Google powiedział, że uzyskał nakaz sądowy zamknięcia domen używanych do dystrybucji CryptBot po pozwaniu dystrybutorów złośliwego oprogramowania kradnącego informacje.

Według szacunków Fabryki Czekolady oprogramowanie to zainfekowało około 670 000 komputerów z systemem Windows w ciągu ostatniego roku, a konkretnie kierowało użytkowników Chrome w celu kradzieży danych logowania, plików cookie przeglądarki, kryptowalut i innych wrażliwych materiałów z ich komputerów.

Sędzia federalny Nowego Jorku w tym tygodniu odpieczętował pozew [PDF] które Google złożyło przeciwko procedom złośliwego oprogramowania; amerykański gigant oskarżył dystrybutorów o popełnianie oszustw i nadużyć komputerowych oraz naruszenie znaku towarowego poprzez wykorzystywanie znaków Google w ich oszustwach. Sąd przyznał Google tymczasowy zakaz zbliżania się, który pozwolił mu zamknąć infrastrukturę internetową operatorów botów.

Zwykle w tego rodzaju przypadkach Google może skierować swój zakaz zbliżania się do rejestratorów i rejestrów podlegających jurysdykcji sądu i uzyskać wyłączone określone domeny używane do rozprzestrzeniania złośliwego oprogramowania.

Sądząc z postanowienia sądu [PDF] Google może nie tylko usuwać domeny w ten sposób, ale może też pokazywać dostawcom sieci i hosterom nakaz blokowania połączeń z serwerami używanymi przez CryptBot; wyłączyć sprzęt lub maszyny wirtualne i zawiesić usługi; zachowane i przekazane materiały, które mogłyby doprowadzić do identyfikacji operatorów CryptBota; zapewnić podjęcie kroków w celu utrzymania tej infrastruktury w trybie offline; i wiele więcej.

Podsumowując, nakaz pozwala Google na usunięcie z Internetu systemów i stron internetowych wykorzystywanych przez operatorów CryptBot do rozpowszechniania paskudnego oprogramowania.

„Nasz spór sądowy został wniesiony przeciwko kilku głównym dystrybutorom CryptBot, którzy naszym zdaniem mają siedzibę w Pakistanie i prowadzą ogólnoświatowe przedsiębiorstwo przestępcze” – powiedział Mike Trinh, szef ds.

Nakaz powstrzymania „wzmocni nasze trwające wysiłki w zakresie zakłóceń technicznych przeciwko dystrybutorom i ich infrastrukturze” – dodali. „To spowolni pojawianie się nowych infekcji i spowolni rozwój CryptBota”.

Zdalnie sterowane złośliwe oprogramowanie kradnie poufne informacje z komputerów ofiar, w tym dane uwierzytelniające, dane logowania do kont w mediach społecznościowych, dane kart kredytowych, portfele walut cyfrowych i inne prywatne informacje, które przestępcy mogą następnie sprzedawać na rynkach lub wykorzystywać w przyszłych oszustwach i włamaniach.

Jak nam powiedziano, dystrybutorzy, których dotyczy pozew – rzekomo Zubair Saeed, Raheel Arshad i Mohammad Rasheed Siddiqui z Pakistanu – prowadzili strony internetowe, które zachęcały nieświadomych użytkowników do pobierania złośliwych wersji Google Earth Pro i Google Chrome. Te znaki myślały, że dostają prawdziwą ofertę, ale zamiast tego pobierają wersje wypełnione złośliwym oprogramowaniem do kradzieży informacji. Po zainstalowaniu oprogramowania na swoich komputerach infekują je CryptBotem.

„Ostatnie wersje CryptBota zostały zaprojektowane specjalnie z myślą o użytkownikach Google Chrome, gdzie zespoły Google CyberCrimes Investigations Group (CCIG) i Threat Analysis Group (TAG) pracowały nad identyfikacją dystrybutorów, badaniem i podejmowaniem działań” – powiedział Trinh i Bureau.

Usunięcie infrastruktury CryptBot ma miejsce około pięć miesięcy po tym, jak Google wygrał całoroczną batalię prawną z rzekomymi operatorami botnetu Glupteba, którzy mieli siedzibę w Rosji.

Według Google, Glupteba naruszył „miliony” urządzeń z systemem Windows.

Google pozwał Dmitrija Starowikowa i Aleksandra Filippowa – wraz z 15 innymi Johnami i Jane Does – w grudniu 2021 r., mówiąc w pierwotnej skardze [PDF] że botnet „różni się od konwencjonalnych botnetów swoim technicznym wyrafinowaniem: w przeciwieństwie do innych botnetów, botnet Glupteba wykorzystuje technologię blockchain, aby chronić się przed zakłóceniami”. ®