Преступники создают ботнеты с помощью легитимных инструментов для удаленного доступа

24 августа

Злоумышленники используют официальные инструменты для тестирования в целях создания и поддержки работы ботнетов. В частности, речь идет об инструменте для удаленного доступа Remcos (Remote Control and Surveillance), утилите для шифрования Octopus Protector и другом программном обеспечении производства компании Breaking Security, утверждают специалисты команды Cisco Talos.

Согласно правилам оказания услуг, размещенным на сайте Breaking Security, использование продуктов разрешено только в законных целях, а любое нарушение повлечет за собой отзыв лицензии. Тем не менее, по данным Cisco Talos, инструмент Remcos применялся в ряде целевых фишинговых атак на организации в Турции, Испании, Польше и Великобритании, в том числе военных подрядчиков, международные новостные агентства, производителей оборудования, а также поставщиков услуг в энергетической и морской сферах.

После установки на системе Remcos может использоваться для мониторинга активности пользователя, включая запись нажатий клавиш, удаленную съемку скриншотов и выполнение команд. Согласно официальному описанию продукта, Remcos, предлагаемый по цене от €58 до €389, позволяет полностью контролировать любую версию ОС Windows, начиная с XP.

Несмотря на заявления на сайте Breaking Security, исследователи поставили под сомнение добропоряочность разработчика, учитывая, что инструмент рекламируется на хакерских форумах по меньшей мере с 2016 года. В пример они привели сообщение на одном из ресурсов, в котором покупатель Remcos говорит о том, что использует программное обеспечение компании для управления двумя сотнями «ботов».

Как заявил создатель инструмента, некто Франческо Виотто (Francesco Viotto), в ответ на обвинения Cisco Talos, программа действительно предназначена исключительно для законного использования.

«Из-за мощности и универсальности нашего программного обеспечения некоторые пользователи применяют его с вредоносной целью, используя для управления машинами, им не принадлежащими», — отметил Виотто в беседе с журналистами Bleeping Computer, подчеркнув, что в случаях подозрительного использования ПО лицензия немедленно отзывается. По его словам, эксперты не отправили ни одного уведомления о вредоносном использовании Remcos, хотя на сайте компании размещен электронный адрес специально для подобных случаев.

«Если бы они [Cisco Talos] были заинтересованы в пресечении вредоносной кампании, проще всего было бы проинформировать нас. Мы бы остановили кампанию, даже масштабную, в течение 10 минут», — утверждает Виотто.


Другие новости

16 ноября

Федеральная налоговая служба сообщила, когда предприниматели на ЕНВД смогут использовать новую форму налоговой декларации для оформления вычета за покупку кассовой техники.

23 октября

Нарушители будут привлекаться к дисциплинарной ответственности, а контрактники — досрочно уволены.

23 октября

Лига безопасного интернета предложила ввести ответственность для соцсетей и поисковиков за запрещенный контент.

23 октября

В некоторых случаях затраты на мобильный интернет достигают $385.