31 Октября 2013

ESET vs. Zombies. Хэллоуинский рейтинг ботнетов

Москва, 31 октября 2013 г. Международная антивирусная компания ESET к Хэллоуину подготовила пятерку самых страшных, ужасных и кошмарных ботнетов, также известных как «зомби-сети».

Ботнеты – это сети, состоящие из зараженных устройств, контроль над которыми перешел к киберпреступникам. Подобно «настоящим» зомби, компьютеры-боты могут атаковать другие устройства, заражая их и расширяя сеть до сотен тысяч и даже миллионов активных ПК.

Пользователи зачастую не подозревают, что их устройства используются посторонними лицами – вредоносная программа ведет себя крайне осторожно, ничем не выдавая своего присутствия. Тем более, что киберпреступники стараются не активизировать ботнет, пока он не окрепнет и не вырастет минимум до нескольких сотен компьютеров – после этого можно перевести «зомби-сеть» на «самообеспечение», используя рассылаемый ботнетом спам с вредоносными ссылками для заражения новых пользователей.

Ко Дню всех святых ESET подобрала пятерку самых интересных и необычных «зомби-сетей», в которую вошли не только угрозы для Windows, но также для устройств на базе Android и Mac OS.

***

ZeroAccess: Тятя-тятя, наши сети…

Первая версия трояна ZeroAccess, на основе которого был создан огромный ботнет, была обнаружена еще в июне в 2009 года. В процессе эволюции новые модификации трояна научились заражать 32- и 64-разрядные системы Windows и виртуозно скрываться как от пользователя, так и от антивирусных сканеров.

Так, ZeroAccess научился не просто скрываться от антивирусных приложений, но и «атаковать» их, отключая антивирус и препятствуя его дальнейшему запуску.

Для заражения пользователя киберпреступники активно применяют методы социального инжиниринга – например, исполняемый файл ZeroAccess зачастую загружается и устанавливается под видом кейгена или «кряка» для игры самим пользователем.

«Зомби-сеть» ZeroAccess используется владельцами для рассылки спама, загрузки новых вредоносных программ, накрутки посещаемости сайтов за счет кликов по рекламным ссылкам, а также для генерации электронной валюты Bitcoin (на захваченных ботнетом ПК выполняются специальные математические операции для генерации этой валюты).

Сегодня в состав ZeroAccess входит до 2 млн активных компьютеров, что делает его одним из крупнейших ботнетов за всю историю информационной безопасности (и самым крупным, созданным на основе P2P-архитектуры).

Atrax: Зомби глубокого залегания

На данный момент Atrax – технически самый сложный и интересный ботнет, использующий для распространения анонимную сеть TOR.

Поскольку передача данных в этой сети – процесс небыстрый, то ботнет не используется для кражи больших объемов данных. Вместо этого он собирает конфиденциальную информацию, вводимую в формы авторизации на различных порталах, а также загружает на ПК дополнительные вредоносные файлы.

Atrax попадает на ПК через специальную вредоносную страницу, замаскированную под сайт службы поддержки клиентов PayPal. Нетрудно догадаться, что эта ссылка распространяется при помощи фишинговых писем якобы от представителей данной платежной системы.

Ботнеты, подобные Atrax, представляют сложность для обнаружения истинного расположения командного центра «зомби-сети». Как ни парадоксально, но в данном случае анонимность TOR защищает не пользователей, а самих киберпреступников.

PokerAgent. Друзья с того света

Небольшой, но интересный ботнет, созданный специально для хищения информации у пользователей Facebook.

Речь идет о личной информации (имя, пол, фото, логины и пароли), а также о данных связанных с аккаунтами кредитных карт. Кроме того, ботнет использовался для получения игровых очков в сверхпопулярной игре Zynga Poker (ежемесячно к ней обращаются не менее 35 млн игроков).

Для получения искомых персональных данных был использован ботнет из 800 зараженных компьютеров, выполнявших инструкции командного центра. В итоге PokerAgent похитил данные 16 000 аккаунтов Facebook.

Также вредоносный код мог публиковать в Хронике зараженного пользователя фишинговую ссылку, ведущую на страницу с формой ввода логина и пароля, замаскированную под главную страницу Facebook. Как можно догадаться, введенные данные моментально попадали к злоумышленникам.

Android/GGSmart: Робозомби

Ботнеты для Android появились лишь в 2012 году, но уже активно развиваются, заражая все новые и новые устройства на базе этой мобильной платформы. Одним из самых успешных стал ботнет Android.GGSmart.

Эта зомби-сеть происходит из Китая, родины огромного количества вредоносного ПО. Для заражения максимального количества пользователей злоумышленники встроили вредоносный код Android.GGSmart в ряд легальных приложений и популярных игр, распространяя угрозу через неофициальные магазины приложений Android.

Этот ботнет позволяет злоумышленниками удаленно управлять любым из захваченных мобильных устройств с целью хищения личной информации пользователя, загрузки дополнительных приложений, включая рекламные, а также для отправки платных SMS. На пике активности ботнет на основе Android.GGSmart включал до миллиона Android-устройств.

Flashback: Зомби в яблоках

Ботнет на основе трояна Flashback стал самым крупным ботнетом для устройств на платформе Mac OS X. На пике активности ботнет сумел объединить до 600 000 компьютеров, разрушив миф о неуязвимости ОС от Apple для вредоносных программ.

При распространении трояна Flashback киберпреступники рассылали вредоносные ссылки, замаскированные под страницы с играми, сайты с потоковым видео и подобные развлекательные порталы.

Для заражения системы киберпреступники использовали уязвимость нулевого дня (т.е. неизвестную прежде уязвимость) в плагине Java от Oracle. С помощью ботнета Flashback киберпреступники могли загружать на захваченные компьютеры дополнительное злонамеренное ПО сторонних производителей и перенаправлять пользователей на вредоносные сайты. Что примечательно, обновление, закрывающее используемые злоумышленниками уязвимости компания Apple выпустила через два месяца после выпуска аналогичного обновления компанией Oracle. Позднее Apple даже была вынуждена разработать специальную утилиту для удаления Flashback с компьютеров пользователей. Кроме того, еще сильнее были ограничены возможности по установке внешних приложений – чем меньше пользователь установит программ, тем ниже вероятность заразить систему.

***

Определить, не превращен ли ваш компьютер в «зомби» можно по ряду косвенных признаков. Например, если скорость онлайн-соединения снижается без причины, либо идут регулярные обращения к жесткому диску, или же система стала сильно тормозить – все это дает повод задуматься.

Чтобы избежать превращения в зомби, достаточно соблюдать несколько простых советов:

– Не загружать игры и ПО с сомнительных ресурсов. Это касается как компьютеров, так и мобильных устройств.

– Не переходить по сомнительным ссылкам, особенно присланным незнакомыми людьми.

– Использовать комплексную антивирусную защиту, никогда ее не отключать и периодически проводить глубокое сканирование системы.

Вот и все. С Хэллоуином!

Всегда ваши,
Команда ESET Russia.