Хакеры из Украины и Израиля запустили ботнет в Tor

Ботнет Mevade пересылает поддельные клики через рекламные сети, чтобы собрать комиссию.

Ранее в этом месяце появилась информация о том, что в анонимной сети Tor наблюдался существенный рост пользователей. Оказалось, что во всем был виноват ботнет Mevade, который пересылает поддельные клики через рекламные сети, чтобы собрать комиссию. Как оказалось, за этой преступной деятельностью стояла преступная группировка из Украины и Израиля.

Microsoft Malware Protection Center (MMPC) считает, что Mevade – это вовсе не новая система вредоносного программного обеспечения, а следующее поколения Win32/Sefnit – известного ботнета, который с 2011 года считался неактивным. Как оказалось, Sefnit продолжал работу в скрытом режиме. Информацию от Microsoft поддерживают сотрудники Fox-IT. По словам Trend Micro, Mevade принадлежит криминальной группировке, организованной гражданами Украины и Израиля.

Инфицирование происходит за счет других программ, в частности File Scout. Предполагается, что данное приложение написали те же программисты, которые занимались Meade/Sefnit.

Больше всего экспертов интересовало то, как Mevade/Sefnit удалось исчезнуть с радаров на 2 года. Старая версия Mevade использовала классические «click fraud» техники. Программа загружала невидимые элементы страницы на вебсайты (вроде Google), на которые пользователь хотел нажимать. Вместо того, чтобы пройти по нужной ссылке, жертву направляли на схожий вредоносный ресурс. Разумеется, такая методика считалась слишком примитивной, так как пользователь сразу замечал подвох.

В 2011 Sefnit перешел на совершенно новую технологию, начиная прятать ботов за бесплатным кроссплатформенным прокси-сервером 3proxy. Боты генерируют мошеннический трафик напрямую, не привлекая пользователя к своей деятельности, так что жертва ни о чем не догадывается. Трафик также передается не постоянно, из-за чего антивирусные программы не замечают его деятельности.

Еще интересное

Активисты украинского движения Anonymous выпустили видеообращение, в котором фактически объявили войну «организациям и государствам, которые угрожают свободе и независимости Украины». Операция была названа «Operation Ukraine» (#OpIndependence).

Пользователи сети профессиональных контактов LinkedIn обвинили сайт в краже своих электронных адресов и их использовании для рассылки спама.
В инструкции по использованию разведывательной информации для агентов АНБ сообщается о репозитории метаданных под кодовым названием «Марина» (Marina).

В последнее время появляется всё больше грустных новостей, которые уменьшают доверие к сертификатам SSL и всей нынешним центрам сертификации.

Компаниям на многих зрелых и развивающихся рынках следует уделять больше внимания пользователям Интернета старшего возраста
Уязвимыми к атакам являются The Wall Street Journal, Forbes, The Telegraph, Тhe Times, Bloomberg, Тhe Independent и многие другие.