Специалисты компании IronPort Systems, входящий в состав корпорации Cisco, сообщили о том, что обнаружили связь между разработчиками вредоносного ПО (в частности, самого сложного червя-ботнета Storm, который до сих пор распространяется по Сети) и нелегальными фармацевтическими компаниями, которые используют ботнеты для незаконной рекламы своих сайтов через спам.
Как считают эксперты IronPort, превращая спам в мощное рекламное средство, эти компании извлекают огромную прибыль и создают серьезную финансовую мотивацию для дальнейшей разработки шпионских программ. Исследователи IronPort доказали, что более 80% спама, генерируемого ботнетом Storm, приходится на рекламу фармацевтических товаров. Спам рассылается миллионами персональных компьютеров, которые заражены червем-ботнетом Storm, и использует множество изощренных методов социальной инженерии и web-трюков для влияния на людей. В ходе расследования IronPort выяснилось, что шаблоны спама, зараженные адреса URL, дизайн вредоносных web-сайтов, средства обработки кредитных карт, системы исполнения заказов и даже средства поддержки заказчиков поставляются российской преступной группой, поддерживающей распространение ботнета Storm.
Эта преступная группа привлекает новые компании к рекламе незаконных фармацевтических сайтов с помощью спама, получая комиссионные в размере 40% от объема заказов. Преступники обеспечивают исполнение заказов, обработку кредитных карт и услуги поддержки заказчиков. Между тем, лабораторные анализы, проведенные по заказу IronPort, показали, что в двух третях незаконной фармацевтической продукции неправильно указана дозировка препаратов, а одна треть вообще не является медикаментом и содержит нейтральное вещество.
Подробная информация о ботнете Storm и связях между его создателями и незаконной поставкой медицинских препаратов приводится в специальном отчете компании IronPort под названием “2008 Internet Malware Trends: Storm and the Future of Social Engineering”.
Ботнеты, описанные в отчете IronPort, имеют ряд уникальных качеств. Они привязывают рассылку спама к текущим событиям и популярным сайтам и используют для своего распространения электронную почту и Интернет. Атаки ведутся в децентрализованном режиме, но хорошо скоординированы и наносят ущерб не только через спам. Ботнеты создают удобную платформу для фишинга, атак через систему мгновенных сообщений и распределенных атак “отказ в обслуживании” (DDoS).
Чтобы пресечь распространение таких ботнетов, как Storm, IronPort рекомендует использовать спам-фильтры, обращать внимание на репутацию сайтов, проводить мониторинг портов и коммуникаций и регулярно обновлять антивирусные программы и другие средства защиты.