SafeUM
Home Блог Услуги Скачать Помощь О нас Пополнить
EN
RU

Axarhöfði 14, 110 Reykjavik, Iceland

Iceland - 2015
SafeUM
Блог
Услуги
Скачать
Помощь
О нас
Пополнить
Меню
RU
Язык
EN
RU
Архив
TOP Security!
10 Ноя 2014

Rovnix шествует по Западной Европе

Согласно результатам мониторинга BitDefender, на настоящий момент обновленный троянец Rovnix ответственен за 130 тыс. заражений в Великобритании и порядка 55 тыс. в других европейских странах.

Чтобы получить представление о современной популяции данного Windows-зловреда, исследователи разобрали используемый им DGA-алгоритм и осуществили перехват трафика на шести C&C-доменах по методу sinkhole.

Rovnix, который, по словам экспертов, также детектируется как Papras, Ursnif или Gozi, совмещает функционал бота и бэкдора. Он способен показывать PPC-рекламу (pay-per-click, с оплатой партнерам за каждый клик), воровать и отсылать на свой сервер конфиденциальные данные, загружать и запускать другие вредоносные файлы и даже вызывать BSoD-крэши.

Новая версия, наблюдаемая BitDefender в текущем году, нацелена на кражу данных кредитных карт, по крайней мере, те варианты Rovnix, которые атакуют британцев. Распространяется данный зловред по PPI-схеме (pay-per-install, с оплатой за каждое заражение) или посредством спам-рассылок, полезной нагрузкой которых являются представители семейства Andromeda, умеющие загружать другое вредоносное ПО.

По свидетельству BitDefender, новый Rovnix каждый квартал генерирует 5 или 10 доменов, их число зависит от версии используемого зловредом DGA. Длина доменного имени составляет от 12 до 23 знаков, представляющих собой слитную последовательность слов или их начальных букв.

Эти слова, как и TLD-зона, выбираются псевдослучайным образом из готовых списков; итоговые домены разнятся также фиксированным начальным значением. Примечательно, что списки слов, используемые Rovnix для генерации доменных имен, составляются на основе публично доступных текстовых файлов, вероятность изменения которых чрезвычайно мала. 

Так, вариант зловреда, атакующий британцев, позаимствовал текст Декларации независимости США; некоторые списки Rovnix, как установили эксперты, включают страницы Стандартной общественной лицензии ограниченного применения GNU, RFC-документов (рабочих предложений в отношении стандартов, публикуемых IETF) и технических спецификаций.

В начале августа исследователям удалось осуществить sinkhole-подмену для шести C&C-доменов, используемых разными itw-вариантами Rovnix. За три месяца мониторинга на этих доменах BitDefender выявила около 130 тыс. заражений на территории Великобритании, 27,5 тыс. — в Нидерландах, Франции и Бельгии, около 16,5 тыс. — в Болгарии и более 10 тыс. — в Польше.

Отдельные заражения зафиксированы также в других странах и регионах. Эксперты при этом отмечают, что четыре наблюдаемых ими домена все еще действительны, поэтому можно ожидать, что число запрашивающих их ботов будет возрастать. 

Краденые данные Rovnix отправляет на командный сервер в кодировке base64. Более новые боты, облюбовавшие Болгарию и Польшу, вначале шифруют свои «посылки», а затем производят преобразование в base64. «Переход на шифрованные коммуникации показывает, что данная интернет-угроза все еще совершенствуется, — предупреждает главный ИБ-стратег BitDefender Каталин Косой (Catalin Cosoi). — Можно ожидать, что в ближайшем будущем она сохранит свою актуальность».

Теги:
Rovnix Великобритания information leaks Windows троян
Источник:
Threatpost
1720
ДРУГИЕ НОВОСТИ
3 Июль 2020 safeum news imgage Полиция произвела множество арестов, взломав защищённый мессенджер
4 Май 2020 safeum news imgage Европол сообщил об аресте членов польской хак-группы Infinity Black
12 Дек 2019 safeum news imgage Шифрование под угрозой. Как это отразится на нас
4 Ноя 2019 safeum news imgage Должны ли важные решения приниматься на основании лишь фактов, или интуиция имеет право на жизнь?
7 Июнь 2018 safeum news imgage Ворующий данные вирус для роутеров умеет обходить шифрование
4 Июнь 2018 safeum news imgage Мошенники атакуют пользователей сервиса Booking.com
1 Июнь 2018 safeum news imgage Оператор крупнейшей точки обмена трафиком подал в суд на немецкую спецслужбу
30 Май 2018 safeum news imgage ФБР выявило два инструмента северокорейских кибершпионов
29 Май 2018 safeum news imgage Новый закон позволил европейцам требовать миллиарды у Google и Facebook
25 Май 2018 safeum news imgage Предустановленное вредоносное ПО обнаружили на сотнях моделей смартфонов
24 Май 2018 safeum news imgage GPS-трекеры для домашних животных позволяют следить за их хозяевами
23 Май 2018 safeum news imgage К Google подали иск из-за слежки за пользователями iPhone
21 Май 2018 safeum news imgage Данные о местоположении всех смартфонов в США оказались в открытом доступе
18 Май 2018 safeum news imgage Власти США запустили фальшивое ICO
17 Май 2018 safeum news imgage Хакеры похитили сотни миллионов у банков Мексики
Все новости
SafeUM
Конфиденциальность Правила использования Наши технологии О компании
Контакты
Скачать
SafeUM © Безопасный универсальный мессенджер

Axarhöfði 14,
110 Reykjavik, Iceland

Iceland - 2015