Описание вредоносного ПО

В стаде банкеров прибыло

Вредоносные программы, нацеленные на кражу конфиденциальной информации для доступа к банковским системам, давно стали головной болью для финансовых организаций. Аналитики говорят о миллионных ущербах, а клиенты банков жалуются на невозмещение ущерба.

 

Количество станиц по запросу «украли+деньги+банк+троян»,
найденных поисковой системой Google

В этой ситуации появление очередной программы для хищения денежных средств не воспринимается как нечто из ряда вон выходящее, однако хорошо демонстрирует методы и средства, используемые злоумышленниками для прямого незаконного обогащения.

Gumblar-атака

Напомним, что весной прошлого года стало известно о массовом взломе сайтов. Используемый при этом взломе скриптовый загрузчик Gumblar в очередной раз показал самые уязвимые места в организации безопасности работы с Сетью, а его модель распространения в течение года стала классической и используется для распространения множества вредоносных программ.

Схема распространения Gumblar. Источник: www.digitalthreat.net

Gumblar до сих пор остается на первом месте в наших рейтингах, а аналитики следят за взломанными сайтами. В ходе наблюдения было зафиксировано несколько способов заражения веб-ресурсов, основной из которых — использование краденых паролей для доступа к FTP. Многократное заражение сайтов, даже после их лечения администраторами, свидетельствует о постоянной активности злоумышленников и очевидной ценности уязвимых ресурсов для них.

В процессе очередного захода на очередной сайт, зараженный Gumblar, тестовый компьютер был инфицирован (с использованием очередной уязвимости в продуктах Adobe) очередным бредолабом.

 

Часть дампа памяти руткит-даунлоадера Backdoor.Win32.Bredolab

Схема знакомая, однако кое-что было для нас неожиданным: наблюдая за активностью троянца Bredolab, мы обнаружили, что он проявил интерес к ветке реестра «HLMSoftwareBIFIT», в которой содержится информация об установленной на компьютере программе для связи с банком, разработанной компанией BIFIT. В дальнейшем на зараженный компьютер вместе с очередным апдейтом с командного центра ботнета была установлена программа, которая получила название Trojan-Banker.Win32.Fibbit.a.

Fibbit

При запуске данная вредоносная программа копирует себя в файл

Извлекая из своего тела исполняемый файл, передает на него управление, внедряя его в процессы

Вредоносная программа также прописывает себя в автозапуск и добавляет процесс svchost.exe в исключения для предотвращения блокирования её работы стандартным сетевым экраном OC Windows. Троян ищет в системе окна с именами классов SunAwtFrame, javax.swing.JFrame, MSAWT_Comp_Class, имеющие заголовки «Вход в систему», «Welcome» или «Синхронизация с банком». Если такие окна найдены, троянец перехватывает ввод с клавиатуры, копирует данные из буфера обмена, ищет файлы-сертификаты с расширением «.jks», делает снимки экрана и пытается прочитать файл «keys.dat». Все полученные данные упаковываются в cab-архив и отсылаются на сервер злоумышленника.

Когда в середине 2008 года компания BIFIT предупредила банки и пользователей об обнаружении троянца, способного совершать хищение денежных средств через систему «iBank 2», украденные реквизиты для доступа к онлайн-банку передавались злоумышленникам на адреса i-bifit.com и i-bifit.in. Сейчас сайты, собирающие украденную Fibbit информацию о банковских транзакциях, находятся в хорошо знакомой аналитикам автономной системе AS29371, которая используется злоумышленниками для совершения множества злонамеренных действий.

 

Пример расположения сервера для передачи ключевой информации
для совершения банковских транзакций

После того, как злоумышленники получают всю нужную им информацию, они отдают троянцу команду блокировать пользователю доступ с сервисам банка. При попытке войти на соответствующий сайт, пользователь видит окно с сообщением о технических работах, которые якобы ведутся на сервере:

 

Окно, отображаемое троянцем во время блокировки связи с банком

Блокируя доступ клиента к сервисам банка, злоумышленники пытаются скрыть факт хищения денежных средств и получить время для транзакций через подставные счета, электронные кошельки и онлайн-обменники, чтобы «запутать» следы и сделать отмену транзакции невозможной.

После завершения работы троянец убивает свой процесс, но не самоудаляется, что позволяет злоумышленнику еще не один раз произвести хищение денежных средств со счетов зараженных пользователей.

Итог недели

Спустя неделю после обнаружения Trojan-Banker.Win32.Fibbit.a в вирусной коллекции ЛК накопилось уже более сотни экземпляров этой вредоносной программы. Анализ их различий указывает на использование злоумышленниками простых крипторов так вирусописатели пытаются усложнить детектирование троянца антивирусными программами.

По данным Kaspersky Security Network, ежедневно данный троянец детектируется около сотни раз, а попытки соединения с занесенными в список запрещенных ресурсами, куда отправляются украденные данные для доступа к банковским сервисам, были блокированы в общей сложности более тысячи раз. Приняв во внимание долю ЛК на российском рынке, можно подсчитать, что в России насчитывается около 8000 компьютеров, на которых установлена данная вредоносная программа.

Анализ программы Trojan-Banker.Win32.Fibbit.a показал, что она использует те же технологии, которые были реализованы в таких нашумевших троянцах как Trojan-Spy.Win32.BZub и Trojan-Spy.Win32.Zbot. Авторы не стали изобретать велосипед и взяли на вооружение вполне стандартные приёмы. Немного пугает количество инфицированных компьютеров, потому следует процитировать рекомендации, данные компанией BIFIT для своих клиентов:

  • Соблюдать регламент ограниченного доступа к компьютеру.
  • Использовать и оперативно обновлять системное и прикладное ПО только из доверенных источников, гарантирующих отсутствие вредоносных программ. При этом необходимо обеспечить целостность получаемых на носителях или загружаемых из интернета обновлений.
  • Использовать и оперативно обновлять специализированное ПО для защиты информации — антивирусное ПО, персональные межсетевые экраны, средства защиты от несанкционированного доступа и пр.
  • Соблюдать правила безопасной работы в интернете.

Также при обнаружении ошибки связи с сервером банка клиентам рекомендуется незамедлительно(!) связаться с банком и поинтересоваться о техническом состоянии серверов и последних произведённых транзакциях.

В стаде банкеров прибыло

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике