Свою известность вредонос Fareit получил в мае 2013 года, когда с его помощью хакеры провели масштабную кампанию по распространению набора эксплоитов Blackhole. А уже через год ИБ-эксперты из ИБ-компании Fidelis Cybersecurity обнаружили новый выпуск вредоноса Fareit, который распространялся при помощи спам-ботнета Pushdo, что позволило ему инфицировать ПК в 50 странах мира. В начале 2015 года хакеры вновь выпустили вредонос Fareit, но изменили тактику: атаки совершались на опасных интернет-ресурсах, куда пользователей перенаправляли с помощью фишинговых схем.
И вот в начала октября ИБ-исследователи CTSIRG выявили в сети уже совсем свежую модификацию вредоноса Fareit. По их заключению, он — по сравнению с ранее действовавшими версиями — претерпел значительные изменения. Если изначально это опасное ПО предназначалось для взлома компьютеров и внедрения в них инфицирующих систему кодов, то новый образец Fareit «эволюционировал», и уже применяется для эксфильтрации данных, в частности, для хищения пользовательских паролей из браузеров.
В опубликованном в блоге CTSIRG отчете сообщается: «Отслеживать этот вреднос стало очень трудно. Многие используемые сообществом безопасности средства обнаружения киберугроз — поиск и корреляцию алгоритмов — ориентируют именно на проверку хэша». Также эксперты обращают внимание на использование одноименных файлов, которые при этом содержат уникальный хэш, что дает им возможность избегать обнаружения антивирусным ПО.
Такая ситуация, как они заключают, связана с недостаточной гибкостью используемого хакерами механизма распространения вредоноса и его неспособностью каждый раз — для внедрения «на лету» — генерировать новые имена файлов. Не исключено, что причина в другом: распространяет вредонос запрограммированная бот-сеть. При этом исследователи CTSIRG в своем блоке оговариваются: «конечно, это — пока только догадки, поскольку мы не исследовали локальные двоичные файлы и не проанализировали командный сервер, через который осуществляется запрограммированное управление».
Сегодня в CTSIRG смогли выявить уже 2 455 образцов новой модификации Fareit, и только у 23 из них оказался одинаковый хэш, у всех остальных он, как отмечалось ранее, имеет уникальный вид. При первичной проверке IP-адресов, связанных с вредоносной кампанией Fareit, исследователи уже смогли придти к выводу, что атаки производятся с двух C&C-серверов, а вредоносный код загружался с двух следующие URL-адресов: http://89.144.2.119/cclub02.exe и http://89.144.2.115/cclub02.exe. Также указывается, что атаки пользователей осуществляются на сайтах, расположенных, в США, Китае и на Украине, что позволяет предположить согласованный характер действий хакеров, которые, скорее всего, принадлежат к одной преступной кибергруппировке.
.png)