Инциденты

Эксплоиты на банковских сайтах

В СМИ, специализирующихся на информационной безопасности, то и дело встречаются сообщения о заражении крупных веб-ресурсов. Так, совсем недавно  стало известно о взломе известного сайта PHP.NET — злоумышленники разместили на нем iframe со ссылкой на  эксплоит-пак.  Тревожный звонок, но кто-то до сих пор уверен, что с серьезными сайтами, например, с банковскими, подобного произойти не может. Увы, может и еще как.

На днях один из наших пользователей сообщил о подозрительной активности на сайте одного из российских банков. Сайт оказался заражен, а после небольшого расследования с использованием KSN выяснилось, что заражены были также сайты двух других банков, тоже российских. Во всех случаях на главной странице сайта был размещен сильно обфусцированный и зашифрованный скрипт, который скрытно направлял браузер на вредоносный сайт с эксплоитами.


Код инфекции на странице

Если зайти на сайт любого из трех банков и посмотреть, откуда именно загружаются эксплоиты и вредоносные исполняемые программы, то можно увидеть поразительное сходство с тем, как происходило заражение на сайте PHP.NET.


Редиректоры и связка эксплоитов

В случае с заражением PHP.NET эксплоит-пак загружался через редиректоры по адресам:

hxxp://url.whixxxsb.co.uk/stat.htm
hxxp://aes.whxxxdigitalphoto.co.uk/nid?1

В случае с заражением сайтов трех российских банков использовались очень похожие адреса:

hххp://b-network.northgaxxxminalattorney.com/stat.htm
hххp://e-dev.cobbxxxminaldefenseattorney.com/nid?1

Различаются только эксплоит-паки, которые загружаются браузером жертвы. На сайте PHP.NET это был Magnitude, а на сайте банка использовался Neutrino.

В итоге эксплоиты через уязвимость CVE-2013-2463 в плагине Java загружают на компьютер и запускают бэкдор Neurevt, который:

  • способен перехватывать HTTP/HTTPS трафик, в том числе банковскую информацию;
  • запрещает загрузку в системе множества антивирусных продуктов;
  • крадет пароли от многих FTP, SSH, почтовых клиентов, мессенджера Skype, а также сохраненные в браузере пароли;
  • распространяется через съемные носители;
  • может сделать компьютер частью ботнета и осуществлять DDoS-атаки.


Часть кода исполняемого файла бэкдора. Подчеркнуто имя API-функции, которую бэкдор перехватывает для прослушивания HTTPS-трафика

Бэкдор детектируется продуктами «Лаборатории Касперского» как Trojan.Win32.Neurevt.ei, Java-эксплоиты детектируются как HEUR:Exploit.Java.Generic.

Все три банка были уведомлены нами о наличии вредоносного кода на их веб-сайтах.

Для того чтобы не пасть жертвой злоумышленников, недостаточно просто ходить по проверенным сайтам – вредоносный код может ждать даже на, казалось бы, защищенном и проверенном ресурсе. Необходимо самому подумать о своей безопасности и, как минимум, своевременно обновлять браузеры и плагины к ним.

Эксплоиты на банковских сайтах

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике