Одна из самых известных компьютерных зомби-сетей Koobface приносит своим владельцам по $2 млн в год. Аналитики Information Warfare Monitor впервые раскрыли структуру бизнеса ботнетов: через платежные системы деньги пострадавших интернет-пользователей переводятся на четыре российских мобильника. Международный отдел Управления «К» уже изучает информацию.
Технический аналитик канадской исследовательской компании Information Warfare Monitor Нарт Вильнев представил исследование, в котором раскрыл структуру бизнеса ботнетов. Чтобы проследить проводки, он использовал ошибки, допущенные самими хакерами, утверждает аналитик.
Червь Koobface (анаграмма Facebook) распространяется через аккаунты социальных сетей Blogspot, Facebook, MySpace, Google, Twitter и через сервисы сокращения ссылок типа bit.ly. Хакеры рассылали ссылки якобы от друзей пользователя с предложением посмотреть видео или послушать клип. По ссылке пользователь попадал на зараженную страницу и запускал файл, который давал хакерам контроль над компьютером. В качестве примера Вильнев приводит подложную страницу YouTube, на которой просят загрузить недостающий кодек или обновить версию плеера Adobe Flash. Так хакеры собирают номера банковских кат, пароли, личные данные.
Другой вариант заражения предусматривает перехват поисковых запросов пользователей и передачу этой информации в сеть Koobface. В этом случае пользователю отправляются подложные результаты поиска, и он переходит по ссылке на зараженную страницу. Хакеры используют технологии, которые пытаются с ними бороться: они мониторят свои ссылки с помощью Google Safe Browsing API и проверяют, не были ли они отмечены как вирусные в bit.ly или Facebook.
Исследователи жалуются, что часто хакеров покрывают хостинговые компании, которые предоставляют им сервера и отказываются раскрывать данные о своих клиентах. Одним из дружественных хакерам хостеров назван MiraxNetworks. Как установили исследователи, основное количество серверов группы расположено в США.
Хакеры используют стандартные способы монетизации ботнетов: плата за клики на рекламные баннеры, плата за установку программного обеспечения. После того как червь заразил компьютер, он генерирует клики на рекламу, хотя пользователь на нее не нажимал.
Бенджамин Эдельман, профессор Гарвардской школы бизнеса, рассказывает, что написать программу для подделки кликов, которая заставит компьютер нажимать на платную рекламу, просто. По его данным, подобными червями заражены десятки миллионов компьютеров.
Мошенникам из Koobface удалось заработать в период с июня 2009 года по июнь 2010 года более $2 млн. Исследователям удалось найти файл с ежедневными отчетами о доходах хакеров. Дневные доходы за последние семь лет отсылаются на четыре российских номера мобильных телефонов. Средний дневной доход составляет $5857. Самая большая дневная сумма – $19 928 – была получена 23 марта 2010 года.
Обналичить счет мобильника просто: можно прийти в офис оператора и расторгнуть контракт, в этом случае оператор возвращает оставшиеся деньги абоненту. Второй способ – операторская услуга мобильного перевода. Нужно набрать на мобильном телефоне цифровой код, и оператор спишет с баланса указанную сумму. Деньги перечисляются получателю, который может их снять по предъявлению паспорта в банке-партнере оператора.
Также найден архивный файл Koobface, который содержал записи о платежах через Paymer (paymer.com). Paymer – это платежный сервис, который интегрируется с российской платежной системой WebMoney, которую также часто используют хакеры. Архив содержит записи о 255 операциях. Суммы делились на части по $200. Есть списки получателей – это имена, фамилии, ники.
Александр Матросов, руководитель Центра вирусных исследований и аналитики ESET, говорит, что знает Koobface «на протяжении нескольких лет». «По нашим данным, сегодня данная угроза не так активна, как раньше, и распространяется уже не в таких масштабах. Если говорить о нейтрализации или заражении Koobface, то у большинства антивирусных решений нет никаких проблем в обнаружении этого червя. Цифры, указанные автором исследования, на мой взгляд, приуменьшены. Развитие ботнета Koobface происходит с помощью так называемой партнерской программы. Поскольку авторам удалось найти файл и узнать доходы злоумышленников только из одной «партнерки», в реальности цифра может быть значительно больше», – заметил он.
Исследователи надеются, что полученная информация поможет правоохранительным органам в раскрытии преступлений хакеров. В российском Управлении «К» МВД, занимающемся борьбой с преступлениями в сфере высоких технологий, «Газете.Ru» сказали, что направили информацию о связях Koobface в международный отдел. Представитель одного из мобильных операторов сообщил, что по запросу от Управления «К» и по решению суда оператор предоставит всю имеющуюся информацию о владельце номера и «всячески поспособствует следствию».
