Инциденты

Эксплоиты на банковских сайтах

В СМИ, специализирующихся на информационной безопасности, то и дело встречаются сообщения о заражении крупных веб-ресурсов. Так, совсем недавно  стало известно о взломе известного сайта PHP.NET — злоумышленники разместили на нем iframe со ссылкой на  эксплоит-пак.  Тревожный звонок, но кто-то до сих пор уверен, что с серьезными сайтами, например, с банковскими, подобного произойти не может. Увы, может и еще как.

На днях один из наших пользователей сообщил о подозрительной активности на сайте одного из российских банков. Сайт оказался заражен, а после небольшого расследования с использованием KSN выяснилось, что заражены были также сайты двух других банков, тоже российских. Во всех случаях на главной странице сайта был размещен сильно обфусцированный и зашифрованный скрипт, который скрытно направлял браузер на вредоносный сайт с эксплоитами.


Код инфекции на странице

Если зайти на сайт любого из трех банков и посмотреть, откуда именно загружаются эксплоиты и вредоносные исполняемые программы, то можно увидеть поразительное сходство с тем, как происходило заражение на сайте PHP.NET.


Редиректоры и связка эксплоитов

В случае с заражением PHP.NET эксплоит-пак загружался через редиректоры по адресам:

hxxp://url.whixxxsb.co.uk/stat.htm
hxxp://aes.whxxxdigitalphoto.co.uk/nid?1

В случае с заражением сайтов трех российских банков использовались очень похожие адреса:

hххp://b-network.northgaxxxminalattorney.com/stat.htm
hххp://e-dev.cobbxxxminaldefenseattorney.com/nid?1

Различаются только эксплоит-паки, которые загружаются браузером жертвы. На сайте PHP.NET это был Magnitude, а на сайте банка использовался Neutrino.

В итоге эксплоиты через уязвимость CVE-2013-2463 в плагине Java загружают на компьютер и запускают бэкдор Neurevt, который:

  • способен перехватывать HTTP/HTTPS трафик, в том числе банковскую информацию;
  • запрещает загрузку в системе множества антивирусных продуктов;
  • крадет пароли от многих FTP, SSH, почтовых клиентов, мессенджера Skype, а также сохраненные в браузере пароли;
  • распространяется через съемные носители;
  • может сделать компьютер частью ботнета и осуществлять DDoS-атаки.


Часть кода исполняемого файла бэкдора. Подчеркнуто имя API-функции, которую бэкдор перехватывает для прослушивания HTTPS-трафика

Бэкдор детектируется продуктами «Лаборатории Касперского» как Trojan.Win32.Neurevt.ei, Java-эксплоиты детектируются как HEUR:Exploit.Java.Generic.

Все три банка были уведомлены нами о наличии вредоносного кода на их веб-сайтах.

Для того чтобы не пасть жертвой злоумышленников, недостаточно просто ходить по проверенным сайтам – вредоносный код может ждать даже на, казалось бы, защищенном и проверенном ресурсе. Необходимо самому подумать о своей безопасности и, как минимум, своевременно обновлять браузеры и плагины к ним.

Эксплоиты на банковских сайтах

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Техники, тактики и процедуры атак на промышленные компании

В 2022 году мы расследовали серию атак на промышленные компании в Восточной Европе. В ходе кампаний атакующие стремились организовать постоянно действующий канал для вывода украденных данных, включая данные, размещенные на физически изолированных (air-gapped) системах.

Операция Триангуляция: ранее неизвестная целевая атака на iOS-устройства

В процессе мониторинга собственной корпоративной Wi-Fi сети, мы обнаружили подозрительную активность нескольких iOS-устройств. В результате анализа были обнаружены следы ранее неизвестной вредоносной программы.

Не только стилер: бэкдор Gopuram распространялся посредством атаки на цепочку поставок 3CX

В ходе изучения атаки 3CX на одном из компьютеров мы обнаружили файл guard64.dll. Библиотека с таким же именем использовалась в недавних развертываниях бэкдора, который мы назвали Gopuram и отслеживаем с 2020 года.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике