Win32/RBrute атакует пользователей Facebook и Google

Международная антивирусная компания ESET обнаружила новый компонент крупнейшего ботнета Win32/Sality – Win32/RBrute. В отличие от уже известных элементов ботнета, он модифицирует DNS-сервис роутеров таким образом, что скомпрометированный роутер перенаправляет пользователей на поддельную страницу загрузки браузера Google Chrome. Фальшивый установщик представляет собой один из вредоносных файлов самого Sality.

Семейство файловых инфекторов Win32/Sality известно с 2003 г. Специалисты вирусной лаборатории ESET отслеживали его на протяжении длительного времени. В рейтинге информационных угроз за март 2014 г. Sality занимает вторую строку с ростом активности 1,68%.

Ботнет Sality может выступать в роли вируса или загрузчика других вредоносных программ (downloader). Он обладает модульной архитектурой, его компоненты отвечают за рассылку спама, организацию DDoS, генерацию рекламного трафика и взлом VoIP аккаунтов. Долговечность и постоянное совершенствование ботнета свидетельствуют о высокой квалификации авторов вредоносного кода.

Согласно данным телеметрии, в октябре 2013 г. в составе Sality появился еще один компонент, дополняющий работу ботнета новыми функциями. Он получил название Win32/RBrute.


 Поддельная веб-страница загрузки Google Chrome

Первый модуль RBrute детектируется антивирусными продуктами ESET NOD32 какWin32/RBrute.А. Он осуществляет поиск веб-страниц панелей управления роутера, чтобы изменить запись основного DNS-сервера. В настоящее время  Win32/RBrute.A позволяет злоумышленникам получить доступ к различным моделям роутеров, административные веб-страницы управления которых защищены очень слабым паролем или к которым можно получить доступ из интернета.

Когда пользователи обращаются к сайтам, содержащим в названии домена «facebook» или«google», поддельный DNS-сервис направляет их на «страницу установки Google Chrome». Вместо браузера на компьютеры загружается вредоносный файл самого Win32/Sality. Так злоумышленники обеспечивают дальнейшее расширение ботнета.

Существует еще один модуль вредоносной программы – Win32/RBrute.B. Он устанавливаетсяSality на скомпрометированных компьютерах и может выступать в качестве DNS или НТТР прокси-сервера для доставки поддельного установщика Google Chrome.

«Простые векторы заражения пользователей вредоносным кодом Win32/Sality не могут быть достаточно эффективными, чтобы поддерживать популяцию ботнета на соответствующем уровне, – комментирует Артем Баранов, ведущий вирусный аналитик ESET. – Злоумышленники нуждались в новом способе распространения вредоносной программы, и таким способом сталDNS hijacking для роутера. В зависимости от того, подвержен ли выбранный роутер эксплуатации, жертвами перенаправлений может стать множество подключенных к нему пользователей».

Эксперты ESET рекомендуют использовать безопасные пароли для аккаунтов панелей управления роутеров, а также проверить, действительно ли необходимо разрешать доступ к ней из интернета.

ESET


comments powered by Disqus

Топ компаний

  1. ESET  367
  2. Intel  159
  3. Лаборатория Касперского  153
  4. Microsoft  149
  5. Samsung Electronics  148
  6. Google  74
  7. Dell  60
  8. Qiwi  35
  9. Cisco Systems  27
  10. McAfee  24