Koobface
Сетевой червь, атакующий платформы Microsoft Windows, Mac OS X и Linux

Koobface
Псевдоним
ТипКомпьютерный червь
ПодтипВредоносное ПО
ИсточникРоссия

Koobface — сетевой червь, атакующий платформы Microsoft Windows , Mac OS X и Linux . [1] [2] [3] Первоначально этот червь был нацелен на пользователей сетевых сайтов, таких как Facebook , Skype , Yahoo Messenger , и сайтов электронной почты, таких как GMail , Yahoo Mail и AOL Mail . Он также нацелен на другие сетевые сайты, такие как MySpace , Twitter , [4] и может заражать другие устройства в той же локальной сети. [5] Мошенники из технической поддержки также обманным путем заявляют своим предполагаемым жертвам, что на их компьютере есть инфекция Koobface, используя поддельные всплывающие окна и встроенные программы Windows. [6] [7] [8]

Инфекция

Koobface в конечном итоге пытается, после успешного заражения, собрать информацию для входа на FTP- сайты, Facebook, Skype и другие платформы социальных сетей, а также любые конфиденциальные финансовые данные. [9] Затем он использует взломанные компьютеры для создания одноранговой ботнет -сети . Взломанный компьютер связывается с другими взломанными компьютерами для получения команд в одноранговой сети. [10] Ботнет используется для установки дополнительного вредоносного ПО с оплатой за установку на взломанный компьютер и перехвата поисковых запросов для показа рекламы. Его топология одноранговой сети также используется для показа поддельных сообщений другим пользователям с целью расширения ботнета. [11] Впервые она была обнаружена в декабре 2008 года, а более мощная версия появилась в марте 2009 года. [12] Исследование, проведенное Information Warfare Monitor , совместным проектом SecDev Group и Citizen Lab в Школе глобальных отношений Мунка при Университете Торонто , показало, что операторы этой схемы получили более 2 миллионов долларов дохода с июня 2009 года по июнь 2010 года. [9]

Koobface изначально распространялся в основном через сайты социальных сетей и тактику социальной инженерии [10] , например, путем доставки сообщений Facebook людям, которые являются «друзьями» пользователя Facebook, чей компьютер уже был заражен. После получения сообщение направляет получателей на сторонний веб-сайт (или на другой зараженный Koobface ПК), где им предлагается загрузить то, что якобы является обновлением проигрывателя Adobe Flash . Если они загрузят и запустят файл, Koobface может заразить их систему. Затем он может захватить поисковую систему компьютера и направить его на зараженные веб-сайты. На стене Facebook друга, от которого пришло сообщение, также могут быть ссылки на сторонний веб-сайт, иногда с комментариями типа LOL или YOUTUBE. Если ссылка открыта, троянский вирус заразит компьютер, и ПК станет зомби или хост-компьютером.

Среди компонентов, загружаемых Koobface, есть программа-фильтр DNS, которая блокирует доступ к известным веб-сайтам безопасности, и прокси-инструмент, позволяющий злоумышленникам злоупотреблять зараженным ПК. Одно время банда Koobface также использовала Limbo, программу для кражи паролей.

Было выявлено несколько вариантов червя:

  • Червь:Win32/Koobface.gen!F [13]
  • Net-Worm.Win32.Koobface.a, который атакует MySpace
  • Net-Worm.Win32.Koobface.b, который атакует Facebook [14]
  • WORM_KOOBFACE.DC, который атакует Twitter [15]
  • W32/Koobfa-Gen, который атакует Facebook , MySpace , hi5 , Bebo , Friendster , myYearbook, Tagged, Netlog, Badoo и fubar [16] [17]
  • W32.Koobface.D [18]
  • OSX/Koobface.A, версия для Mac , которая распространяется через социальные сети, такие как Facebook, MySpace и Twitter. [19]

В январе 2012 года The New York Times сообщила [20] , что Facebook планирует поделиться информацией о банде Koobface и назвать имена тех, кто, по ее мнению, несет за это ответственность. Расследования немецкого исследователя Яна Дромера [21] и Центра информационной безопасности и совместных криминалистических исследований Университета Алабамы в Бирмингеме [22] помогли раскрыть личности ответственных лиц.

Facebook наконец раскрыл имена подозреваемых, стоящих за червем, 17 января 2012 года. Среди них Станислав Авдейко (leDed), Александр Колтышев (Floppy), Антон Коротченко (KrotReal), Роман П. Котурбах (PoMuc), Святослав Э. Поличук (PsViat и PsycoMan). Они базируются в Санкт-Петербурге , Россия . Группу иногда называют Ali Baba & 4, а лидером является Станислав Авдейко. [23] Расследование также связало Авдейко со шпионским ПО CoolWebSearch . [21]

Предупреждения о мистификации

Угроза Koobface также является предметом многих ложных предупреждений, призванных обмануть пользователей социальных сетей и заставить их распространять дезинформацию в Интернете. Различные антимошеннические веб-сайты, такие как Snopes.com и ThatsNonsense.com, зафиксировали множество случаев, когда паникерские сообщения, призванные обмануть и запаниковать пользователей Facebook, начали активно распространяться, используя широко разрекламированную угрозу Koobface в качестве приманки. [24] [25]

