Вредонос Fareit обходит антивирусы благодаря использованию разных хэшей файла в каждой атаке

вредоносное ПО Fareit США Китай Украина
Вредонос Fareit обходит антивирусы благодаря использованию разных хэшей файла в каждой атаке
вредоносное ПО Fareit США Китай Украина

Хакерская кампания связана с IP-адресами, расположенными в США, Китае и Украине.

ИБ-исследователи из Cisco Talos обнаружили новую разновидность вредоносного ПО Fareit. По словам специалистов, вредонос изначально предназначался для взлома компьютеров и загрузки другого вредоносного ПО, которое инфицировало систему. Однако Fareit «эволюционировал», и его начали использовать для эксфильтрации данных, в частности для хищения пользовательских паролей из браузеров.

В мае 2013 года Fareit распространялся в масштабной хакерской кампании, в ходе которой использовался набор эксплоитов Blackhole. В 2014 году ИБ-эксперты из Fidelis Cybersecurity обнаружили новый вариант спам-ботнета Pushdo, который атаковал компьютерные системы в 50 странах мира. Ботнет был способен рассылать 7,7 миллиардов спам-сообщений в день. Больше всего от хакерской кампании пострадали пользователи в Индии, Индонезии, Турции и Вьетнаме. Последняя версия ботнета Pushdo использовалась злоумышленниками для распространения таких вредоносов, как Fareit, Cutwail, Dyre и Zeus. В начале текущего года хакеры использовали тактику перенаправления жертв на содержащие Fareit интернет-ресурсы.

Новая версия Fareit способна изменять хэш файла для каждой «инфекции», даже если имя файла остается таким же. Данная возможность помогает вредоносу оставаться незамеченным для антивирусных программ. ИБ-эксперты из Cisco Talos обнаружили подозрительные исполняемые файлы, которые загружались с последующих адресов - 89.144.2.119/cclub02.eхе и 89.144.2.115/cclub02.exе в одной из сети своих клиентов.

ИБ-эксперты обнаружили 2455 образцов Fareit, из которых только 23 имели одинаковый хэш. Все обнаруженные экспертами варианты вредоноса были связаны с двумя C&C-серверами. Специалисты отмечают, что несмотря на попытки злоумышленников создать вредонос с различными хэшами, они используют аналогичные или крайне схожие имена файлов.

Проверка IP-адресов, связанных с вредоносной кампанией Fareit, показала, что практически все они находятся в США, Украине и Китае. Предполагается, что за хакерской кампанией может стоять одна группа злоумышленников. 

Цифровые следы - ваша слабость, и хакеры это знают.

Подпишитесь и узнайте, как их замести!

Новости по теме

Глобальный контроль: Вашингтон выводит всевидящее око на орбиту Земли

Конец невидимости F-22: китайские радары наступают на пятки стелс-самолетам

Гигабитный интернет от Frontier «превратился в тыкву» после атаки хакеров

FISA 702: власти США продолжат следить за гражданами под предлогом «нацбезопасности»?

Сам себе поставщик изотопов: импортный углерод-14 больше не понадобится Китаю

Арестован москвич за торговлю вредоносным ПО через Telegram

Пентагон разжигает кибервойну: Китай разоблачает ложь США о Volt Typhoon

Шпионаж и обход санкций: как китайские агенты воруют секретные технологии из Европы

Кристофер Рэй: Китай атакует инфраструктуру США, чтобы посеять панику в обществе