Авторы
Недавно появились сообщения о том, что «облачные» сервисы компании Amazon были успешно использованы злоумышленниками для атак на Sony. А на днях я обнаружил, что с помощью Amazon Web Services (того самого «облака») распространяются зловреды, крадущие финансовые данные.
Есть все основания полагать, что за этими атаками стоят киберпреступники из Бразилии. Для распространения вредоносных программ они использовали несколько заранее зарегистрированных аккаунтов. Я официально уведомил Amazon о происходящем. Увы, спустя более 12 часов все вредоносные ссылки по-прежнему были активными. Стоит отметить, что киберпреступники все чаще используют возможности легитимных «облачных» сервисов в криминальных целях.
Теперь несколько слов о зловредах, размещенных на Amazon Web Services. Все они загружаются на компьютеры пользователей, а затем выполняют различные вредоносные функции:
- Руткит-функционал: ищут четыре антивирусных программы, а также специализированное приложение GBPlugin, используемое многими бразильскими банками для обеспечения безопасности банковских операций онлайн, и препятствуют их нормальной работе:
DeviceHarddiskVolume1Arquivos de programasAVGAVG10avgwdsvc.exe
DeviceHarddiskVolume1Arquivos de programasAVGAVG10avgchsvx.exe
DeviceHarddiskVolume1Arquivos de programasAVGAVG10avgtray.exe
DeviceHarddiskVolume1Arquivos de programasAVGAVG10avgrsx.exe
DeviceHarddiskVolume1Arquivos de programasAVGAVG10avgcsrvx.exe
DeviceHarddiskVolume1Arquivos de programasAVGAVG10Identity ProtectionAgentBinAVGIDSAgent.exe
DeviceHarddiskVolume1Arquivos de programasAVGAVG10Identity ProtectionAgentBinAVGIDSMonitor.exe
DeviceHarddiskVolume1Arquivos de programasAVGAVG10avgnsx.exe
DeviceHarddiskVolume1Arquivos de programasAlwil SoftwareAvast5AvastUI.exe
DeviceHarddiskVolume1Arquivos de programasAlwil SoftwareAvast5AvastSvc.exe
DeviceHarddiskVolume1Arquivos de programasAviraAntiVir Desktopavscan.exe
DeviceHarddiskVolume1Arquivos de programasAVGAVG8avgupd.exe
DeviceHarddiskVolume1Arquivos de programasAlwil SoftwareAvast4VisthUpd.exe
DeviceHarddiskVolume1Arquivos de programasAviraAntiVir Desktopavupgsvc.exe
DeviceHarddiskVolume1Arquivos de programasAlwil SoftwareAvast5AvastUI.exe
DeviceHarddiskVolume1Arquivos de programasESETESET NOD32 Antivirusupdater.dllDeviceHarddiskVolume1Arquivos de programasGbPlugingbpsv.exe
DeviceHarddiskVolume1Arquivos de programasGbPlugingbiehcef.dll
DeviceHarddiskVolume1Arquivos de programasGbPlugingbieh.gmd
DeviceHarddiskVolume1Arquivos de programasGbPlugincef.gpc
DeviceHarddiskVolume1Arquivos de programasGbPlugingbieh.dll
DeviceHarddiskVolume1Arquivos de programasGbPlugingbpdist.dll
DeviceHarddiskVolume1Arquivos de programasGbPluginbb.gpc
DeviceHarddiskVolume1Arquivos de programasGbPlugingbpkm.sys
DeviceHarddiskVolume1WINDOWSsystem32scpsssh2.dll
DeviceHarddiskVolume1WINDOWSsystem32driversgbpkm.sys
DeviceHarddiskVolume1WINDOWSDownloaded Program Filesscpsssh2.inf
DeviceHarddiskVolume1WINDOWSDownloaded Program Filesabn.gpc
DeviceHarddiskVolume1WINDOWSDownloaded Program Fileserma.inf
DeviceHarddiskVolume1WINDOWSDownloaded Program Filesgbieh.gmd
DeviceHarddiskVolume1WINDOWSDownloaded Program Filesgbiehabn.dll
DeviceHarddiskVolume1WINDOWSDownloaded Program Filesgbiehuni.dll
DeviceHarddiskVolume1WINDOWSDownloaded Program FilesGbPluginABN.inf
DeviceHarddiskVolume1WINDOWSDownloaded Program FilesGbPluginuni.inf
DeviceHarddiskVolume1WINDOWSDownloaded Program Filesuni.gpc
DeviceHarddiskVolume1Arquivos de programasGbPlugingbiehuni.dll
DeviceHarddiskVolume1Arquivos de programasGbPluginuni.gpc
DeviceHarddiskVolume1Arquivos de programasScpadscpIBCfg.bin
DeviceHarddiskVolume1Arquivos de programasScpadscpMIB.dll
DeviceHarddiskVolume1Arquivos de programasScpadscpsssh2.dll
DeviceHarddiskVolume1Arquivos de programasScpadsshib.dll
DeviceHarddiskVolume1Arquivos de programasGbPlugingbiehscd.dll
DeviceHarddiskVolume1Arquivos de programasGbPlugingbpdist.dll
DeviceHarddiskVolume1Arquivos de programasGbPluginscd.gpc
DeviceHarddiskVolume1Arquivos de programasGbPluginGbpSv.exe - Крадут финансовые данные клиентов 9 бразильских и 2 международных банков
- Крадут регистрационные данные пользователей Microsoft Live Messenger
- Крадут цифровые сертификаты, используемые для eToken-аутентификации
- Крадут информацию о процессоре, серийный номер жесткого диска, имя компьютера и т.д. (некоторые латиноамериканские банки запрашивают эти данные в процессе аутентификации пользователя)
- Передают украденные данные киберпреступникам двумя способами: по электронной почте на адрес в Gmail, а также с помощью специального php-кода, помещающего данные в удаленную базу
Вредоносные образцы защищены легитимным противопиратским ПО под названием Enigma Protector. Злоумышленники использовали его, чтобы усложнить для аналитиков процесс обратного инжиниринга.
Все образцы детектируются «Лабораторией Касперского» под следующими названиями:
|
1 2 3 4 5 6 |
Trojan-Downloader.Win32.Murlo.lib Trojan-PSW.Win32.MSNer.a Trojan-Banker.Win32.Banz.iok Trojan-Banker.Win32.Banker.blpm Trojan-Downloader.Win32.Homa.fgx Trojan-Banker.Win32.Banker.blbt |
Надеюсь, что в ближайшее время Amazon деактивирует все вредоносные ссылки. Не вызывает сомнения, что злоумышленники и дальше будут использовать легитимные «облачные» сервисы для проведения кибератак. Администраторам «облачных» систем следует заняться совершенствованием систем мониторинга и расширить штат специалистов по IT-безопасности, чтобы сократить количество вредоносных атак, проводимых с использованием их сервисов.
Авторы
От тех же авторов
В той же категории
Зловреды, крадущие финансовые данные, на Amazon Web Services