Антивирусные эксперты из компании Symantec обнаружили группу
интернет-преступников, использующих сервис телеконференций Google
Groups в качестве командного центра для вредоносного программного
обеспечения, заразившего компьютеры. В Symantec говорят, что данный
пример является еще одной иллюстрацией того, что мошенники меняют
способы взаимодействия со своими бот-сетями.
Ранее подобный механизм был обнаружен на сервисе блогов Twitter, когда
один из блогов был использован в качестве своеобразного командного
сервера для передачи команд троянцам, атакующим ИТ-ресурсы. По
прогнозам Symantec, в будущем популярность сервисов блогов как
C&C-механизмов (Comand and Control) будет лишь расти и
администраторам сервисов придется постоянно закрывать "бот-блоги" и
"бот-конференции".
"Глядя на такие находки вспоминается старый способ, когда агенты-шпионы
использовали друг с другом рекламу в газетах и особые ключевых статьи в
словах. Сейчас атакующие также прибегают к помощи так называемых
онлайн-медиумов, тексты в блогах представляют собой набор служебных
данных, которые могут видеть все, но предназначены они только для
троянцев", - рассказывает Зулькифар Рамзан, технический директор
Symantec Security Response.
"Привлекательность этого метода кроется в его дешевизне, хакерам нет
нужды траться на выделенный командный сервер", - говорит он.
В случае с Google Groups, преступники использовали сервис для
управления трояном Trojan.Grups, представляющего собой злонамеренный
код под Windows. Суть троянца в том, что он открывает путь к зараженным
ПК с целью подселения других вредоносных кодов. Когда троянец проникает
в компьютер, то он считывает сообщения из специальной конференции, где
содержатся команды для него. После того, как троянец считывает команду,
он выполняет ее и публикует в конференции отчет о проданной работе.
"Одним из важных моментов этой атаки является использование довольно
устойчивого шифра RC4 для шифрования "общения" командный центр
публикует сообщения, зашифрованные в RC4, а троянец таким же
зашифрованным способом отвечает", - рассказывают в Symantec. Подобные
шаги говорят, в первую очередь, о дополнительных шагах злоумышленников,
направленных на избежание обнаружения.
В Symantec говорят, что одним из серьезных недостатков данного метода
является сохранение истории "переписки" троянца и его авторов, что
позволяет отследить все шаги обеих сторон. В случае с Trojan.Grups
антивирусные аналитики полагают, что авторы всей атаки находятся на
Тайване, так как дешифровка сообщений показывает, что они уходят в зону
.tw, а некоторые моменты кода говорят о том, что оригинал был написан
на упрощенном китайском.
|
Главная 
