SecureWorks предупреждает о новой версии трояна BlackEnergy

image

Теги: троян, SecureWorks, DDoS

Группа злоумышленников использует новую версию трояна BlackEnergy для кражи паролей к системам онлайн-банкинга ряда российских и украинских банков.

Группа злоумышленников использует новую версию трояна BlackEnergy для кражи паролей к системам онлайн-банкинга ряда российских и украинских банков. Об этом рассказал Джо Стюарт (Joe Stewart) из SecureWorks на конференции FIRST.

BlackEnergy в свое время был хорошо известен как DDoS-троян. Однако в августе 2008 года появился новый троянский инструментарий, который Стюарт называет BlackEnergy 2. Он имеет много общего с предшественником и явно написан тем же человеком, однако представляет собой значительно более сложную и гибкую программу.

Одной из отличительных особенностей BlackEnergy 2 является система плагинов, которая позволяет ему выполнять на зараженных компьютерах самые разные действия. Более того, разработкой плагинов может заниматься кто угодно, имеющий в своём распоряжении копию этого тулкита.

У Стюарта такой копии не было, он изучал лишь конечные исполняемые модули, поэтому в некоторых случаях ему приходилось строить догадки. В частности, он полагает, что набор плагинов "по умолчанию" включает три модуля для DDoS-атак, совместный функционал которых соответствует возможностям первого BlackEnergy.

Однако в руки исследователя попали и другие, менее распространенные плагины. Один из них предназначен для рассылки спама, а два других используются для кражи денег со счетов "большого количества российских и украинских банков". О каких именно банках идёт речь, Стюарт не уточняет, однако говорит, что всех этих системах онлайн-банкинга используется Java-апплет, который загружает со съёмного носителя пользовательский приватный ключ, необходимый для аутентификации.

Если вы работаете со своим банком по такой схеме, проверьте, не начинается ли файл с вашим приватным ключом с последовательности символов "iBKS". Открытие именно таких файлов очень интересует банковский плагин knab (модуль "ibank.dll"). Кроме того, он следит за набираемыми пользователем зараженного компьютера паролями, которые отсылает своим хозяевам вместе с URL-ом страницы с формой логина. Стюарт отмечает, что этот плагин внедряется в процессы iexplore.exe, firefox.exe, flock.exe, opera.exe и java.exe.

Второй плагин, kill, используется в паре с knab. Когда злоумышленники получают необходимую им информацию (логин, пароль и приватный ключ) и собираются использовать её для опустошения банковского счёта, они дают команду на порчу всех разделов жестких дисков компьютера жертвы с последующим выключением системы, с тем чтобы пользователь не смог какое-то время подключиться к своему счету.


или введите имя

CAPTCHA
18-06-2010 08:42:44
SecureWorks предупреждает о новой версии трояна BlackEnergyУчтем.
0 |
18-06-2010 11:20:29
SecureWorks сделала новый релиз трояна?
0 |
onon
18-06-2010 14:28:34
КБ от Бифита довольно широко распространен в России, будьте бдительны. Думаю никому не будет приятно если со счета фирмы снимут миллиончик-другой, предназначавшийся для зарплаты в этом месяце
0 |
Guest
18-06-2010 16:13:29
А какие конкретно русские и Украинские банки подвержены атакам трояна?
0 |
arab
21-06-2010 10:06:57
многие, пальцев не хватит. и примеров тому более, чем достаточно, только молчание предпочтительнее всем сторонам инцидента, включая жертву. историю процесса можно проследить по ежегодным рекомендательным письмам ЦБ на тему защиты систем ДБО.
0 |
щфыамтж
21-06-2010 21:31:56
О каких именно банках идёт речь, Стюарт не уточняет, вот...
0 |