Ботнеты кормят российские мобильники

Аналитики взломали хакерскую сеть Koobface

«Газета.Ru»
Одна из самых известных компьютерных зомби-сетей Koobface приносит своим владельцам по $2 млн в год. Аналитики Information Warfare Monitor впервые раскрыли структуру бизнеса ботнетов: через платежные системы деньги пострадавших интернет-пользователей переводятся на четыре российских мобильника. Международный отдел Управления «К» уже изучает информацию.

Технический аналитик канадской исследовательской компании Information Warfare Monitor Нарт Вильнев представил исследование, в котором раскрыл структуру бизнеса ботнетов. Чтобы проследить проводки, он использовал ошибки, допущенные самими хакерами, утверждает аналитик.

Червь Koobface (анаграмма Facebook) распространяется через аккаунты социальных сетей Blogspot, Facebook, MySpace, Google, Twitter и через сервисы сокращения ссылок типа bit.ly. Хакеры рассылали ссылки якобы от друзей пользователя с предложением посмотреть видео или послушать клип. По ссылке пользователь попадал на зараженную страницу и запускал файл, который давал хакерам контроль над компьютером. В качестве примера Вильнев приводит подложную страницу YouTube, на которой просят загрузить недостающий кодек или обновить версию плеера Adobe Flash. Так хакеры собирают номера банковских кат, пароли, личные данные.

Другой вариант заражения предусматривает перехват поисковых запросов пользователей и передачу этой информации в сеть Koobface. В этом случае пользователю отправляются подложные результаты поиска, и он переходит по ссылке на зараженную страницу. Хакеры используют технологии, которые пытаются с ними бороться: они мониторят свои ссылки с помощью Google Safe Browsing API и проверяют, не были ли они отмечены как вирусные в bit.ly или Facebook.

Исследователи жалуются, что часто хакеров покрывают хостинговые компании, которые предоставляют им сервера и отказываются раскрывать данные о своих клиентах. Одним из дружественных хакерам хостеров назван MiraxNetworks. Как установили исследователи, основное количество серверов группы расположено в США.

Хакеры используют стандартные способы монетизации ботнетов: плата за клики на рекламные баннеры, плата за установку программного обеспечения. После того как червь заразил компьютер, он генерирует клики на рекламу, хотя пользователь на нее не нажимал.

Бенджамин Эдельман, профессор Гарвардской школы бизнеса, рассказывает, что написать программу для подделки кликов, которая заставит компьютер нажимать на платную рекламу, просто. По его данным, подобными червями заражены десятки миллионов компьютеров.

Мошенникам из Koobface удалось заработать в период с июня 2009 года по июнь 2010 года более $2 млн. Исследователям удалось найти файл с ежедневными отчетами о доходах хакеров. Дневные доходы за последние семь лет отсылаются на четыре российских номера мобильных телефонов. Средний дневной доход составляет $5857. Самая большая дневная сумма — $19 928 — была получена 23 марта 2010 года.

Обналичить счет мобильника просто: можно прийти в офис оператора и расторгнуть контракт, в этом случае оператор возвращает оставшиеся деньги абоненту. Второй способ – операторская услуга мобильного перевода. Нужно набрать на мобильном телефоне цифровой код, и оператор спишет с баланса указанную сумму. Деньги перечисляются получателю, который может их снять по предъявлению паспорта в банке-партнере оператора.

Также найден архивный файл Koobface, который содержал записи о платежах через Paymer (paymer.com). Paymer — это платежный сервис, который интегрируется с российской платежной системой WebMoney, которую также часто используют хакеры. Архив содержит записи о 255 операциях. Суммы делились на части по $200. Есть списки получателей – это имена, фамилии, ники.

Александр Матросов, руководитель Центра вирусных исследований и аналитики ESET, говорит, что знает Koobface «на протяжении нескольких лет». «По нашим данным, сегодня данная угроза не так активна, как раньше, и распространяется уже не в таких масштабах. Если говорить о нейтрализации или заражении Koobface, то у большинства антивирусных решений нет никаких проблем в обнаружении этого червя. Цифры, указанные автором исследования, на мой взгляд, приуменьшены. Развитие ботнета Koobface происходит с помощью так называемой партнерской программы. Поскольку авторам удалось найти файл и узнать доходы злоумышленников только из одной «партнерки», в реальности цифра может быть значительно больше», — заметил он.

Исследователи надеются, что полученная информация поможет правоохранительным органам в раскрытии преступлений хакеров. В российском Управлении «К» МВД, занимающемся борьбой с преступлениями в сфере высоких технологий, «Газете.Ru» сказали, что направили информацию о связях Koobface в международный отдел. Представитель одного из мобильных операторов сообщил, что по запросу от Управления «К» и по решению суда оператор предоставит всю имеющуюся информацию о владельце номера и «всячески поспособствует следствию».

Для того, чтобы по возможности уберечься от заражения червем Koobface , специалисты «Лаборатории Касперского» советуют пользователям осторожнее относиться к ссылкам в сообщениях подозрительного содержания, даже если они получены от пользователя, которому можно доверять. Также важно использовать свежие версии браузеров, антивирусного ПО и по возможности не раскрывать в сети личную информацию: домашний адрес и телефонный номер.