Оператори нового однорангового ботнету (P2P), що отримав назву Mozi, під час недавньої шкідливої кампанії активно штурмували маршрутизатори Netgear, D-Link і Huawei.
За словами дослідників із безпеки з компанії Qihoo 360 Netlab, кіберзлочинці використовують ботнет для здійснення DDoS-атак. Ботнет використовує частину коду Gafgyt, проте не є його похідним. У Mozi реалізований DHT-протокол, заснований на стандартному протоколі, що звично використовуються торрент-клієнтами та іншими P2P-платформами для зберігання контактної інформації вузла.
Таким чином зловмисники можуть швидше заражати нові пристрої без необхідності використання серверів, а також “приховувати корисне навантаження в величезному обсязі звичайного DHT-трафіку”. Mozi також використовує алгоритми ECDSA384 і XOR для забезпечення цілісності та безпеки компонентів ботнету і мережі P2P.
Шкідник використовує Telnet-протокол і уразливості в обладнанні для зараження нових пристроїв. Оператори авторизуються на цільовому маршрутизаторі або відеореєстраторі CCTV з ненадійним паролем, а потім завантажують і виконують корисне навантаження після успішної експлуатації уразливостей в непропатченних хостах. Після запуску шкідливого ПЗ на скомпрометувати пристрої, бот автоматично приєднується до мережі Mozi в якості нового вузла, який в подальшому використовується для пошуку і зараження інших уразливих пристроїв.
Для забезпечення захисту від перехоплення іншими злочинними угрупованнями, оператори Mozi також налаштували автоматичну перевірку всіх відправлених на вузли ботнету команд і синхронізованих конфігурацій. Таким чином вузлами приймаються і виконуються тільки конфігурації, які пройшли перевірку.
Функціонал Mozi має можливість здійснення DDoS-атак, збору і ексфільтраціі інформації про заражені хости, завантаження і виконання корисного навантаження з певних ресурсів, завантаження оновлень, а також виконання команд.
В цей час список атакованих ботнетом пристроїв включає наступні: Eir D1000, Vacron NVR, пристрої, що використовують Realtek SDK, Netgear R7000 і R6400, DGN1000 Netgear, MVPower DVR, Huawei HG532, D-Link, CCTV DVR і маршрутизатори GPON.
Понад мільйон гривень з банківських рахунків викрав зловмисник, дублюючи банківські карти громадян. 31 -річний мешканець Дніпропетровської області імітував помилку роботи банкомату та за допомогою спеціальних маніпуляцій дублював картку наступного користувача банку.
Фахівці з кібербезпеки виявили нову фішингову атаку, мета якої не лише викрасти дані входу до платіжного сервісу PayPal, але й зібрати конфіденційну інформацію про жертву.
Розширення для браузерів, розроблені компанією Avast і поширювані під брендами Avast і AVG, стали знову доступні в офіційних магазинах розширень для Google Chrome і Mozilla Firefox після внесення змін, пов’язаних з приватністю.
Вразливості електронної системи програми лояльності всеукраїнської мережі супермаркетів використовували учасники злочинної групи для виведення коштів з рахунків товариства. За півроку фігуранти провели понад дві тисячі операцій зі зняття готівки з вищевказаних карток. За попередніми даними, торгівельній мережі спричинено збитків на суму близько двох мільйонів гривень.
Команда дослідників Check Point Research опублікувала звіт Global Threat Index з найактивнішими загрозами в листопаді 2019 року. Експерти повідомили, що вперше за останні три роки в загальний список шкідливих програм увійшов мобільний троян, і він же став найпоширенішою мобільного загрозою.
