Carberp, Facebook и ddos.plug

    Про Carberp мы уже писали ни раз, но тут опять граждане отличились интересной активностью. Во-первых, на прошлой неделе была замечена аналитиками из Trusteer интересная вещь, что с определенной конфигурацией Carberp стал вымогать деньги у зараженных пользователей за вход в Facebook.

    image

    И причем, очень настойчиво требовал оплату в размере 20 Euro через Ukash:

    image

    Были мысли, что быть может новая модификация какая, но нет, только специальный конфигурационный файл, содержащий инжекты для Facebook. Выглядит этот конфигурационный файл так:

    image

    Причем данная модификация не использовала буткит функционал, но могла устанавливать его по запросу. При анализе модуля внедряемого в системные процессы стало понятно, что код этой библиотеки практически идентичен той, которая поставлялась сразу с буткитом. Немного смутила нас эта Facebook- активность, ведь раньше большой любви к зарубежным сервисам и банкам Carberp не питал. Но тем не менее, ранее были замечены атаки на следующие зарубежные банки: Bank of America, CityBank, HSBC, CHASE, Nordea. Возможно это далеко не все, но по крайней мере то, что лично видели в конфигах, и запомнилось. После продолжения анализа ситуации возникла идея, а не изменил ли свой вектор распространения Carberp за последнее время. Вот статистика по обнаружениям в нашем регионе:

    image

    Как видно из вышеприведенных данных, пиковым месяцем в прошлом году был декабрь, но январь не сдает своих позиций (с учетом того, что данные приведены на начало этой недели). Видимо, связка Carberp + Blackhole по-прежнему очень эффективна. С точки зрения регионализации наш регион только усилил свою долю по количеству инцидентов:


    image

    А если посмотреть на директорию со свежими веб-инжектами, то они по прежнему направлены на российские платежные системы и банки:

    image

    Ну и на десерт, нами был обнаружен интересный плагин (Win32/Mishigy.AB), который нацелен на осуществления DDoS атак. Умеет собственно не так много: HTTP/HTTPS, GET/POST и download flood. Написан этот плагин на Delphi и основан в основном на функционале компонента Synapse TCP/IP library. Местами очень напоминает нашумевшего в прошлом году бота Dirt Jumper (Win32/Delf.PYI), но по своему устройству значительно проще. Для примитивного способа противодействия система предотвращения DDoS атак используются многочисленные строки с юзер-агентами:

    image

    С таким количество зараженных пользователей, исчисляющихся миллионами, даже такая простая реализация DDoS бота может быть очень серьезным оружием.
    ESET NOD32
    Company
    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 5

      –1
      Наверное лучше поправить «у зараженных пользователей Facebook» :) или речь о заражении фейсбуком?
        +3
        Репостинг на Хабре не приветствуется.
        Вот оригинал (с картинками)
          +1
          Причем, там картинки кликабельны, а здесь приходится ломать глаза, разглядывая текст/код.
          +1
          А ни у кого случаем нету ЯваСкриптов от данного чуда? :) интересно поглядеть что внутрях =)

        Only users with full accounts can post comments. Log in, please.