Зловреды, крадущие финансовые данные, на Amazon Web Services

Недавно появились сообщения о том, что «облачные» сервисы компании Amazon были успешно использованы злоумышленниками для атак на Sony. А на днях я обнаружил, что с помощью Amazon Web Services (того самого «облака») распространяются зловреды, крадущие финансовые данные.

Есть все основания полагать, что за этими атаками стоят киберпреступники из Бразилии. Для распространения вредоносных программ они использовали несколько заранее зарегистрированных аккаунтов. Я официально уведомил Amazon о происходящем. Увы, спустя более 12 часов все вредоносные ссылки по-прежнему были активными. Стоит отметить, что киберпреступники все чаще используют возможности легитимных «облачных» сервисов в криминальных целях.

Теперь несколько слов о зловредах, размещенных на Amazon Web Services. Все они загружаются на компьютеры пользователей, а затем выполняют различные вредоносные функции:

  • Руткит-функционал: ищут четыре антивирусных программы, а также специализированное приложение GBPlugin, используемое многими бразильскими банками для обеспечения безопасности банковских операций онлайн, и препятствуют их нормальной работе:
    DeviceHarddiskVolume1Arquivos de programasAVGAVG10avgwdsvc.exe
    DeviceHarddiskVolume1Arquivos de programasAVGAVG10avgchsvx.exe
    DeviceHarddiskVolume1Arquivos de programasAVGAVG10avgtray.exe
    DeviceHarddiskVolume1Arquivos de programasAVGAVG10avgrsx.exe
    DeviceHarddiskVolume1Arquivos de programasAVGAVG10avgcsrvx.exe
    DeviceHarddiskVolume1Arquivos de programasAVGAVG10Identity ProtectionAgentBinAVGIDSAgent.exe
    DeviceHarddiskVolume1Arquivos de programasAVGAVG10Identity ProtectionAgentBinAVGIDSMonitor.exe
    DeviceHarddiskVolume1Arquivos de programasAVGAVG10avgnsx.exe
    DeviceHarddiskVolume1Arquivos de programasAlwil SoftwareAvast5AvastUI.exe
    DeviceHarddiskVolume1Arquivos de programasAlwil SoftwareAvast5AvastSvc.exe
    DeviceHarddiskVolume1Arquivos de programasAviraAntiVir Desktopavscan.exe
    DeviceHarddiskVolume1Arquivos de programasAVGAVG8avgupd.exe
    DeviceHarddiskVolume1Arquivos de programasAlwil SoftwareAvast4VisthUpd.exe
    DeviceHarddiskVolume1Arquivos de programasAviraAntiVir Desktopavupgsvc.exe
    DeviceHarddiskVolume1Arquivos de programasAlwil SoftwareAvast5AvastUI.exe
    DeviceHarddiskVolume1Arquivos de programasESETESET NOD32 Antivirusupdater.dll

    DeviceHarddiskVolume1Arquivos de programasGbPlugingbpsv.exe
    DeviceHarddiskVolume1Arquivos de programasGbPlugingbiehcef.dll
    DeviceHarddiskVolume1Arquivos de programasGbPlugingbieh.gmd
    DeviceHarddiskVolume1Arquivos de programasGbPlugincef.gpc
    DeviceHarddiskVolume1Arquivos de programasGbPlugingbieh.dll
    DeviceHarddiskVolume1Arquivos de programasGbPlugingbpdist.dll
    DeviceHarddiskVolume1Arquivos de programasGbPluginbb.gpc
    DeviceHarddiskVolume1Arquivos de programasGbPlugingbpkm.sys
    DeviceHarddiskVolume1WINDOWSsystem32scpsssh2.dll
    DeviceHarddiskVolume1WINDOWSsystem32driversgbpkm.sys
    DeviceHarddiskVolume1WINDOWSDownloaded Program Filesscpsssh2.inf
    DeviceHarddiskVolume1WINDOWSDownloaded Program Filesabn.gpc
    DeviceHarddiskVolume1WINDOWSDownloaded Program Fileserma.inf
    DeviceHarddiskVolume1WINDOWSDownloaded Program Filesgbieh.gmd
    DeviceHarddiskVolume1WINDOWSDownloaded Program Filesgbiehabn.dll
    DeviceHarddiskVolume1WINDOWSDownloaded Program Filesgbiehuni.dll
    DeviceHarddiskVolume1WINDOWSDownloaded Program FilesGbPluginABN.inf
    DeviceHarddiskVolume1WINDOWSDownloaded Program FilesGbPluginuni.inf
    DeviceHarddiskVolume1WINDOWSDownloaded Program Filesuni.gpc
    DeviceHarddiskVolume1Arquivos de programasGbPlugingbiehuni.dll
    DeviceHarddiskVolume1Arquivos de programasGbPluginuni.gpc
    DeviceHarddiskVolume1Arquivos de programasScpadscpIBCfg.bin
    DeviceHarddiskVolume1Arquivos de programasScpadscpMIB.dll
    DeviceHarddiskVolume1Arquivos de programasScpadscpsssh2.dll
    DeviceHarddiskVolume1Arquivos de programasScpadsshib.dll
    DeviceHarddiskVolume1Arquivos de programasGbPlugingbiehscd.dll
    DeviceHarddiskVolume1Arquivos de programasGbPlugingbpdist.dll
    DeviceHarddiskVolume1Arquivos de programasGbPluginscd.gpc
    DeviceHarddiskVolume1Arquivos de programasGbPluginGbpSv.exe

  • Крадут финансовые данные клиентов 9 бразильских и 2 международных банков
  • Крадут регистрационные данные пользователей Microsoft Live Messenger
  • Крадут цифровые сертификаты, используемые для eToken-аутентификации
  • Крадут информацию о процессоре, серийный номер жесткого диска, имя компьютера и т.д. (некоторые латиноамериканские банки запрашивают эти данные в процессе аутентификации пользователя)
  • Передают украденные данные киберпреступникам двумя способами: по электронной почте на адрес в Gmail, а также с помощью специального php-кода, помещающего данные в удаленную базу

Вредоносные образцы защищены легитимным противопиратским ПО под названием Enigma Protector. Злоумышленники использовали его, чтобы усложнить для аналитиков процесс обратного инжиниринга.

Все образцы детектируются «Лабораторией Касперского» под следующими названиями:

Надеюсь, что в ближайшее время Amazon деактивирует все вредоносные ссылки. Не вызывает сомнения, что злоумышленники и дальше будут использовать легитимные «облачные» сервисы для проведения кибератак. Администраторам «облачных» систем следует заняться совершенствованием систем мониторинга и расширить штат специалистов по IT-безопасности, чтобы сократить количество вредоносных атак, проводимых с использованием их сервисов.

Публикации на схожие темы

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *