ЭКСПЕРТЫ ПЕРЕХВАТИЛИ КОНТРОЛЬ НАД КРУПНЕЙШЕЙ СЕТЬЮ ДИСТРИБУЦИИ ВРЕДОНОСНОГО ПО

Back to Blog
ЭКСПЕРТЫ ПЕРЕХВАТИЛИ КОНТРОЛЬ НАД КРУПНЕЙШЕЙ СЕТЬЮ ДИСТРИБУЦИИ ВРЕДОНОСНОГО ПО

ЭКСПЕРТЫ ПЕРЕХВАТИЛИ КОНТРОЛЬ НАД КРУПНЕЙШЕЙ СЕТЬЮ ДИСТРИБУЦИИ ВРЕДОНОСНОГО ПО

ЭКСПЕРТЫ ПЕРЕХВАТИЛИ КОНТРОЛЬ НАД КРУПНЕЙШЕЙ СЕТЬЮ ДИСТРИБУЦИИ ВРЕДОНОСНОГО ПО

В состав EITest вошло более 52 тыс. зараженных серверов.

Специалистам компаний Abuse.ch, BrillantIT и Proofpoint удалось осуществить синкхолинг (подмена и перенаправление трафика на подставные web-серверы) управляющей инфраструктуры сети EITest, состоящей из более чем 52 тыс. взломанных серверов.

EITest, которую еще называют «королем дистрибуции трафика», используется злоумышленниками для перенаправления пользователей на вредоносные сайты, страницы с эксплоит-китами, в том числе Angler и RIG, мошенническими схемами техподдержки и пр.

На подпольном рынке EITest появилась в 2011 году и изначально ее операторы использовали сеть только для собственных целей — в основном перенаправления трафика на сайты с набором эксплоитов Glazunov, служащего для заражения устройств трояном Zaccess. На тот момент EITest не представляла особую угрозу, однако в 2013 году ее создатели начали перерабатывать структуру сети и годом спустя стали сдавать ее в аренду другим вирусописателям. Согласно данным эксперта Proofpoint, известного как Kafeine, команда EITest начала продавать перехваченный трафик со взломанных сайтов по $20 за 1 тыс. пользователей.

В начале нынешнего года специалисты BrillantIT смогли раскрыть метод подключения инфицированных сайтов к управляющей инфраструктуре и перехватить домен stat-dns.com, что позволило им захватить контроль над всей операцией EITest. Ежедневно ботнет обрабатывал трафик с более чем 52 тыс. зараженных сайтов, в основном ресурсов на WordPress.

По словам исследователей, операторы EITest не пытаются восстановить контроль над сетью, не исключено, что они формируют новый ботнет. В настоящее время на подпольном рынке предлагаются услуги нескольких сетей для распространения вредоносного ПО, например, Fobos, Ngay и Seamless. Еще два игрока — Afraidgate и псевдоDarkleech — в последние несколько месяцев никак не проявляют себя.

Поделиться этим постом

Back to Blog