Хэллоуинский рейтинг ботнетов


ESET NOD32Компанией ESET к Хэллоуину был выведен рейтинг пяти самых жутких "зомби-сетей", в которую вошли угрозы для Windows, Android и Mac OS.

"Зомби-сети" – это сети, состоящие из зараженных устройств, контроль над которыми перешел к киберпреступникам. Компьютеры-боты могут атаковать другие устройства, заражая их и расширяя сеть до сотен тысяч и даже миллионов активных ПК. При этом пользователи этих ПК зачастую сами не подозревают, что их устройства используются посторонними лицами, т.к. вредоносная программа ведет себя крайне осторожно, ничем не выдавая своего присутствия.

Незаметное нахождение вредоносов на компьютере еще связано и с тем, что киберпреступники стараются не активизировать ботнет до тех пор, пока он не окрепнет и не вырастет минимум до нескольких сотен компьютеров. И только после этого можно перевести "зомби-сеть" на "самообеспечение", используя рассылаемый ботнетом спам с вредоносными ссылками для заражения новых пользователей.


ZeroAccess
Первая версия трояна ZeroAccess, на основе которого был создан огромный ботнет, впервые была обнаружена в июне в 2009 года. Последующие модификации вредоноса научились заражать 32- и 64-разрядные системы Windows, а также виртуозно скрываться от пользователя и от антивирусных сканеров.

Так, троян ZeroAccess научился не только скрываться от антивирусных приложений, но и "атаковать" их: отключать антивирус и препятствовать его дальнейшему запуску.

Для заражения пользователя киберпреступники зачастую применяют методы социальной инженерии – маскируют исполняемый файл ZeroAccess под кейген или "кряк" для игры.

"Зомби-сеть", основанная на ZeroAccess используется владельцами для:

  • рассылки спама;
  • загрузки новых вредоносных программ;
  • накрутки посещаемости сайтов за счет кликов по рекламным ссылкам;
  • для генерации электронной валюты Bitcoin.


По имеющимся в компании данным, сегодня в состав ZeroAccess входит до 2 млн. активных компьютеров, что делает его одним из крупнейших ботнетов за всю историю информационной безопасности.


Atrax или зомби глубокого залегания
Atrax – самый сложный с технической точки зрения ботнет, использующий для распространения анонимную сеть TOR.

Данный вид ботнета не используется для кражи больших объемов данных, а собирает конфиденциальную информацию, вводимую в формы авторизации на различных порталах, а также загружает на ПК дополнительные вредоносные файлы.

Попадает Atrax на ПК через специальную вредоносную страницу, замаскированную под сайт службы поддержки клиентов PayPal. А эта ссылка распространяется при помощи фишинговых писем якобы от представителей данной платежной системы.

Atrax и подобные ему ботнеты, представляют сложность для обнаружения истинного расположения командного центра "зомби-сети", т.к. анонимность TOR защищает, в данном случае, самих киберпреступников.


PokerAgent
PokerAgent - небольшой ботнет, созданный для хищения конфиденциальной информации у пользователей Facebook, а также о данных связанных с аккаунтами кредитных карт. Также ботнет использовался для получения игровых очков в игре Zynga Poker.

Для получения персональных данных был использован ботнет из 800 зараженных компьютеров, выполнявших инструкции командного центра. В результате PokerAgent сумел похитить данные 16 тыс. аккаунтов Facebook.

Также вредоносный код мог публиковать в Хронике зараженного пользователя фишинговую ссылку, ведущую на страницу с формой ввода логина и пароля, замаскированную под главную страницу Facebook. При этом все введенные данные моментально попадали к злоумышленникам.


Android/GGSmart или ботнет из Android-устройств
Среди ботнетов из Android-устройств самым успешным стал - Android.GGSmart.

Android.GGSmart - зомби-сеть, происхождением из Китая, вредоносный код которой встраивается в ряд легальных приложений и популярных игр, распространяясь через неофициальные магазины приложений Android.

Этот ботнет позволяет злоумышленниками удаленно управлять любым из захваченных мобильных устройств с целью:

  • хищения личной информации пользователя;
  • загрузки дополнительных приложений, включая рекламные;
  • для отправки платных SMS.


В пик активности ботнет на основе Android.GGSmart насчитывал около миллиона Android-устройств.


Flashback или ботнет для МАС-устройств
Ботнет на основе трояна Flashback является самым крупным ботнетом для МАС-устройств. В пик активности ботнет объединил до 600 тыс. компьютеров, тем самым разрушив миф о неуязвимости ОС от Apple перед вредоносными программами.

Для распространения трояна Flashback киберпреступники использовали вредоносные ссылки, замаскированные под страницы с играми, сайты с потоковым видео и подобные развлекательные порталы.

Для заражения самой системы киберпреступники использовали уязвимость нулевого дня в плагине Java от Oracle. С помощью ботнета Flashback киберпреступники могли загружать на захваченные компьютеры дополнительное злонамеренное ПО сторонних производителей и перенаправлять пользователей на вредоносные сайты.

Интересный факт, обновление, закрывающее используемые злоумышленниками уязвимости, компания Apple выпустила только через два месяца после выпуска аналогичного обновления компанией Oracle. Уже значительно позднее компания Apple была вынуждена разработать специальную утилиту для удаления Flashback с компьютеров пользователей. К тому же были ограничены возможности по установке внешних приложений – чем меньше пользователь установит программ, тем ниже вероятность заразить систему.


Обновлено (31.10.2013 15:49)