Недавняя активность ботнетов и оживление на площадке Darkmoney

13 января - банковский троян Citadel и европейские банки 
Согласно  отчету McAfee  первыми целями были объекты в Польше и ряде европейский стран, основная цель - хищение денежных средств. Отчет немного не бьется с той информацией, которую можно воспринимать как достоверную, так как Citadel является одним из популярных и далеко не новых банковских троянов, о котором так объемно можно рассуждать, ссылаясь на многочисленные протрояненные правительственные и индустриальные объекты.   

17 января - возрождение Blackenergy в части рассылки спамма 
Обнаружены новые сэмплы и модификации известного DDoS-бота Blackenergy, контрольные центры старых экземпляров которого были заблокированы в прошлом году. Отмечу, что троян квалифицируют как средство реализации рассылок, хотя первоначально все технические характеристики и его применение в составе ботнетов характеризовали его как DDoS-бота, активно использующегося в среде киберпреступников по причине простоты настройки, достаточно качественного кода и способности реализации разноплановых атак с применением множественных потоков.  

20 января - распространение мобильного вредоносного кода под российские банки 
На Google Play  появились  фейки приложений для мобильного доступа к ДБО Сбербанка и Альфа-банка. Group-IB осуществила удаление вредоносов путем взаимодействия с Google, после чего провела  анализ  отдельного экземпляра, в ходе чего были выявлены 2 управляющих центра, 1 из которых ранее распространял Carberp. 

23 января - блокирование ботнета Virut 
В настоящее время в состав ботнета Virut входят сотни тысяч зомби-машин. Symantec в конце 2012 года регистрировала порядка 308 тыс. активных ботов в сутки, отмечая их высокую концентрацию в Египте, Пакистане, Индии и Индонезии. В совместной  операции  при участии Spamhaus, Group-IB, NASK и CERT Польши были локализованы и заблокированы основные центры управления ботнетом.  

31 января - “Покерный” ботнет и Facebook 
Впервые ботнет PockerAgent был обнаружен в 2012 году. Троян предназначен для похищения учётных данных, а частности информации о кредитных картах участников социальной сети Facebook, которые используют игровое приложение Zynga Pocker. Основной регион его активности – Израиль, где было зафиксировано более 800 случаев проявления трояна. На сегодняшний день им уже похищены данные 16194 учётных записи. PockerAgent имеет несколько вариаций и относится к семейству MSIL/Agent.NKY. Троян написан на языке С# и легко декомпилируется. И после изучения исходного кода вируса, было обнаружено, что троян получает доступ к аккаунту жертвы, собирает статистику оплат и данные средств оплаты (кредитных карт) услуг в игре Zynga Pocker, а затем отправляет эти данные на удаленный C&C сервер .  

Начало февраля - тоже бурное, обнаружен ZeroAccess, ботнет таргетированный на реализации подмене выдачи поисковых систем и фрода в BitCoin, что является немалой экзотикой. В данный момент насчитывает порядка 140 000 зараженных машин.  

Отдельно в наступившем году стоит говорить о новой модификации банковского трояна Carberp с включенным модулем для заражения MBR-записи, количество ботнетов которого в мире растет с каждой новой продажей в руки киберпреступников. Группа продолжает вести активную деятельность по разработке и совершенствованию указанного банковского трояна.  

В свою очередь, вчера на  Инфофоруме  выступал Никита Кислицин, руководитель стратегического развития Group-IB Bot-Trek™, уникального проекта по мониторингу ботнетов для проактивного предотвращения фрода в банках и злонамеренной активности в телекоммуникационной отрасли. В этом году о проекте узнают более подробно, так как он выйдет в массы и позволит эффективно бороться с мошеннической активностью, опережая ее реализацию.