Для того, чтобы по возможности уберечься от заражения червем Koobface , специалисты «Лаборатории Касперского» советуют пользователям осторожнее относиться к ссылкам в сообщениях подозрительного содержания, даже если они получены от пользователя, которому можно доверять. Также важно использовать свежие версии браузеров, антивирусного ПО и по возможности не раскрывать в сети личную информацию: домашний адрес и телефонный номер.
по материалам gаzeta.ru
в дополнение: Совместными усилиями исследователей, властей и провайдеров удалось в пятницу закрыть командные серверы крупного ботнета Koobface. А вот найти и привлечь к ответственности его создателей (скорее всего, россиян) пока не удается.
Исследователям вопросов безопасности совместно с правоохранительными органами и интернет-провайдерами удалось обезвредить один из крупнейших ботнетов – Koobface, сообщает PC World. Три ключевых командных сервера ботнета были выключены вчера.
Червю Koobface уже два года. Он распространяется в социальных сетях под видом смешного видео (механизм его распространения рассчитан на то, что пользователь кликнет на ссылку «посмотри, какой ты смешной на этом видео», после чего на его компьютер установится вредоносный Java-апплет). Пару недель назад было обнаружено, что Koobface работает не только на Windows-компьютерах, но может заражать и компьютеры под управлением Mac OS X.
По данным Financial Times, Koobface имеет российские корни. Его создатели зарабатывают около $2 млн в год. Основной способ их заработка заключается в том, что они перехватывают запросы своих пользователей в Google, и если они касаются вопросов безопасности, то Koobface подменял выдачу так, чтобы пользователь переходил на сайты с поддельными антивирусами. Производители этих антивирусов и платили создателям Koobface деньги.
У Нарта Вильнева (Nart Villeneuve), ведущего исследователя SecDev Group, есть данные о личностях преступников и об адресах их серверов. Благодаря тому, что власти Великобритании знали, где находятся серверы (а они находятся именно на территории этой страны), удалось временно обезвредить ботнет. В России розыск проводится в сотрудничестве с российскими властями, но пока создателей ботнета найти не удалось (г-н Вилльнев не сообщает данных возможных преступников, однако известно, что один из них находится в Санкт-Петербурге)."ruformator
Технический аналитик канадской исследовательской компании Information Warfare Monitor Нарт Вильнев представил исследование, в котором раскрыл структуру бизнеса ботнетов. Чтобы проследить проводки, он использовал ошибки, допущенные самими хакерами, утверждает аналитик.
Червь Koobface (анаграмма Facebook) распространяется через аккаунты социальных сетей Blogspot, Facebook, MySpace, Google, Twitter и через сервисы сокращения ссылок типа bit.ly. Хакеры рассылали ссылки якобы от друзей пользователя с предложением посмотреть видео или послушать клип. По ссылке пользователь попадал на зараженную страницу и запускал файл, который давал хакерам контроль над компьютером. В качестве примера Вильнев приводит подложную страницу YouTube, на которой просят загрузить недостающий кодек или обновить версию плеера Adobe Flash. Так хакеры собирают номера банковских кат, пароли, личные данные.
Другой вариант заражения предусматривает перехват поисковых запросов пользователей и передачу этой информации в сеть Koobface. В этом случае пользователю отправляются подложные результаты поиска, и он переходит по ссылке на зараженную страницу. Хакеры используют технологии, которые пытаются с ними бороться: они мониторят свои ссылки с помощью Google Safe Browsing API и проверяют, не были ли они отмечены как вирусные в bit.ly или Facebook.
Исследователи жалуются, что часто хакеров покрывают хостинговые компании, которые предоставляют им сервера и отказываются раскрывать данные о своих клиентах. Одним из дружественных хакерам хостеров назван MiraxNetworks. Как установили исследователи, основное количество серверов группы расположено в США.
Хакеры используют стандартные способы монетизации ботнетов: плата за клики на рекламные баннеры, плата за установку программного обеспечения. После того как червь заразил компьютер, он генерирует клики на рекламу, хотя пользователь на нее не нажимал.
Бенджамин Эдельман, профессор Гарвардской школы бизнеса, рассказывает, что написать программу для подделки кликов, которая заставит компьютер нажимать на платную рекламу, просто. По его данным, подобными червями заражены десятки миллионов компьютеров.