Другие заблуждения распространились относительно угрозы Koobface, включая ложное утверждение, что принятие «хакеров» в друзья Facebook заразит компьютер жертвы Koobface, или что приложения Facebook сами по себе являются угрозами Koobface. Эти утверждения не соответствуют действительности. Другие слухи утверждают, что Koobface намного опаснее других примеров вредоносного ПО и может удалить все файлы на вашем компьютере и «сжечь ваш жесткий диск». Однако эти слухи вдохновлены более ранними фальшивыми предупреждениями о вирусах и остаются ложными. [24]

Смотрите также

Ссылки

  1. ^ Lucian Constantin (28 октября 2010 г.). «Новый вариант Koobface заражает системы Linux». softpedia . Получено 3 февраля 2015 г.
  2. ^ Lucian Constantin (30 октября 2010 г.). «Linux Java-Based Trojan Might Have Been an Accident» (Троянский конь на базе Linux Java мог быть случайностью). softpedia . Получено 3 февраля 2015 г.
  3. ^ "Дополнительная информация о троянском коне Koobface для Mac". Блог по безопасности Mac . 29 октября 2010 г. Получено 20 января 2012 г.
  4. ^ "US-CERT Malicious Code Targeting Social Networking Site Users, добавлено 4 марта 2009 г. в 11:53 утра". Архивировано из оригинала 12 мая 2009 г. Получено 18 июня 2009 г.
  5. ^ "Twitter Status – Koobface malware attack" . Получено 3 февраля 2015 г. – через Twitter.
  6. ^ Маркс, Эллен (7 июня 2015 г.). «Поддельное предупреждение технической поддержки нацелено на пользователей Apple». Albuquerque Journal .
  7. ^ Рикка, Аарон (6 апреля 2016 г.). «Предупреждения есть, но люди продолжают попадаться на уловки мошенников». The Kingman Daily Miner . Архивировано из оригинала 9 апреля 2016 г.
  8. ^ Дженсен, Дрима (26 февраля 2016 г.). «Женщина почти попалась на компьютерное мошенничество». South Bend Tribune .
  9. ^ ab Koobface: Внутри сети мошеннического ПО Архивировано 14 сентября 2012 г. на Wayback Machine
  10. ^ ab "Что такое вирус Koobface?". kaspersky.com . 25 октября 2017 г. Архивировано из оригинала 11 июня 2020 г. Получено 14 января 2025 г.
  11. ^ "W32.Koobface". Symantec . Архивировано из оригинала 9 декабря 2008 г. Получено 3 февраля 2015 г.
  12. ^ Кайзер, Грегг (2 марта 2009 г.). «Червь Koobface для пользователей: станьте моим другом на Facebook». Computerworld . Получено 31 августа 2009 г.
  13. ^ "Worm:Win32/Koobface.gen!F". microsoft.com . Microsoft . Получено 3 февраля 2015 г. .
  14. ^ "Техника распространения вредоносного ПО Koobface – автоматическое создание учетных записей пользователей на FaceBook, Twitter, BlogSpot и других". Архивировано из оригинала 28 марта 2010 года . Получено 12 августа 2009 года .
  15. ^ "WORM_KOOBFACE". trendmicro.com . Получено 3 февраля 2015 г. .
  16. ^ "Sophos останавливает новую версию червя социальных сетей Koobface". Naked Security . Получено 3 февраля 2015 г.
  17. ^ The Allure of Social Networking, описывает Win32/Koobface, влияющий на несколько социальных сетей, как описано в блоге CA Security Advisor Research. Архивировано 22 июля 2011 г. на Wayback Machine.
  18. ^ "W32.Koobface.D". Symantec . Архивировано из оригинала 15 августа 2009 года . Получено 3 февраля 2015 года .
  19. ^ "Intego Security Memo: Trojan Horse OSX/Koobface.A Affects Mac OS X Mac – Koobface Variant Spreads via Facebook, Twitter and More – The Mac Security Blog". The Mac Security Blog . 27 октября 2010 г. Получено 3 февраля 2015 г.
  20. ^ Веб-банда действует открыто
  21. ^ ab "The Koobface malware gang – exposed! – Naked Security". Naked Security . 12 января 2012 г. Получено 3 февраля 2015 г.
  22. ^ "Facebook отдает должное UAB за остановку международных киберпреступников и жертвует $250 000 школе". AL.com . 22 октября 2012 г. Получено 3 февраля 2015 г.
  23. ^ Проталински, Эмиль (17 января 2012 г.). «Facebook разоблачает хакеров, стоящих за червем Koobface». ZDNet. Архивировано из оригинала 19 января 2012 г. Получено 20 января 2012 г.
  24. ^ Статья ab Koobface – Что это на самом деле? на ThatsNonsense.com, получено 26 января 2011 г.
  25. Статья Koobface на сайте snopes.com, получено 30 декабря 2010 г.
  • Вредоносная банда Koobface – разоблачена!, исследование Яна Дремера и Дирка Коллберга.
  • Настоящее лицо KOOBFACE, анализ Trend Micro.
  • Исследователи отключили серверы Koobface, статья на Slashdot.
Взято с "https://en.wikipedia.org/w/index.php?title=Koobface&oldid=1269421846"