Новий прийом фармаспамерів ботнет як C - C, Threatpost
Показати пов'язані повідомлення
RAT-зловред поширюється через сайти Blogspot та Pastebin
Боти генерують кожен п'ятий запит до сайтів
Руткіт Scranos краде паролі та платіжні дані жертв
Близько місяця тому захисні рішення Incapsula зафіксували різке зростання потоку зашифрованих за base64 запитів. Розслідування показало, що всі вони виходять із незадокументованого ботнета, що подає команди на сайти із встановленим веб-шеллом WSO - PHP-бекдором, який зазвичай використовується для віддаленого керування файлами та виконання коду. Після розшифровки дослідники ідентифікували три типи команд: модифікацію конфігураційних файлів .htaccess, використання шкідливої PHP-программы і отримання корисного навантаження.
Команда на ін'єкцію в .htaccess, також зашифрована, мала на меті встановити редирект з неіснуючої сторінки (помилка 404) на інтернет-аптеку мережі Canadian Pharmacy. Як виявили експерти, більшість таких інтерфейсних точок незаконного продажу були прив'язані до TLD-домену .ru, хоча в назвах сайтів найчастіше було слово «Canadian» (наприклад, Canadian-Health & Care Mall).
Щоб зберегти важливі дані, зловмисники проганяють алгоритм base64 вісім разів і ще три рази для кожного параметра, відокремленого вертикальною лінією (''). Через таку складнопідрядну структуру в Incapsula назвали нову спам-кампанію B64ryoshka («батрьошка», за аналогією з «матрешка»). Всі перехоплені B64ryoshka-навантаження містили посилання на неіснуючий URL або інший домен скомпрометований.
Дослідники схильні вбачати в B64ryoshka-кампанії українське коріння, про це, на їхню думку, говорить переважання доменів .ru та розміщення вхідних у ботнетпристроїв.
Дані, отримані Incapsula в ході дослідження, вже передано до відповідних органів правопорядку та регулювання ринку фармацевтичних препаратів.