Мошенникам из Koobface удалось заработать в период с июня 2009 года по июнь 2010 года более $2 млн. Исследователям удалось найти файл с ежедневными отчетами о доходах хакеров. Дневные доходы за последние семь лет отсылаются на четыре российских номера мобильных телефонов. Средний дневной доход составляет $5857. Самая большая дневная сумма – $19 928 – была получена 23 марта 2010 года.
Обналичить счет мобильника просто: можно прийти в офис оператора и расторгнуть контракт, в этом случае оператор возвращает оставшиеся деньги абоненту. Второй способ – операторская услуга мобильного перевода. Нужно набрать на мобильном телефоне цифровой код, и оператор спишет с баланса указанную сумму. Деньги перечисляются получателю, который может их снять по предъявлению паспорта в банке-партнере оператора.
Также найден архивный файл Koobface, который содержал записи о платежах через Paymer (paymer.com). Paymer – это платежный сервис, который интегрируется с российской платежной системой WebMoney, которую также часто используют хакеры. Архив содержит записи о 255 операциях. Суммы делились на части по $200. Есть списки получателей – это имена, фамилии, ники.
Александр Матросов, руководитель Центра вирусных исследований и аналитики ESET, говорит, что знает Koobface «на протяжении нескольких лет». «По нашим данным, сегодня данная угроза не так активна, как раньше, и распространяется уже не в таких масштабах. Если говорить о нейтрализации или заражении Koobface, то у большинства антивирусных решений нет никаких проблем в обнаружении этого червя. Цифры, указанные автором исследования, на мой взгляд, приуменьшены. Развитие ботнета Koobface происходит с помощью так называемой партнерской программы. Поскольку авторам удалось найти файл и узнать доходы злоумышленников только из одной «партнерки», в реальности цифра может быть значительно больше», – заметил он.
Исследователи надеются, что полученная информация поможет правоохранительным органам в раскрытии преступлений хакеров. В российском Управлении «К» МВД, занимающемся борьбой с преступлениями в сфере высоких технологий, «Газете.Ru» сказали, что направили информацию о связях Koobface в международный отдел. Представитель одного из мобильных операторов сообщил, что по запросу от Управления «К» и по решению суда оператор предоставит всю имеющуюся информацию о владельце номера и «всячески поспособствует следствию».
Для того, чтобы по возможности уберечься от заражения червем Koobface , специалисты «Лаборатории Касперского» советуют пользователям осторожнее относиться к ссылкам в сообщениях подозрительного содержания, даже если они получены от пользователя, которому можно доверять. Также важно использовать свежие версии браузеров, антивирусного ПО и по возможности не раскрывать в сети личную информацию: домашний адрес и телефонный номер.
по материалам gаzeta.ru
в дополнение: Совместными усилиями исследователей, властей и провайдеров удалось в пятницу закрыть командные серверы крупного ботнета Koobface. А вот найти и привлечь к ответственности его создателей (скорее всего, россиян) пока не удается.
Исследователям вопросов безопасности совместно с правоохранительными органами и интернет-провайдерами удалось обезвредить один из крупнейших ботнетов – Koobface, сообщает PC World. Три ключевых командных сервера ботнета были выключены вчера.
Червю Koobface уже два года. Он распространяется в социальных сетях под видом смешного видео (механизм его распространения рассчитан на то, что пользователь кликнет на ссылку «посмотри, какой ты смешной на этом видео», после чего на его компьютер установится вредоносный Java-апплет). Пару недель назад было обнаружено, что Koobface работает не только на Windows-компьютерах, но может заражать и компьютеры под управлением Mac OS X.
По данным Financial Times, Koobface имеет российские корни. Его создатели зарабатывают около $2 млн в год. Основной способ их заработка заключается в том, что они перехватывают запросы своих пользователей в Google, и если они касаются вопросов безопасности, то Koobface подменял выдачу так, чтобы пользователь переходил на сайты с поддельными антивирусами. Производители этих антивирусов и платили создателям Koobface деньги.
У Нарта Вильнева (Nart Villeneuve), ведущего исследователя SecDev Group, есть данные о личностях преступников и об адресах их серверов. Благодаря тому, что власти Великобритании знали, где находятся серверы (а они находятся именно на территории этой страны), удалось временно обезвредить ботнет. В России розыск проводится в сотрудничестве с российскими властями, но пока создателей ботнета найти не удалось (г-н Вилльнев не сообщает данных возможных преступников, однако известно, что один из них находится в Санкт-Петербурге)."ruformator
Last edited:
