Загрузка...
Создать учётную запись

30 мар

ESET: Банковский вирус-троян Carberp атакует популярные клиенты систем ДБО при помощи новых техник

1954 просмотры
Компания ESET предупредила своих пользователей о появлении новейшей модификации трояна Carberp, которая способна использовать вполне легальное ПО для похищения денежных средств, а кроме того, обходить механизм 2-ухфакторной аутентификации с обязательными одноразовыми паролями.

В результате анализа обновленной версии Carberp эксперты компании установили, что её вредоносный код стал использовать особую Java-библиотеку, имеющую открытый исходный код (т.н. Javassist). При ее помощи Carberp способен модифицировать обычное банковское ПО, что основывается на Java-языке программирования.

Хакерская группа зловреда Carberp – одна из первых киберпреступных организаций, использовавших программы-вредоносы с целью массового заражения всевозможных систем дистанционного банковского обслуживания. Несмотря на то, что летом 2012-того года многих членов группировки Carberp арестовали, семейство данных вредоносных программ по-прежнему сохраняет довольно высокую активность, в особенности в Украине и России.

По словам старшего вирусного аналитика «Изит» А. Баранова, за Carberp в компании наблюдают давно, потому могут разделить всё время его «работы» на 2 больших периода: сначала уверенный рост, продолжавшийся до лета 2012-цатого года, а 2-рой - уверенный спад с осени 2012-того. Падение активности данного вредоносного кода было связано, в первую очередь, с арестами участников киберпреступной группы, занимавшейся его дистрибуцией и активным распространением. Но в то же самое время сотрудники ESET отмечают, что, не взирая на спад, код бота всё-таки продолжал развитие. Это является доп свидетельством того, что процесс написания и дальнейшее распространение несущего вред кода могут производиться различными лицами или даже группами лиц.

Главной целью новейшей версии Carberp стала модификация исходного комплекса iBank 2 организации БИФИТ, широко применяющегося для удалённого банковского обслуживания пользователями в России и Украине. Чтобы достичь своей цели, Carberp используется вредоносный java-модуль, детектирующийся ESET в качестве Java/Spy.Banker.AB. Функционал этого модуля даёт ему возможность обходить системы 2-ухфакторной аутентификации с обязательными одноразовыми паролями.

Кроме того, особенностью модуля Java/Spy.Banker стало использование легитимной библиотеки в целях модификации кода исходного банковского ПО; подобная методика упрощает Carberp сокрытие в системе и значительно усложняет распознавание имеющейся угрозы различными антивирусными продуктами.

Как прокомментировал происходящее руководитель центра вирусологических исследований компании Александр Матросов, киберпреступники из Carberp одними из первых стали целенаправленно атаковать наиболее популярные ДБО - системы на российской и украинской территории. Ущерб, понесенный от их деятельности, исчисляется многими миллиардами рублей; причём методы их атак непрестанно эволюционируют. Специалистам удалось зафиксировать применение нового вредоносного элемента, атакующего системы обслуживания iBank2, строящиеся на базе ПО БИФИТ. На момент сделанного исследования вредоносный Java/Spy.Banker.AB обладал крайне низким уровнем выявления со стороны прочих поставщиков антивирусных продуктов по причине своих технических особенностей, а также использования вполне легальной библиотеки в целях модификации кода Java байт в ходе процесса активности клиента iBank2.

После совершения успешного заражения компьютера и внедрения в клиент дистанционно обслуживающей пользователя банковской системы, злоумышленники имеют возможность контроля всех платежей, которые осуществляются пользователем при помощи данного банковского ПО. При этом комплекс iBank2 целостность собственного кода не проверяет и потому может осуществлять разнообразные денежные операции и после процесса его модификации.
Надо сказать, что продукты ESET успешно обнаруживают и сам код Carberp, и его компоненты.

Источник: www.esetnod32.ru
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.