Давно известно, что «добросовестное» программное обеспечение может быть использовано в криминальных целях. Последний пример подобных действий был исследован компанией NSS Labs.
SIPVicious — это популярный набор инструментов для аудита систем голосовой связи на базе SIP (Session Initiation Protocol, протокол установки соединения). Этот набор использован для взлома и дальнейшего возможного использования серверов VoIP с целью звонков на дорогие платные номера или для голосового фишинга (vishing, voice fishing).
Всё начинается с визита пользователя на обычный сайт, ранее взломанный злоумышленниками. На этом сайте размещается вредоносный iFrame, который перенаправляет пользователя на сервер с инструментом взлома Black Hole. В пользовательской системе ищется уязвимость — и если будет найдена, загружается и исполняется троянская программа (jqs.exe).
Эта программа связывается с управляющим сервером для получения инструкций, после чего идет на домен в зоне .cc и скачивает набор инструментов SIPVicious, интерпретатор Python и архиватор unrar.
Троян запускает установщик Microsoft в «тихом» фоновом режиме, который ставит Python и разархивирует SIPVicious. Подробности можно посмотреть здесь.
По командам с управляющего сервера SIPVicious используется для сканирования и брутфорс атаки (полный перебор) на SIP устройства в локальной сети. Если атака оказалась успешной, троян пытается зарегистрироваться на нем и предоставить доступ злоумышленникам для дальнейших операций.
SIPVicious — это популярный набор инструментов для аудита систем голосовой связи на базе SIP (Session Initiation Protocol, протокол установки соединения). Этот набор использован для взлома и дальнейшего возможного использования серверов VoIP с целью звонков на дорогие платные номера или для голосового фишинга (vishing, voice fishing).
Всё начинается с визита пользователя на обычный сайт, ранее взломанный злоумышленниками. На этом сайте размещается вредоносный iFrame, который перенаправляет пользователя на сервер с инструментом взлома Black Hole. В пользовательской системе ищется уязвимость — и если будет найдена, загружается и исполняется троянская программа (jqs.exe).
Эта программа связывается с управляющим сервером для получения инструкций, после чего идет на домен в зоне .cc и скачивает набор инструментов SIPVicious, интерпретатор Python и архиватор unrar.
Троян запускает установщик Microsoft в «тихом» фоновом режиме, который ставит Python и разархивирует SIPVicious. Подробности можно посмотреть здесь.
По командам с управляющего сервера SIPVicious используется для сканирования и брутфорс атаки (полный перебор) на SIP устройства в локальной сети. Если атака оказалась успешной, троян пытается зарегистрироваться на нем и предоставить доступ злоумышленникам для дальнейших операций.
