Истина где-то ниже
Август 28, 2018

Инструмент для создания ботнета продается как легитимное ПО

Очень плохоПлохоСреднеХорошоОчень хорошо (Еще нет голосов, оставьте первым)
Загрузка...

Утилита для удаленного администрирования Remcos и другие разработки компании Breaking Security предоставляют киберпреступнику все необходимые инструменты и инфраструктуру для создания и поддержки ботнета. К такому выводу пришли специалисты Cisco Talos, изучившие возможности приложений, предлагаемых на рынке как легитимное ПО. Эксперты обнаружили следы этих программ в нескольких кибератаках, нацеленных на организации в Турции.

Программу Remcos можно использовать для полного контроля и мониторинга любой версии операционной системы Windows, начиная с XP и заканчивая сборками для серверов. Ее разработчики также предлагают клиентам приложение Octopus Protector, предназначенное для маскировки деятельности вредоносного ПО, а также кейлоггер для перехвата сеанса работы с клавиатурой в зараженной системе. Помимо этого, эксперты обнаружили в списке услуг программу для массовой рассылки спама и службу DynDNS, обеспечивающую связь с командным сервером после атаки.

Исследователи заинтересовались продуктами Breaking Security после того, как обнаружили рассылку Remcos во время нескольких вредоносных кампаний на территории Турции. Злоумышленники отправляли письма, замаскированные под деловую переписку, на адреса организаций производственного и энергетического сектора, а также новостных агентств.

В комплекте с письмом шел файл Word или Excel, который предлагал пользователю разрешить выполнение макросов, чтобы ознакомиться с содержанием документа. Внедренный вредоносный скрипт распаковывал загрузчик, который в свою очередь устанавливал на скомпрометированное устройство Remcos.

Breaking Security продает свои приложения через официальный сайт по цене от €58 до €389. Разработчик пытается выглядеть легитимным и утверждает, что лицензия на ПО запрещает его использование в преступных целях. При этом все данные, позволяющие идентифицировать юридические лица или конкретных людей, имеющих отношение к компании, тщательно скрываются.

Так, например, Breaking Security использует НДС-идентификатор, зарегистрированный в Германии — единственной стране ЕС, которая не раскрывает данных о налоговых агентах. Как сообщают исследователи, информация о владельцах большинства сайтов, ассоциированных с компанией, также закрыта, однако по косвенным признакам эксперты сумели установить личность злоумышленника.

Внимание специалистов привлекли адреса электронной почты и веб-сайта, указанные на одном из рекламных скриншотов программы-кейлоггера. Эксперты определили владельца домена viotto[.]it, а также проанализировали архив старых версий сайта viotto-security[.]net, сохраненный в Интернете.

Оба источника указали на одного и того же человека, проживающего в итальянском городе Бергамо. Экспертам удалось выяснить его контактные данные и найти еще ряд связанных с ним ресурсов.

Как оказалось, предполагаемый автор Remcos продвигает ее не только по легальным каналам от имени Breaking Security, но и среди участников нескольких хакерских форумов. Аналитики обнаружили, что, в отличие от «официальной» позиции разработчика, продавец приложения в дарквебе одобряет его использование в качестве основы для ботнета.

Вредоносные программы для удаленного администрирования нередко выступают в качестве полезной нагрузки при сетевых атаках. На прошлой неделе стало известно о короткой целевой кампании ботнета Necurs. Нападавшие рассылали письма с RAT-трояном FlawedAmmyy в финансовые учреждения. Скрипт — установщик зловреда был встроен в документы Microsoft Publisher и PDF-файлы.

Источник: https://threatpost.ru/breaking-security-products-can-be-used-as-botnet-constructor/27919/