Вредонос Fareit обходит антивирусы благодаря использованию разных хэшей файла в каждой атаке

ИБ-исследователи из Cisco Talos обнаружили новую разновидность вредоносного ПО Fareit. По словам специалистов, вредонос изначально предназначался для взлома компьютеров и загрузки другого вредоносного ПО, которое инфицировало систему. Однако Fareit «эволюционировал», и его начали использовать для эксфильтрации данных, в частности для хищения пользовательских паролей из браузеров.

В мае 2013 года Fareit распространялся в масштабной хакерской кампании, в ходе которой использовался набор эксплоитов Blackhole. В 2014 году ИБ-эксперты из Fidelis Cybersecurity обнаружили новый вариант спам-ботнета Pushdo, который атаковал компьютерные системы в 50 странах мира. Ботнет был способен рассылать 7,7 миллиардов спам-сообщений в день. Больше всего от хакерской кампании пострадали пользователи в Индии, Индонезии, Турции и Вьетнаме. Последняя версия ботнета Pushdo использовалась злоумышленниками для распространения таких вредоносов, как Fareit, Cutwail, Dyre и Zeus. В начале текущего года хакеры использовали тактику перенаправления жертв на содержащие Fareit интернет-ресурсы.

Новая версия Fareit способна изменять хэш файла для каждой «инфекции», даже если имя файла остается таким же. Данная возможность помогает вредоносу оставаться незамеченным для антивирусных программ. ИБ-эксперты из Cisco Talos обнаружили подозрительные исполняемые файлы, которые загружались с последующих адресов — 89.144.2.119/cclub02.eхе и 89.144.2.115/cclub02.exе в одной из сети своих клиентов.

ИБ-эксперты обнаружили 2455 образцов Fareit, из которых только 23 имели одинаковый хэш. Все обнаруженные экспертами варианты вредоноса были связаны с двумя C&C-серверами. Специалисты отмечают, что несмотря на попытки злоумышленников создать вредонос с различными хэшами, они используют аналогичные или крайне схожие имена файлов.

Проверка IP-адресов, связанных с вредоносной кампанией Fareit, показала, что практически все они находятся в США, Украине и Китае. Предполагается, что за хакерской кампанией может стоять одна группа злоумышленников.

Источник: securitylab.ru

Реклама
Запись опубликована в рубрике Report. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s