Websecurity - Веб безпека

На відміну від раніше виявлених подібних додатків, таких як Mpack, ця утиліта самостійно виконує зараження і поширюється без втручання хакера. Поява цієї утиліти свідчить про існування в Інтернеті визначеної бізнес-моделі, заснованої на розробці і продажі подібних видів шкідливих додатків.

PandaLabs знайшла нову небезпечну утиліту, що встановлює шкідливе ПЗ за допомогою експлоітів. Ця утиліта зветься Icepack і продається в Інтернеті за $400. Вона доповнює ряд інших утиліт, виявлених PandaLabs останнім часом, таких як Mpack, XRummer, Zunker, Barracuda, Pinch та ін., підтверджуючи успішність і вигідність бізнесу, що розвивається в Інтернеті за рахунок створення і продажу шкідливих додатків.

Icepack заражає комп’ютери наступним чином: утиліта одержує доступ до визначеної веб-сторінки, куди вона додає iframe-лінку, що веде на сервер, на якому встановлений даний додаток. Основна відмінність Icepack полягає в тому, що таку лінку додає сама утиліта. Попереднім додаткам, таким як Mpack, були необхідні дії хакера, що вручну здійснював доступ до веб-сторінки, на які потім додавалася лінка.

При відвідуванні таких змінених сторінок користувачами, активується Icepack, що аналізує комп’ютер користувача на предмет уразливостей. При позитивному результаті, вона скачує з мережі експлоіт, необхідний для використання наявної в комп’ютері уразливості. Ще одна відмітна ознака Icepack - це те, що вона використовує експлоіти, що відповідають самим останнім виявленим уразливостям. Цьому є розумне пояснення - у такому випадку існує менша імовірність того, що користувачі вже обновили свої комп’ютери для виправлення останніх проломів безпеки.

Після цього кібер-злочинці можуть завантажувати на заражені комп’ютери будь-яке шкідливі програми. Якщо врахувати вартість утиліти, швидше за все вона буде завантажувати шкідливі коди, що найбільше часто використовуються для крадіжки конфіденційних даних і котрі дозволяють займатися онлайновим шахрайством (трояни, шпигунське ПЗ, боти тощо).

Інше нововведення в Icepack - це те, що вона поєднує у собі програму перевірки ftp та iframe. Перша допомагає кібер-злочинцям користуватися інформацією про облікові записи FTP, вкрадених із заражених комп’ютерів. Дані цих облікових записів проходять через спеціальну програму перевірки, щоб упевнитися в їхній дійсності. Утиліта додає в обліковий запис iframe-лінку, що веде до Icepack. Повторенням цього процесу додаток починає свій “життєвий цикл” заново.

По матеріалам http://www.securitylab.ru.

This entry was posted on 22:31 09.09.2007 and is filed under Новини. You can follow any responses to this entry through the RSS 2.0 feed.