Hakerzy żerują na rosyjskim patriotyzmie, aby zwiększyć botnet Kelihos

Gang cyberprzestępcy za botnetem Kelihos próbuje nakłonić użytkowników do zainstalowania szkodliwego oprogramowania na swoich komputerach, odwołując się do prorosyjskich nastrojów, które wzbudziły ostatnie międzynarodowe sankcje przeciwko temu krajowi.

Naukowcy z firm ochroniarskich Websense i Bitdefender niezależnie obserwowali nową kampanię antyspamową, która zachęca rosyjskojęzycznych użytkowników do zgłaszania się na ochotnika do korzystania z ich komputerów w celu rozproszonych ataków typu "odmowa usługi" (DDoS) na strony rządów, które nałożyły sankcje na Rosję za udział w konflikcie we wschodniej Ukrainie.

"My, grupa hakerów z Federacji Rosyjskiej, martwi nas nieuzasadnione sankcje nałożone przez państwa zachodnie na nasze c ountry ", czytamy w wiadomościach spamowych, zgodnie z tłumaczeniem przeprowadzonym przez badaczy Bitdefender. "Zakodowaliśmy naszą odpowiedź, a poniżej znajdziesz link do naszego programu. Uruchom aplikację na swoim komputerze i potajemnie zacznie atakować agencje rządowe państw, które przyjęły te sankcje. "

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Linki w e-mailu Wiadomości wskazują na wersję trojana używanego w botoku Kelihos lub Hlux, botnety, analitycy bezpieczeństwa z Websense, powiedział w piątek w poście na blogu. Ten czteroletni botnet był z czasem związany z różnymi złośliwymi działaniami, w tym wysyłaniem spamu; kradzież haseł z przeglądarek, klientów FTP i innych programów; kradzież i wydobywanie Bitcoinów; - Zapewniają dostęp do backdoora na komputery i uruchamianie ataków DDoS.

Pomimo funkcjonalności DDoS w niektórych odmianach złośliwego oprogramowania Kelihos, to nowe zaproszenie na ochotnicze komputery do ataków na strony internetowe rządu Zachodniego jest tylko pretekstem do zarażenia więcej systemów, zgodnie z Bogdan Botezatu, starszy analityk ds. E-zagrożenia w Bitdefender.

"Dając ofiarom cel i rzekomo umożliwiając im udział w wojnie z domu, napastnicy zwiększają swoje szanse na zbiory komputerów, które ostatecznie zostaną wykorzystane do innych zadań ", powiedział Botezatu we wtorek za pośrednictwem poczty elektronicznej. "Operatorzy botnetu Kelihos mają tylko jeden cel: zarabianie na zainfekowanych komputerach."

Sugeruje to obecność trzech plików w szkodliwym programie rozpowszechnianym przez kampanię spamową, które mogą być używane do przechwytywania i monitorowania sieci lokalnej ruchu, który nie ma nic wspólnego z atakami DDoS. Te pliki, nazywane npf_sys, packet_dll i wpcap_dll, są w rzeczywistości częścią legalnej aplikacji o nazwie WinPcap i są podpisane cyfrowo.

"Kelihos opiera się na tych plikach, aby odziedziczyć funkcjonalność monitorowania sieci, cechę, która w innym przypadku musiałaby zostać opracowana na miejscu, "Botezatu powiedział. "Czasami cyberprzestępcy ponownie wykorzystują ogólnodostępne i ogólnodostępne biblioteki, aby uzyskać niektóre z tych funkcjonalności, ponieważ biblioteki te zostały gruntownie przetestowane (są mniej podatne na awarie) i są również znane w branży zabezpieczeń, więc nie ryzykują usunięty. "

Botezatu wierzy, że ta ostatnia sztuczka gangu Kelihos mogła odnieść duży sukces, zwłaszcza, że ​​niektóre ataki DDoS przeprowadzane przez grupy haktywistów, takie jak Anonymous w przeszłości, faktycznie angażowały wolontariuszy pobierających i instalujących specjalistyczne programy na ich komputerach. . Takie ataki oparte na wolontariacie zorganizowano również w Rosji w 2008 r. Podczas konfliktu rosyjsko-gruzińskiego, według ówczesnych raportów.

"Takie podejście nie tylko zwiększa liczbę potencjalnych ofiar, ale także pozwala hakerom geograficznie wybrać cele wśród krajów, które chętniej odpowiedzą na takie wezwanie: rosyjskich i ukraińskich obywateli, którzy są nieco dotknięci sankcjami ", powiedział Botezatu.