Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Новая версия ботнета Prometei заразила более 10 тысяч систем по всему миру (http://txgate.io:443/showthread.php?t=10419)

Artifact 04-14-2025 01:45 AM

Функционал кроссплатформенного вредоносного ПО постоянно расширяется.
С прошлого ноября по март этого года обновлённая версия вредоносного ботнета Prometei заразила более 10 000 систем по всему миру. Заражения носят как географически неизбирательный, так и целенаправленный характер, при этом большинство жертв зафиксировано в Бразилии, Индонезии и Турции.
Prometei, впервые обнаруженный в 2016 году, представляет собой модульный ботнет с большим набором компонентов и несколькими методами распространения, включающие в том числе использование уязвимостей Microsoft Exchange Server. В последнем варианте вредоноса, «Prometei V3», авторы ощутимо прокачали его скрытность в целевой системе.
Мотивы распространения кроссплатформенного ботнета носят в первую очередь финансовый характер, так как зараженные хосты используются для майнинга криптовалюты и сбора учётных данных.
https://www.securitylab.ru/upload/me...3bcjzl5pa3.png
Карта заражений ботнета Prometei
Последовательность атаки следующая: после успешного закрепления в целевой системе выполняется команда PowerShell для загрузки полезной нагрузки ботнета с удаленного сервера. Затем основной модуль Prometei используется для получения фактической полезной нагрузки криптомайнинга и других вспомогательных компонентов.
Некоторые из этих модулей поддержки функционируют как программы-распространители, предназначенные для распространения вредоносного ПО через протокол удаленного рабочего стола (RDP), Secure Shell (SSH) и Samba (SMB).
Prometei v3 также примечателен тем, что использует алгоритм генерации домена (DGA) для создания C2-инфраструктуры. Кроме того, он содержит механизм самообновления и расширенный набор команд для сбора конфиденциальных данных и захвата хоста.
И последнее, но не менее важное: вредоносная программа развертывает веб-сервер Apache, связанный с веб-оболочкой на основе PHP, которая способна выполнять команды в кодировке Base64 и выполнять загрузку файлов.
«Это недавнее добавление новых возможностей указывает на то, что операторы Prometei постоянно обновляют ботнет и добавляют новые функции», — заявили исследователи компании Cisco Talos .


All times are GMT. The time now is 02:42 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.