Ничего не стоит на месте, особенно в информационных технологиях, связанных как и с безопасностью систем, так и с эволюционированием инструментария и стратегий киберпреступников.
Стоит заметить, что аналитика вирусных направлений развития на данное время говорит о том, что кардинально новых объектов создаётся сравнительно мало: предпочтение отдаётся достаточно успешным направлениям, защита от которых проходит «на грани фола» — то есть точечное изменение, не приносящее кардинальных закрытий направления вектора атаки.
Как следствие, только сравнительно небольшое изменение в компонентах, режиме взаимодействия – и готовы новые солдаты в неравной битве…
Стратегические изменения последней пары лет – постоянная смена позиций, работа с подобными друг другу модульными блоками, способными к быстрым модификациям как и собственного кода, так и полиморфной модели поведения внутри заражённой системы, что, разумеется, приносит дополнительные сложности аналитикам при определении и реконструкции начального варианта системы.
Сейчас, после громких взломов прошлого года – в частности, сайтов на WordPress, при посредстве SEO-отправления – получается, что через поиск и ранжирование Google пользователи видят в первую очередь вредоносные ссылки, переходят на поддельные сайты, где и публикуется ссылка на вредонос.
Что характерно, используется в том числе и взлом и модификация системы управления контента взломанных сайтов (CMS) для изменения и настройки геолокационных идентификаторов в нужном режиме…
Сама система доставки вредоносных компонентов – Gootloader – эволюционировала из модуля кражи данных под названием Gootkit. Теперь она доросла до достаточно сложной системы со скрытной структурой перемещения развёртываемых последовательно компонентов в целевой системе.
Теперь Gootloader работает примерно с 400 контролируемых сайтов, для поддержания уровня безопасности и предоставления пользователям информации из разнесённых географически мест, основные из которых – США, Южная Корея, Франция и Германия.
Кроме основного компонента (Gootkit и REvil), такой режим позволяет вносить в целевую систему Kronos и Cobalt Strike. То есть все на месте: вымогатели, трояны и инструменты эмуляции…
В дальнейшем через многоходовый режим действия, призванный отвлечь внимание антивирусов и не дать информацию аналитическим системам обнаружения, перемежая собственные модули и использование системных компонентов, вредонос начинает свою деятельность.
Для блокировки атак такого уровня аналитики рекомендуют использование блокировщиков скриптов, но такими средствами далеко не все готовы пользоваться на постоянной основе. Кроме того, этот шаг ставит под угрозу многие рекламные направления в работе сайтов…
