Фахівці Morphus Labs виявили новий ботнет, активно скануючий Мережу на предмет погано захищених Windows-систем з активним підключенням за допомогою RDP.
У цей час в списку цілей ботнету, що отримав назву GoldBrute, понад 1,5 млн систем, до яких він періодично намагається отримати доступ за допомогою брутфорса або атак з підстановкою облікових даних (credential stuffing). За інформацією дослідників, найбільше число атакованих систем припадає на Південну Корею, Китай, Тайвань, США і Великобританію.
Отримавши доступ до цільової системі, ботнет завантажує ZIP-архів із шкідливим ПЗ GoldBrute, а потім проводить сканування Інтернету на предмет нових уразливих комп’ютерів з підключенням по RDP. Зібравши список із 80 потенційних об’єктів, GoldBrute відправляє дані про їх IP-адреси на керуючий сервер, звідки на інфікований ПК відправляється список IP-адрес, які потрібно атакувати.
Для кожної IP-адреси передбачена тільки одна комбінація логін/пароль, причому для кожної мети використовуються різні облікові дані. Як вважають дослідники, таким чином оператори ботнету намагаються приховати свою діяльність від користувачів, які напевно помітять численні спроби авторизації. На завершальному етапі бот проводить брутфорс-атаку і відправляє результати C&C-серверу.
Поки експерти не можуть сказати, яку мету переслідують зловмисники. Вони вважають, що оператори GoldBrute збирають ботнет для подальшого продажу доступу до нього на різних підпільних форумах.
До речі, спільна команда дослідників з Віргінського політехнічного інституту, аналітичного центру RAND і компанії Cyentia Institute опублікувала результати цікавого дослідження, з’ясувавши, яка кількість уразливостей, виявлених за останній десяток років, насправді використовувалася у реальних атаках.
Окрім цього, незважаючи на безліч шахрайських схем – від нав’язливої реклами і до майнінгу криптовалют за Ваш рахунок – існує кілька простих порад, які вбережуть Ваш браузер і комп’ютер від зовнішніх загроз.
Нагадаємо, Google планує вжити додаткових заходів для боротьби з шахрайськими розширеннями для Chrome. Так, Google планує видаляти розширення з веб-магазину Chrome, якщо вони порушують нові політики.
Також на щорічній конференції Apple для розробників WWDC 2019 була представлена нова технологія авторизації “Увійти за допомогою Apple”. За бажання користувачі можуть приховати свою фактичну адресу пошти, а Apple випадковим чином згенерує тимчасову адресу.
