Вредонос Fareit обходит антивирусы благодаря использованию разных хэшей файла в каждой атаке
Хакерская кампания связана с IP-адресами, расположенными в США, Китае и Украине.
ИБ-исследователи из Cisco Talos обнаружили новую разновидность вредоносного ПО Fareit. По словам специалистов, вредонос изначально предназначался для взлома компьютеров и загрузки другого вредоносного ПО, которое инфицировало систему. Однако Fareit «эволюционировал», и его начали использовать для эксфильтрации данных, в частности для хищения пользовательских паролей из браузеров.
В мае 2013 года Fareit распространялся в масштабной хакерской кампании, в ходе которой использовался набор эксплоитов Blackhole. В 2014 году ИБ-эксперты из Fidelis Cybersecurity обнаружили новый вариант спам-ботнета Pushdo, который атаковал компьютерные системы в 50 странах мира. Ботнет был способен рассылать 7,7 миллиардов спам-сообщений в день. Больше всего от хакерской кампании пострадали пользователи в Индии, Индонезии, Турции и Вьетнаме. Последняя версия ботнета Pushdo использовалась злоумышленниками для распространения таких вредоносов, как Fareit, Cutwail, Dyre и Zeus. В начале текущего года хакеры использовали тактику перенаправления жертв на содержащие Fareit интернет-ресурсы.
Новая версия Fareit способна изменять хэш файла для каждой «инфекции», даже если имя файла остается таким же. Данная возможность помогает вредоносу оставаться незамеченным для антивирусных программ. ИБ-эксперты из Cisco Talos обнаружили подозрительные исполняемые файлы, которые загружались с последующих адресов — 89.144.2.119/cclub02.eхе и 89.144.2.115/cclub02.exе в одной из сети своих клиентов.
ИБ-эксперты обнаружили 2455 образцов Fareit, из которых только 23 имели одинаковый хэш. Все обнаруженные экспертами варианты вредоноса были связаны с двумя C&C-серверами. Специалисты отмечают, что несмотря на попытки злоумышленников создать вредонос с различными хэшами, они используют аналогичные или крайне схожие имена файлов.
Проверка IP-адресов, связанных с вредоносной кампанией Fareit, показала, что практически все они находятся в США, Украине и Китае. Предполагается, что за хакерской кампанией может стоять одна группа злоумышленников.
Источник: SecurityLab
Читайте также:
Верховный суд Евросоюза признал незаконной передачу персональных данных из Европы в Америку
Верховный суд Евросоюза постановил, что международное соглашение по передаче цифровых персональных данных между Европейским Союзом и США о «безопасной гавани» (Safe Harbour) является недействительным, пишет The New York Times.
Увеличение объема трансграничных расчетных операций в иностранной валюте на китайских платформах электронной торговли
По последним данным Китайского управления валютного контроля, «оживление» трансграничной электронной торговли непосредственно привело к стремительному увеличению объема трансграничных расчетных операций в иностранной валюте.