Эксперты перехватили контроль над крупнейшей сетью дистрибуции вредоносного ПО

Специалистам компаний Abuse.ch, BrillantIT и Proofpoint удалось осуществить синкхолинг (подмена и перенаправление трафика на подставные web-серверы) управляющей инфраструктуры сети EITest, состоящей из более чем 52 тыс. взломанных серверов.

EITest, которую еще называют «королем дистрибуции трафика», используется злоумышленниками для перенаправления пользователей на вредоносные сайты, страницы с эксплоит-китами, в том числе Angler и RIG, мошенническими схемами техподдержки и пр.

На подпольном рынке EITest появилась в 2011 году и изначально ее операторы использовали сеть только для собственных целей - в основном перенаправления трафика на сайты с набором эксплоитов Glazunov, служащего для заражения устройств трояном Zaccess. На тот момент EITest не представляла особую угрозу, однако в 2013 году ее создатели начали перерабатывать структуру сети и годом спустя стали сдавать ее в аренду другим вирусописателям. Согласно данным эксперта Proofpoint, известного как Kafeine, команда EITest начала продавать перехваченный трафик со взломанных сайтов по $20 за 1 тыс. пользователей.

В начале нынешнего года специалисты BrillantIT смогли раскрыть метод подключения инфицированных сайтов к управляющей инфраструктуре и перехватить домен stat-dns.com, что позволило им захватить контроль над всей операцией EITest. Ежедневно ботнет обрабатывал трафик с более чем 52 тыс. зараженных сайтов, в основном ресурсов на WordPress.

По словам исследователей, операторы EITest не пытаются восстановить контроль над сетью, не исключено, что они формируют новый ботнет. В настоящее время на подпольном рынке предлагаются услуги нескольких сетей для распространения вредоносного ПО, например, Fobos, Ngay и Seamless. Еще два игрока - Afraidgate и псевдоDarkleech - в последние несколько месяцев никак не проявляют себя.