Британский ИБ-исследователь и блогер MalwareTech, уделяющий много внимания активности бот-сетей и вымогательского ПО, зафиксировал резкий рост заражений Kelihos.

По данным специалиста, с конца июня одноименный ботнет, специализирующийся на рассылке спама, ныне вредоносного, начал заметно расти. За вторую декаду июля его численность увеличилась с 8 тыс. до 13 тыс. боевых единиц, однако самый большой скачок произошел 22 августа, когда за сутки глобальное число ботов Kelihos, зарегистрированных трекером MalwareTech, возросло в 2,5 раза и превысило 34,5 тыс. Одновременно столь же резко увеличилось и количество DNS-запросов зловреда в рамках его резервной системы поиска опорных узлов ботнета.

Как и следовало ожидать, наибольшее количество новых заражений Kelihos было обнаружено в Турции, Мексике, Индии, Иране, Бразилии и других развивающихся странах.

Переключившись на рассылку вредоносного спама (ранее этот ботнет использовался лишь для продвижения безнадежных акций по схеме pump & dump либо услуг нелицензированных интернет-аптек), Kelihos вначале активно раздавал шифровальщика средней руки WildFire Locker. Наблюдатель полагает, что для операторов ботнета это была проба пера, так как после WildFire они подрядились распространять вымогательскую программу другого автора, а также банковского троянца, основанного на исходниках ZeuS.

«Вполне возможно, оператор Kelihos осознал, что раздавать через спам вымогательское ПО и банковских троянцев гораздо выгоднее, чем поддерживать угасающую практику pump & dump», — заключил MalwareTech.

Категории: Аналитика, Вредоносные программы, Спам