Rețeaua botnet ZeroAccess

ZeroAccess este un software rău intenționat de tip cal troian care afectează sistemele de operare Microsoft Windows. Acesta este utilizat pentru a descărca alte programe malware pe o mașină infectată de la un botnet, rămânând în același timp ascuns folosind tehnici de rootkit.[1]

Istoric și propagare

[modificare | modificare sursă]

Rețeaua botnet ZeroAccess a fost descoperită cel puțin în jurul lunii mai 2011.[2] Se estimează că rootkit-ul ZeroAccess responsabil de răspândirea rețelei botnet a fost prezent pe cel puțin 9 milioane de sisteme.[3] Estimările privind dimensiunea botnetului variază în funcție de surse; furnizorul de antivirus Sophos a estimat dimensiunea botnetului la aproximativ 1 milion de sisteme active și infectate în al treilea trimestru al anului 2012, iar firma de securitate Kindsight a estimat 2.2 milioane de sisteme infectate și active.[4][5]

Botul în sine este răspândit prin intermediul rootkit-ul ZeroAccess printr-o varietate de vectori de atac. Un vector de atac este o formă de inginerie socială, în care un utilizator este convins să execute un cod rău intenționat fie prin deghizarea acestuia într-un fișier legitim, fie prin includerea sa ascunsă ca o sarcină utilă suplimentară într-un executabil care se anunță, de exemplu, ca ocolind protecția drepturilor de autor (un Keygen⁠(d)). Un al doilea vector de atac utilizează o rețea de publicitate pentru ca utilizatorul să facă clic pe o reclamă care îl redirecționează către un site care găzduiește însuși software-ul rău intenționat. În cele din urmă, un al treilea vector de infectare utilizat este o schemă de afiliere prin care persoane terțe sunt plătite pentru instalarea rootkit-ului pe un sistem.[6][7]

În decembrie 2013, o coaliție condusă de Microsoft a încercat să distrugă rețeaua de comandă și control pentru botnet. Totuși, atacul a fost ineficient, deoarece nu toate C&C-urile au fost confiscate, iar componenta sa de comandă și control peer-to-peer nu a fost afectată - ceea ce înseamnă că botnetul putea fi în continuare actualizat în voie.[8]

Odată ce un sistem a fost infectat cu rootkit-ul ZeroAccess, acesta va începe una dintre cele două operațiuni principale ale botnetului: minarea de bitcoin⁠(d) sau fraudă PPC⁠(d). Mașinile implicate în minarea de bitcoin generează bitcoini pentru controlorul lor, a căror valoare estimată era de 2,7 milioane de dolari americani pe an în septembrie 2012.[9] Mașinile utilizate pentru fraudarea click-urilor simulează click-uri pe reclame de pe site-uri web plătite pe baza plată per click. Profitul estimat pentru această activitate poate ajunge până la 100.000 de dolari americani pe zi,[10][11] care îi costă pe agenții de publicitate 900.000 de dolari pe zi în clicuri frauduloase.[12] De obicei, ZeroAccess infectează Master Boot Record⁠(d) (MBR-ul) sistemului infectat. Alternativ, poate infecta un driver aleatoriu din C:\Windows\System32\Drivers, oferindu-i control total asupra sistemului de operare.[necesită citare] De asemenea, dezactivează Windows Security Center, Firewall și Windows Defender din sistemul de operare. ZeroAccess se conectează, de asemenea, la stiva TCP/IP pentru a ajuta la fraudarea clicurilor.

De asemenea, software-ul caută malware-ul Tidserv și îl elimină dacă îl găsește.[1]

  1. ^ a b „Risk Detected”. www.broadcom.com. 
  2. ^ „Monthly Malware Statistics, May 2011”. securelist.com. 
  3. ^ Wyke, James (). „Peste 9 milioane de PC-uri infectate - ZeroAccess botnet uncovered”. Sophos. Accesat în . 
  4. ^ Jackson Higgins, Kelly (). „ZeroAccess Botnet Surges”. Dark Reading. Arhivat din original la . Accesat în . 
  5. ^ Kumar, Mohit (). „9 milioane de PC-uri infectate cu botnetul ZeroAccess”. The Hacker News. Accesat în . 
  6. ^ Wyke, James (). „Rotkit-ul ZeroAccess”. Sophos. p. 2. Accesat în . 
  7. ^ Mimoso, Michael (). „ZeroAccess Botnet Cashing in on Click Fraud and Bitcoin Mining”. ThreatPost. Arhivat din original la . Accesat în . 
  8. ^ Gallagher, Sean (). „Microsoft disrupts botnet that generated $2.7M per month for operators”. Ars Technica⁠(d). Accesat în . 
  9. ^ Wyke, James. „Botnetul ZeroAccess: Mining and Fraud for Massive Financial Gain” (PDF). Sophos. pp. (Page 45). Accesat în . 
  10. ^ Leyden, John (). „Crooks can milk '$100k a day' from 1-million-zombie ZeroAccess army”. The Register⁠(d). Accesat în . 
  11. ^ Ragan, Steve (). „Milioane de rețele domestice infectate de ZeroAccess Botnet”. SecurityWeek. Accesat în . 
  12. ^ Dunn, John E. (). „ZeroAccess bot has infected 2 million consumers, firm calculates”. Techworld. Accesat în . 

Legături externe

[modificare | modificare sursă]