Антивирусная компания ESET к Хэллоуину подготовила пятерку самых страшных, ужасных и кошмарных ботнетов, также известных как «зомби-сети». Ботнеты, – это сети, состоящие из зараженных устройств, контроль над которыми перешел к киберпреступникам. Подобно «настоящим» зомби, компьютеры-боты могут атаковать другие устройства, заражая их и расширяя сеть до сотен тысяч и даже миллионов активных ПК. Пользователи зачастую не подозревают, что их устройства используются посторонними лицами – вредоносная программа ведет себя крайне осторожно, ничем не выдавая своего присутствия. Тем более, что киберпреступники стараются не активизировать ботнет, пока он не окрепнет и не вырастет минимум до нескольких сотен компьютеров – после этого можно перевести «зомби-сеть» на «самообеспечение», используя рассылаемый ботнетом спам с вредоносными ссылками для заражения новых пользователей.
ZeroAccess. Первая версия трояна ZeroAccess, на основе которого был создан огромный ботнет, была обнаружена еще в июне в 2009 года. В процессе эволюции новые модификации трояна научились заражать 32- и 64-разрядные системы Windows и виртуозно скрываться как от пользователя, так и от антивирусных сканеров. Так, ZeroAccess научился не просто скрываться от антивирусных приложений, но и «атаковать» их, отключая антивирус и препятствуя его дальнейшему запуску. Сегодня в состав ZeroAccess входит до 2 млн активных компьютеров, что делает его одним из крупнейших ботнетов за всю историю информационной безопасности (и самым крупным, созданным на основе P2P-архитектуры).
Atrax: Зомби глубокого залегания. На данный момент Atrax – технически самый сложный и интересный ботнет, использующий для распространения анонимную сеть TOR. Поскольку передача данных в этой сети – процесс небыстрый, то ботнет не используется для кражи больших объемов данных. Вместо этого он собирает конфиденциальную информацию, вводимую в формы авторизации на различных порталах, а также загружает на ПК дополнительные вредоносные файлы. Atrax попадает на ПК через специальную вредоносную страницу, замаскированную под сайт службы поддержки клиентов PayPal. Нетрудно догадаться, что эта ссылка распространяется при помощи фишинговых писем якобы от представителей данной платежной системы.
PokerAgent. Небольшой, но интересный ботнет, созданный специально для хищения информации у пользователей Facebook. Речь идет о личной информации (имя, пол, фото, логины и пароли), а также о данных связанных с аккаунтами кредитных карт. Кроме того, ботнет использовался для получения игровых очков в сверхпопулярной игре Zynga Poker (ежемесячно к ней обращаются не менее 35 млн игроков). Для получения искомых персональных данных был использован ботнет из 800 зараженных компьютеров, выполнявших инструкции командного центра. В итоге PokerAgent похитил данные 16 000 аккаунтов Facebook.
Android/GGSmart. Ботнеты для Android появились лишь в 2012 году, но уже активно развиваются, заражая все новые и новые устройства на базе этой мобильной платформы. Одним из самых успешных стал ботнет Android.GGSmart. Эта зомби-сеть происходит из Китая, родины огромного количества вредоносного ПО. Для заражения максимального количества пользователей злоумышленники встроили вредоносный код Android.GGSmart в ряд легальных приложений и популярных игр, распространяя угрозу через неофициальные магазины приложений Android. Этот ботнет позволяет злоумышленниками удаленно управлять любым из захваченных мобильных устройств с целью хищения личной информации пользователя, загрузки дополнительных приложений, включая рекламные, а также для отправки платных SMS. На пике активности ботнет на основе Android.GGSmart включал до миллиона Android-устройств.
Flashback. Ботнет на основе трояна Flashback стал самым крупным ботнетом для устройств на платформе Mac OS X. На пике активности ботнет сумел объединить до 600 000 компьютеров, разрушив миф о неуязвимости ОС от Apple для вредоносных программ. При распространении трояна Flashback киберпреступники рассылали вредоносные ссылки, замаскированные под страницы с играми, сайты с потоковым видео и подобные развлекательные порталы. Для заражения системы киберпреступники использовали уязвимость нулевого дня (т.е. неизвестную прежде уязвимость) в плагине Java от Oracle. С помощью ботнета Flashback киберпреступники могли загружать на захваченные компьютеры дополнительное злонамеренное ПО сторонних производителей и перенаправлять пользователей на вредоносные сайты.
Что примечательно, обновление, закрывающее используемые злоумышленниками уязвимости компания Apple выпустила через два месяца после выпуска аналогичного обновления компанией Oracle. Позднее Apple даже была вынуждена разработать специальную утилиту для удаления Flashback с компьютеров пользователей. Кроме того, еще сильнее были ограничены возможности по установке внешних приложений – чем меньше пользователь установит программ, тем ниже вероятность заразить систему.
Источник новости: ESET