Наборы шпионского ПО - всего за пятнадцать долларов
ДиалогНаука, официальный партнер компании Sophos в России, сообщает, что эксперты SophosLabs, глобальной сети центров компании Sophos по анализу вирусов, шпионских программ и спама, обнаружили веб-сайт в России, продающий наборы шпионского ПО под названием WebAttacker стоимостью пятнадцать долларов США.
На сайте, созданном разработчиками шпионского и рекламного ПО, рекламируются достоинства этих наборов, которые можно купить через онлайн-доступ, и предлагается техническая поддержка покупателям.
В состав наборов входят скрипты, разработанные для упрощения задачи инфицирования компьютеров - покупатель рассылает сообщения по адресам электронной почты и приглашает получателей посетить взломанный веб-сайт.
В образцах, обнаруженных сетью станций слежения компании Sophos, для завлечения внимания неосторожных пользователей использовались "горячие" новостные темы. Так, в одном из писем сообщалось о смертельно опасном вирусе птичьего гриппа H5N1, и давалась ссылка на подложный сайт, который будто бы содержал советы, как защитить "себя и свою семью".
Другое письмо извещало, что Слободан Милошевич был убит, и приглашало пользователей посетить сайт для получения более подробной информации. Эти веб-сайты далее выполняли дистанционную загрузку вредоносного кода на ПК пользователя, используя известные уязвимости веб-обозревателя и операционной системы.
"Этот тип поведения знаменует возврат тех, кого мы называли скрипт-киддерами", - сказала Кароль Терио (Carole Theriault), старший консультант по вопросам безопасности компании Sophos. - "Упрощая задачу потенциальному хакеру и делая столь дешевым приобретение этих скриптов, подобные сайты будут привлекать авантюристов, не обладающих достаточными собственными знаниями, и превращать их в киберпреступников".
Код на языке JavaScript, размещенный на инфицированном веб-сайте, определяет какая версия браузера и операционной системы используется на посещающем компьютере, включая все установленные обновления систем безопасности, и запускает наиболее подходящий эксплоит (exploit) для вторжения.
Далее эксплоит загружает программу, которая пытается отключить межсетевой экран и установить вредоносное ПО, обычно предназначенное для похищения паролей, регистрации клавиатурного ввода, или для проникновения в банковские системы при помощи трояна. Предлагаемая компанией Sophos защита, Troj/Dloadr-ADU была доступна для клиентов с 13 марта 2006 г.
"Подпольная кибер-экономика, в некоторых отношениях, очень похожа на обычную - находятся люди, которые хотят поучаствовать в движении и получить плату за соучастие", - продолжила Терио. - "Чем больше становится кибер-атак, тем больше мы увидим таких сайтов, предлагающих наборы вредоносного ПО, базы данных или списки почтовых адресов, а также заказных троянских программ и шпионского ПО. И сколько времени будут на этом делаться деньги, столько времени будут существовать и заинтересованные стороны".
На сайте, созданном разработчиками шпионского и рекламного ПО, рекламируются достоинства этих наборов, которые можно купить через онлайн-доступ, и предлагается техническая поддержка покупателям.
В состав наборов входят скрипты, разработанные для упрощения задачи инфицирования компьютеров - покупатель рассылает сообщения по адресам электронной почты и приглашает получателей посетить взломанный веб-сайт.
В образцах, обнаруженных сетью станций слежения компании Sophos, для завлечения внимания неосторожных пользователей использовались "горячие" новостные темы. Так, в одном из писем сообщалось о смертельно опасном вирусе птичьего гриппа H5N1, и давалась ссылка на подложный сайт, который будто бы содержал советы, как защитить "себя и свою семью".
Другое письмо извещало, что Слободан Милошевич был убит, и приглашало пользователей посетить сайт для получения более подробной информации. Эти веб-сайты далее выполняли дистанционную загрузку вредоносного кода на ПК пользователя, используя известные уязвимости веб-обозревателя и операционной системы.
"Этот тип поведения знаменует возврат тех, кого мы называли скрипт-киддерами", - сказала Кароль Терио (Carole Theriault), старший консультант по вопросам безопасности компании Sophos. - "Упрощая задачу потенциальному хакеру и делая столь дешевым приобретение этих скриптов, подобные сайты будут привлекать авантюристов, не обладающих достаточными собственными знаниями, и превращать их в киберпреступников".
Код на языке JavaScript, размещенный на инфицированном веб-сайте, определяет какая версия браузера и операционной системы используется на посещающем компьютере, включая все установленные обновления систем безопасности, и запускает наиболее подходящий эксплоит (exploit) для вторжения.
Далее эксплоит загружает программу, которая пытается отключить межсетевой экран и установить вредоносное ПО, обычно предназначенное для похищения паролей, регистрации клавиатурного ввода, или для проникновения в банковские системы при помощи трояна. Предлагаемая компанией Sophos защита, Troj/Dloadr-ADU была доступна для клиентов с 13 марта 2006 г.
"Подпольная кибер-экономика, в некоторых отношениях, очень похожа на обычную - находятся люди, которые хотят поучаствовать в движении и получить плату за соучастие", - продолжила Терио. - "Чем больше становится кибер-атак, тем больше мы увидим таких сайтов, предлагающих наборы вредоносного ПО, базы данных или списки почтовых адресов, а также заказных троянских программ и шпионского ПО. И сколько времени будут на этом делаться деньги, столько времени будут существовать и заинтересованные стороны".