Мир: Вредонос Fareit обходит антивирусы благодаря использованию разных хэшей файла в каждой атаке

1

ИБ-исследователи из Cisco Talos обнаружили новую разновидность вредоносного ПО Fareit. По словам специалистов, вредонос изначально предназначался для взлома компьютеров и загрузки другого вредоносного ПО, которое инфицировало систему. Однако Fareit “эволюционировал”, и его начали использовать для эксфильтрации данных, в частности для хищения пользовательских паролей из браузеров.

В мае 2013 г. Fareit распространялся в масштабной хакерской кампании, в ходе которой использовался набор эксплоитов Blackhole. В 2014 г. ИБ-эксперты из Fidelis Cybersecurity обнаружили новый вариант спам-ботнета Pushdo, который атаковал компьютерные системы в 50 странах мира. Ботнет был способен рассылать 7,7 миллиардов спам-сообщений в день. Больше всего от хакерской кампании пострадалипользователи в Индии, Индонезии, Турции и Вьетнаме. Последняя версия ботнета Pushdo использовалась злоумышленниками для распространения таких вредоносов, как Fareit, Cutwail, Dyre и Zeus. В начале текущего года хакеры использовали тактику перенаправления жертв на содержащие Fareit интернет-ресурсы.

Новая версия Fareit способна изменять хэш файла для каждой “инфекции”, даже если имя файла остается таким же. Данная возможность помогает вредоносу оставаться незамеченным для антивирусных программ. ИБ-эксперты из Cisco Talos обнаружили подозрительные исполняемые файлы, которые загружались с последующих адресов – 89.144.2.119/cclub02.eхе и 89.144.2.115/cclub02.exе в одной из сети своих клиентов.

ИБ-эксперты обнаружили 2455 образцов Fareit, из которых только 23 имели одинаковый хэш. Все обнаруженные экспертами варианты вредоноса были связаны с двумя C&C-серверами. Специалисты отмечают, что несмотря на попытки злоумышленников создать вредонос с различными хэшами, они используют аналогичные или крайне схожие имена файлов. Проверка IP-адресов, связанных с вредоносной кампанией Fareit, показала, что практически все они находятся в США, Украине и Китае. Предполагается, что за хакерской кампанией может стоять одна группа злоумышленников. (Cisco/NovostIT)