Публикации
ETERNUS AF S2 – новый уровень ценовой доступности для цифровой трансформации , статья
Evergreen – решение главной проблемы СХД , статья
Cisco: гиперконвергенция для новых вызовов , статья
2018 – год начала больших перемен в отрасли , статья
HPDA: еще и ускорение аналитики больших данных , статья
Компоненты архитектуры Intel для СХД нового поколения , статья
SAP Leonardo ML “в разрезе” , статья
FlashArray//X – первый блочный all_NVMe AFA, статья
BullSequana S – мост в будущее, статья
Единая платформа мониторинга гетерогенных СХД, статья
Микросхемы Huawei для массивов All_Flash, статья
 
Обзоры
Все обзоры в Storage News
 
Тематические публикации
Flash-память
Облачные вычисления/сервисы
Специализ. СХД для BI-хранилищ, аналитика "больших данных", интеграция данных
Современные СХД
Информационная безопасность (ИБ), борьба с мошенничеством
Рынки
ESET: Банковский троян Carberp использует новые техники атак на популярные клиенты систем ДБО

26, март 2013  —  Компания ESET, ведущий международный разработчик антивирусного ПО и эксперт в сфере киберпреступности и защиты от компьютерных угроз, предупреждает о появлении новой модификации троянской программы Carberp , способной использовать легальное ПО для хищения денежных средств, а также обходить механизм двухфакторной аутентификации с применением одноразовых паролей.

Эксперты вирусной лаборатории ESET обнаружили новую версию банковского трояна Carberp . В результате его анализа было установлено, что вредоносный код начал использовать специальную Java -библиотеку с открытым исходным кодом (т.н. Javassist). С ее помощью Carberp может модифицировать банковское ПО, основанное на языке программирования Java .

Хакерская группа Carberp была одной из первых киберпреступных групп, использовавших вредоносные программы для массового заражения систем удаленного банковского обслуживания. И хотя летом 2012 года многие члены группы Carberp были арестованы , семейство этих вредоносных программ сохраняет высокую активность, особенно в России и на Украине.

« Мы наблюдаем за Carberp достаточно давно и можем разделить время его активности на два больших периода: уверенный рост до лета 2012 года и уверенный спад после. Такое падение активности этого вредоносного кода связано, прежде всего, с арестами членов этой киберпреступной группы, которые занимались его дистрибуцией и распространением. В то же время мы отмечаем, что код бота продолжал свое развитие несмотря ни на что. Это является дополнительным свидетельством того, что написание и распространение вредоносного кода могут осуществляться разными лицами или группами лиц » — говорит старший вирусный аналитик ESET Артем Баранов .

Основной целью новой версии Carberp является модификация программного комплекса iBank 2 компании БИФИТ, который широко применяется для дистанционного банковского обслуживания пользователей в России и на Украине. Для достижения этой цели Carberp использует вредоносный java -модуль, который детектируется ESET как Java/Spy.Banker.AB. Функционал данного модуля позволяет обходить системы двухфакторной аутентификации с использованием одноразовых паролей.

Еще одной особенностью вредоносного модуля Java/Spy.Banker является применение легитимной библиотеки для модификации кода банковского ПО; такая методика позволяет Carberp лучше скрываться в системе и усложняет распознавание угрозы антивирусными продуктами.

« Киберпреступная группа Carberp одной из первых стала целенаправленно атаковать популярные ДБО системы на территории России и Украины. Ущерб, нанесенный этими киберпреступниками, исчисляется миллиардами рублей; их методы атак постоянно эволюционируют. Нам удалось зафиксировать использование нового  вредоносного компонента, целенаправленно атакующего системы дистанционного банковского обслуживания iBank2, построенные на базе программного обеспечения компании БИФИТ , — комментирует руководитель центра вирусных исследований и аналитики ESET Александр Матросов . — На момент проведения нашего исследования вредоносный компонент Java/Spy.Banker.AB имел крайне низкий уровень обнаружения со стороны других поставщиков антивирусного ПО ввиду своих технологических особенностей и использования легальной библиотеки для модификации Java байт-кода в процессе активности iBank2-клиента ».

После успешного заражения ПК и внедрения в клиент системы дистанционного банковского обслуживания, злоумышленники получают возможность контролировать все платежи, которые пользователь осуществляет при помощи этого банковского ПО. Комплекс iBank2 не проверяет целостность своего кода и может осуществлять денежные транзакции даже после модификации.

Следует отметить, что решения ESET успешно детектируют как вредоносный код Carberp , так и его компоненты.

Публикации по теме
Информационная безопасность (ИБ), борьба с мошенничеством
 
Новости ESET

© "Storage News" journal, Russia&CIS
Редакция: 115516, Москва, а/я 57; тел./факс - (495) 233-4935;
www.storagenews.ru; info@storagenews.ru.