor.Flashback.39. Как и в предыдущих версиях, после запуска вредоносная программа проверяет наличие на жестком диске следующих компонентов:

/Library/Little Snitch
/Developer/Applications/Xcode.app/Contents/MacOS/Xcode
/Applications/VirusBarrier X6.app
/Applications/iAntiVirus/iAntiVirus.app
/Applications/avast!.app
/Applications/ClamXav.app
/Applications/HTTPScoop.app
/Applications/Packet Peeper.app

Если указанные файлы обнаружить не удалось, то троянец формирует по определенному алгоритму список управляющих серверов, отсылает сообщение об успешной установке на созданный злоумышленниками сервер статистики и выполняет последовательный опрос командных центров.

Вредоносная программа использует весьма интересный механизм генерации адресов управляющих серверов, позволяющий в случае необходимости динамически перераспределять нагрузку между ними, переключаясь от одного командного центра к другому. Получив ответ управляющего сервера, BackDoor.Flashback.39 проверяет переданное с командного центра сообщение на соответствие подписи RSA, а затем, если проверка оказывается успешной, загружает и запускает на инфицированной машине полезную нагрузку, в качестве которой может выступать любой исполняемый файл, указанный в полученной троянцем директиве.

Каждый из ботов передает управляющему серверу в строке запроса уникальный идентификатор инфицированного компьютера. С использованием метода sinkhole специалистам компании «Доктор Веб» удалось перенаправить трафик ботнета на собственные серверы, что позволило осуществить подсчет инфицированных узлов.

На 4 апреля в бот-сети действует более 550 000 инфицированных компьютеров, работающих под управлением операционной системы Mac OS X. При этом речь идет только о некоторой части ботнета, использующей данную модификацию троянца BackDoor.Flashback. Большая часть заражений приходится на долю США (56,6%, или 303449 инфицированных узлов), на втором месте находится Канада (19,8%, или 106379 инфицированных компьютеров), третье место занимает Великобритания (12,8%, или 68577 случаев заражения), на четвертой позиции — Австралия с показателем 6,1% (32527 инфицированных узлов).

03.08.2022 16:01

В России предложили сажать за использование VPN

Ранее Саратовский районный суд вновь запретил в России сайт Tor. Это произошло спустя всего неделю после того, как Роскомнадзор разблокировал сайт, исполнив предыдущее решение суда


01.08.2022 06:13

Российские разработчики систем информзащиты срывают поставки

Российские разработчики средств защиты информации для банков, операторов связи и государственных информационных систем не могут выполнить заказы из-за перебоев с поставками иностранных комплектующих


30.07.2022 19:46

«Почта России» объяснила утечку данных клиентов

«Почта России» подтвердила частичную утечку данных пользователей в результате хакерской атаки на одного из подрядчиков


29.07.2022 18:24

Хакеры охотятся за токенами Discord и данными банковских карт

Атакующие использовали четыре зараженных пакета, распространяющие вредоносные программы Volt Stealer и Lofy Stealer в репозитории с открытым исходным кодом


29.07.2022 18:17

Мошенники стали подделывать голос «Алисы» от «Яндекса»

Компания «Яндекс» предупредила о новой мошеннической схеме, при которой злоумышленники используют поддельный голос голосового помощника «Алиса»


Популярное: Безопасность
03.08.2022 16:01

В России предложили сажать за использование VPN

Ранее Саратовский районный суд вновь запретил в России сайт Tor. Это произошло спустя всего неделю после того, как Роскомнадзор разблокировал сайт, исполнив предыдущее решение суда


29.11.2017 05:21

Как удалить данные без возможности восстановления

Что такое безвозвратное удаление данных, и как удалить данные с компьютера так, чтобы их нельзя было восстановить


01.08.2022 06:13

Российские разработчики систем информзащиты срывают поставки

Российские разработчики средств защиты информации для банков, операторов связи и государственных информационных систем не могут выполнить заказы из-за перебоев с поставками иностранных комплектующих


07.04.2019 19:42

Как увидеть скрытых друзей во «ВКонтакте»

Поскольку многие пользователи «ВКонтакте» искренне верят, что существует способ увидеть чужих скрытых друзей, Софтодром решил этот миф опровергнуть


30.07.2022 19:46

«Почта России» объяснила утечку данных клиентов

«Почта России» подтвердила частичную утечку данных пользователей в результате хакерской атаки на одного из подрядчиков


Nur Frolov
Nur Frolov, 09.04.2012 14:25
вопрос стоял только в популярности маков, теперь с развитием так сказать imac, ipad и тому подобных устройств и увеличения их числа, хацкеры начнут писать и под них зловредные приложения. так что у яблочников всё еще впереди: "сексреволюция" в сфере безопасности
isavn
isavn, 06.04.2012 20:37
Совсем недавно с одной тётенькой (постарше меня :))) про неуязвимость Маков общались. Ну, блин, упёртая! Так вот, тётка! Теперь-то ты веришь мне? Или тебе усёрамно по..?
romanboss
romanboss, 05.04.2012 17:36
Ябло*рочеры в панике. ))))
Pijon66
Pijon66, 05.04.2012 16:17
Да вот вам и хвалёные Маки,а я было хотел перейти на него,теперь нет останусь на любимой Винде.А то уж так расхваливали у Маков их систему безопасности,а тут вот как,нашлись всё-таки умные люди и взломали эту хвалёную безопасность...
Raidor
Raidor, 05.04.2012 15:46
Какой ужас. Этот день станет черным днем для пользователей Маков. Как теперь смотреть в глаза друг другу...
» Прочитать остальные / Написать свой комментарий

Все рубрики статей (2575 / 0):


Статистика | Рейтинги | Авторам | Реклама
Copyright © 1999-2022 Softodrom.ru
О проекте | О перепечатках | Рассылки | Пользовательское соглашение | Политика конфиденциальности | Карта сайта
Яндекс.Метрика