ЦИБ ФСБ распространяет файл, определяемый VirusTotal, как троян при обращениях под видом генератора случайных чисел
А ты пытался когда нибудь обратиться в web-приёмную ЦИБ ФСБ? Я вот попытался. Решил написать о существовании наркобарыжьих сайтов на DDoS-Guard.net и посмотреть что будет. Думал, может они не знают об этом. К теме барыжников размещенных на той же площадке, что ресурсы МинОбороны и Центробанка РФ я обязательно вернусь, лишь напомню, что об этом уже писала meduza.io. А пока меня удивило другое.
При входе на ресурс web-приёмной ЦИБ ФСБ отсутствует шифрование SSL и предлагается скачать файл, приложения для “генерации случайного числа для создания защищенного соединения”.
У меня возник вопрос, это как? А умнее там никого не было тексты писать?
Скачав файл, я надеялся увидеть по крайней мере установщик КриптоПРО. Но, увы, увидел другое. Под видом генератора случайных чисел выгружается файл, который не стесняясь отстукиваться на сервер c IP 213.24.76.29 сразу после запуска. А вот что думает VirusTotal:
Дальше я продолжать не стал. Закрыл окно и написал эту статью.
Хорошо задумайся перед тем, как обращаться в ЦИБ ФСБ по любым вопросам или иметь c ними дело, а если ты всё же решил это сделать, лучше используй виртуальную машину. И скафандр. И, желательно, находясь в другой стране.
Похоже, что в ФСБ случайные числа генерируются либо при назначении сумм откатов, либо при назначении тюремных сроков оппозиционерам.
А вот если ты решил написать про наркобарыг, которые хостятся на той же площадке, что и ресурсы Центробанка РФ, помни, что придут не за ними, а за тобой. Или, F0x, как там было?
P.S. То, что выгрузил я, прилагаю. На случай, если чекисты захотят что то поменять после моего сообщения:
И главное. По окончании работы, пожалуйста, не забудьте закрыть приложение.
UPD: со времени моего поста (4 июня утром, выгружаемый файл поменялся).
UPD2: Разобрались с поведением файла. А именно, после запуска действительно происходит соединенение с указанным выше сервером, причём после обмена информацией с сервером, помимо того, что бинарь удаляет сам себя никакой подозрительной деятельности выявлено не было.
IP 213.24.76.29
Название провайдера: Federal Security Service of Russian Federation
Он и должен туда стучать :))) Че параноишь??
а формы на сайте, в которой “стучать”, видимо, не достаточно?
Стандартная ложная тревога на эвристиках
https://stackoverflow.com/questions/58010466/bitdefender-detects-my-console-application-as-genvariant-ursu-56053
Вполне может быть. Но ты глянь на то, что хукает сия дрянь. И вообще, если я хочу настучать на кого то, зачем мне какой то бинарь запускать? Или они боятся, что амеры перехватят секретный донос? И все это под соусом “генератора случайных чисел”..?
Судя по сайту, есть претензия на профессионализм. Судя по “статье” – “Не думаю” (С)…
strings client-win2k-i386_key-20210525-100635-00000000_20210604-125508-00000000.exe
Читаем, думаем…
Странный троян. Видимо в конторе совсем дебилы, раз выкладывают малварь в незапакованном виде, с отдалкой путями и строчками из VCS.
Адрес секретного C&C в конце файла плеинтексом прописан. Видимо, из соображений секретности.
Ales.
Автор – ебанат.
Просто охуительные заключения, одно лучше другого. Громких слов накидаем, но пруфов не накидаем.
Сейчас бы делать выводы по факту установления соединения с каким-то адресом и false-positive щит-ав, ПОНИМАЮ.
кидай пруфы
скажу тебе так, я б такую хуйню у себя на компе бы запускать не стал. очень подозрительно. так это с правительственного сайта.
и вообще, зачем это, когда есть SSL. Для тех кто хочет гост – дайте гост. Но нахуя грузить бинарник то?
f0x – работал по пробиву, кичился связями нв Лубянке, на деле оказвлся кидалой. тебе ссылку на предъяву на XSS уже давали.
не удивительно что такого ебаната закрыли.
какой смысл за него вписываться – вот что не понятно.
по сабжу. завязывай с бухлом. хуйни понаписал. :/
и тебе не болеть, лубянский шнырь.
завязывай с орехом, будет лучше.
подожди ещё пару лет, надо им будет денег, придут и тебя обирать.
а флинт – тоже кидала? или он кому то не донёс?
Не знаю насчет донес или нет, но мне не известно о фактах, чтобы флинт кого то кинул…
Обычный vpn, только одноразовый. Развели истерику на пустом месте https://krebsonsecurity.com/2021/06/adventures-in-contacting-the-russian-fsb/
вполне может быть. но для чего такие сложности?
Слишком тупо… ПО Гениальней история в которую поверил весь мир(почти весь..) произошла с телегой, там тебе и фейковая борьба и прочие уши которые как не прячь, но они будут торчать… Впрочем как и с Нэвэльным, хероя крель сделал, протесты слиты, участвовавшие в митингах поставлены на карандаш. Я восхищен…