Code Shikara - это компьютерный червь , относящийся к семейству Dorkbot , атакующий с помощью социальной инженерии .
График
В 2011 году Кодекс был впервые идентифицирован датской компанией по кибербезопасности CSIS. А.В. -company Sophos сообщила в ноябре 2011 года , что эта угроза в основном распространяющийся через вредоносные ссылки через социальную сеть Facebook . [1] [2]
В 2013 году , Bitdefender Labs поймали и блокировал червя, который способен шпионит за пользователями просматривают деятельности , тем временем краже их личного онлайн / оффлайн информацию и / или учетные данные, широко известный как киберпреступность . Первоначально заражение было отмечено службой онлайн-резервного копирования MediaFire , которая обнаружила, что червь распространялся замаскированным под файл изображения . Несмотря на вводящее в заблуждение расширение, MediaFire успешно идентифицировала вредоносный образ как EXE-файл . Вредоносный код Shikara выдает себя за изображение .jpeg, но на самом деле является исполняемым файлом . В качестве IRC-бота вредоносная программа просто интегрируется злоумышленниками с управляющего и командного сервера . Помимо кражи имен пользователей и паролей, бот-пастух может также заказать дополнительную загрузку вредоносного ПО.
Затем MediaFire предприняла шаги для устранения неправильных и вводящих в заблуждение расширений файлов в обновлении , которое идентифицирует и отображает краткое описание путем определения конкретных типов файлов. Чтобы помочь пользователям справиться с этой конкретной угрозой, служба обмена файлами также блокирует файлы с двойными расширениями, например .jpg.exe, .png.exe или .bmp.exe. Как и обычное вредоносное ПО, Backdoor.IRCBot.Dorkbot может обновляться после установки на компьютер жертвы или другие связанные устройства . [3]
Самый большой риск заключается в том, что учетная запись чьих-либо контактов Facebook могла быть уже взломана (из-за небрежного пароля или предоставления доступа к мошенническому приложению ) и что пользователь учетной записи был заманчив, щелкнув ссылку, которая, по-видимому, была опубликована одним из их друзей. .
Хотя ссылки претендуют на то, чтобы указывать на изображение, на самом деле за изображением двух блондинок скрыта вредоносная заставка . После запуска кода он пытается загрузить дальнейшее вредоносное ПО, размещенное в конкретном взломанном израильском домене. В настоящее время вредоносного ПО нет на израильском веб-сайте. Все, что осталось, - это сообщение вроде бы от злоумышленников, в котором говорится:
- Взломано ExpLodeMaSTer и Ufuq
Вполне вероятно, что они используют дополнительные или другие веб-сайты для продолжения распространения своих кибератак. Некоторые другие популярные приманки, заставляющие пользователей переходить по вредоносным ссылкам, включают секс-ленты Рианны или Тейлор Свифт . [2] [4]
Статистика
- Нигер: согласно информации Kaspersky Cybermap , в апреле 2017 года Spam Code занял первое место в Нигере с показателем 77,51%. Второе место занимает лингвистический анализ с 14,7%. [5]
- Code Shikara в основном распространяется в следующих странах (СТАТИСТИКА - 22 апреля 2017 г.):
- Афганистан (81,27%)
- Румыния (78,58%)
- Алжир (78,56%)
- Индия (78,46%)
- Нигер (77,51%)
- Турция (75,49% Турция% в неделю! ) [5]
Смотрите также
Рекомендации
- ^ «CSIS - Исключительная разведка угроз» .
- ^ а б «Червь Facebook изображает двух блондинок» . 29 ноября 2011 г.
- ^ «Вредоносное ПО Dorkbot заражает пользователей Facebook; шпионит за действиями браузера ...» 14 мая 2013 г.
- ^ «Червь Facebook для чата продолжает распространяться» . 5 декабря 2011 г.
- ^ а б «Карта реального времени Kaspersky Cyberthreat» .
Внешние ссылки
- Оповещение (TA15-337A) @ Группа готовности к компьютерным чрезвычайным ситуациям США ( US-CERT )
- Техническая информация @ Microsoft
- Microsoft помогает правоохранительным органам нарушать работу бот-сетей Dorkbot @ technet.microsoft.com