Согласно данным компании M86 Security, снова активизировался ботент Cutwail, также известный под названиями Pandex, Mutant и Pushdo. Сотрудники компании заявляют, что в течение последних нескольких недель они зарегистрировали несколько волн HTML писем, содержащих вредоносный javascript сценарий. Эти письма скорее всего рассылались с зараженных компьютеров под управлением Cutwail.
Пик активности Cutwail был 5 лет назад, когда он уверенно лидировал среди существующих ботнетов и насчитывал 1.6 млн. зомби. Он потерял свои позиции после того, как неизвестные хакеры сумели скомпрометировать систему и раскрыть имена клиентов и продавцов незаконных услуг.
Согласно M86 Security, количество инфицированных email сообщений было превышено в 50 раз по сравнению со среднестатистическими данными в период с 23 по 25 января. И последующие 3 волны рассылок после 6 февраля увеличили количество рассылаемых писем в 200 раз. Инфицированные письма содержали в теме сообщения следующие строки: "FDIC Suspended Bank Account", "End of August Statement" и "Scan from Xerox WorkCentre".
Содержащийся в письме javascript сценарий использует известные бреши в различном ПО, например уязвимости в старых версиях Acrobat Reader. В некоторых случаях, после успешной компрометации на систему устанавливается троянское приложение "Cridex". Для управления зомби ботнет использует популярный на черном рынке набор эксплоитов "Phoenix Exploit Kit". Согласно данным M86 Security, 15,8% спама во всем мире контролируется ботнетом Cutwail.
Источник: SecurityLab
|
