курс цб на 17.08:
59.6521
69.9958

Dr.Web предупреждает о новом вредоносном коде для взлома систем ДБО

Количество просмотров24 просмотра

Толковый словарь

В начале января 2012 г. в распоряжении специалистов Dr.Web оказался образец очередной модификации вредоносной программы Trojan.PWS.Ibank, отвечающей современным тенденциям использования систем ДБО. Эта программа позволяет передавать злоумышленникам аутентификационные данные, ключи и сведения о конфигурации множества различных банк-клиентов. Особенность данной модификации вредоносного кода заключается в том, что она содержит в себе реализацию VNC-сервера. В коде сервера организована поддержка протокола работы с dedicated-сервером Zeus (Trojan.PWS.Panda), через который осуществляется сеанс удаленного управления.

Другая немаловажная особенность Trojan.PWS.Ibank – присутствие модуля, предназначенного для мониторинга и перехвата информации специализированного программного комплекса, используемого в одном из государственных финансовых учреждений России. Данный код имеет достаточно сложную архитектуру и позволяет не только передавать перехваченные данные злоумышленникам, но также выполнять на инфицированной машине различные команды, поступающие от удаленного центра, в том числе команды уничтожения операционной системы. Подробная техническая информация о структуре и принципе действия данного вредоносного ПО была своевременно передана компанией Dr.Web в правоохранительные органы.

Примерно в это же время были зафиксированы случаи распространения другой вредоносной программы, с помощью которой злоумышленники планировали провести фишинговую атаку на клиентов одного из российских банков. Попадая на компьютер жертвы, Trojan.Hosts.5590 создает новый процесс explorer.exe и помещает туда собственный код, а затем прописывает себя в папке автоматического запуска приложений под именем Eldesoft.exe.

В случае если для доступа к web-сайту банка используется браузер Microsoft Internet Explorer, Trojan.Hosts.5590 вызывает стандартную функцию crypt32.dll для установки поддельного сертификата. При добавлении сертификата в хранилище операционная система обычно демонстрирует соответствующее предупреждение: вредоносный код перехватывает и закрывает это окно.

Если для доступа к банковскому web-сайту используется другой браузер, для установки сертификата применяются функции из стандартной библиотеки nss3.dll. Связавшись с удаленным командным центром, Trojan.Hosts.5590 получает оттуда конфигурационный файл, содержащий IP-адрес фишингового сервера и имена доменов, которые код должен подменять. Впоследствии, при обращении к web-сайту системы банк-клиент по протоколу HTTPS, пользователю будет демонстрироваться поддельная web-страница, а введенные им в форме авторизации учетные данные будут переданы злоумышленникам. Благодаря своевременным и грамотным действиям службы безопасности банка, а также усилиям специалистов компании Dr.Web, данная вредоносная программа в настоящий момент не представляет серьезной опасности для пользователей.

Ознакомиться с другими новостями по данной тематике Вы можете в рубрике Безопасность

По материаламDr.Web





В рубриках:
Безопасность
Лента новостей
Безопасность
Digital banking ВТБ обновил Мобильный банк на iOS
16 августа 2017 11:46
Количество просмотров 170 просмотров
Мероприятия Dell EMC Forum пройдет в Москве 5 октября
16 августа 2017 09:43
Количество просмотров 128 просмотров
Технологии Microsoft модернизирует блокчейн
11 августа 2017 10:28
Количество просмотров 233 просмотра
Банки и МФО Открытие купил 12,2% акций Qiwi
8 августа 2017 08:16
Количество просмотров 581 просмотр
Технологии Криптовалюта стала кошерной
7 августа 2017 14:03
Количество просмотров 570 просмотров