BlackEnergy 2 — и швец, и жнец…

Эксперт из SecureWorks Джо Стюарт (Joe Stewart) продолжает регистрировать атаки обновленного троянца BlackEnergy , который научился воровать пользовательские данные в процессе аутентификации в системе онлайн-банкинга.

По утверждению Стюарта, BlackEnergy 2, как он его называет, создан на базе троянца BlackEnergy (Backdoor.Win32.Kbot), который применялся злоумышленниками для проведения DDoS-атак. Однако первоначальный код был основательно переиначен; новая версия имеет модульную архитектуру, использует шифрование и современные руткит-технологии. Базовый комплект плагинов, загружаемых ботом, включает три модуля, совокупно обеспечивающих ddos-функционал, которым обладал еще первый вариант BlackEnergy. В дикой природе замечены также добавочный модуль для рассылки спама — перекомпилированная версия спамбота Grum, а также пара плагинов для облегчения доступа к банковским счетам. Однако любой злоумышленник, владеющий навыками работы с API, может расширить функционал BlackEnergy 2 по своему усмотрению.

Один из плагинов, предназначенных для кражи финансовой информации, ориентирован на обход Java-приложения, используемого многими банками для аутентификации клиентов. Внедряясь в процессы режима пользователя на зараженной машине, он ворует приватный ключ, считываемый сертифицированным Java-апплетом со съемного носителя, и контрольную фразу, вводимую пользователем в диалоговое окно. Похищенные данные, включая URL банка, отсылаются на управляющий сервер ботнета.

Второй плагин из этой упряжки выполняет команду kill — переписывает все разделы жестких дисков на зараженном компьютере, пытается удалить файлы ntldr и boot.ini, а затем завершает работу Windows. По-видимому, данный функционал используется для того, чтобы законный владелец счета не смог отследить движение денежных средств и уведомить банк о незаконных транзакциях. С той же целью BlackEnergy 2 проводит DDoS-атаку на соответствующий банк после того, как взломал его систему аутентификации.

По словам Стюарта, с конца прошлого года он зафиксировал более десятка атак на финансовые организации с применением BlackEnergy 2. В качестве мишеней зловред выбирает, в основном, банки России и Украины, так как в них часто используется вышеописанная система аутентификации. Насколько известно, новый троянец устанавливается на машины пользователей участниками партнерских программ «pay-per-install», хотя нельзя исключить возможность его распространения через вредоносные письма или drive-by загрузки.