По итогам анализа новой версии Carberp, эксперты вирусной лаборатории Eset установили, что вредоносный код начал использовать специальную Java-библиотеку с открытым исходным кодом (так называемый Javassist). С ее помощью Carberp может модифицировать банковское ПО, основанное на языке программирования Java, рассказали CNews в Eset.
\"Мы наблюдаем за Carberp достаточно давно и можем разделить время его активности на два больших периода: уверенный рост до лета 2012 года и уверенный спад после. Такое падение активности этого вредоносного кода связано, прежде всего, с арестами членов этой киберпреступной группы, которые занимались его дистрибуцией и распространением. В то же время, мы отмечаем, что код бота продолжал свое развитие несмотря ни на что. Это является дополнительным свидетельством того, что написание и распространение вредоносного кода могут осуществляться разными лицами или группами лиц\", - указал старший вирусный аналитик Eset Артем Баранов.
Основной целью новой версии Carberp является модификация программного комплекса iBank 2 компании \"Бифит\", который широко применяется для дистанционного банковского обслуживания пользователей в России и на Украине. Для достижения этой цели Carberp использует вредоносный java-модуль, который детектируется Eset как Java/Spy.Banker.AB. Функционал данного модуля позволяет обходить системы двухфакторной аутентификации с использованием одноразовых паролей, отметили в компании. Еще одной особенностью вредоносного модуля Java/Spy.Banker является применение легитимной библиотеки для модификации кода банковского ПО. Такая методика позволяет Carberp лучше скрываться в системе и усложняет распознавание угрозы антивирусными продуктами.
\"Киберпреступная группа Carberp одной из первых стала целенаправленно атаковать популярные ДБО системы на территории России и Украины. Ущерб, нанесенный этими киберпреступниками, исчисляется миллиардами рублей; их методы атак постоянно эволюционируют. Нам удалось зафиксировать использование нового вредоносного компонента, целенаправленно атакующего системы дистанционного банковского обслуживания iBank2, построенные на базе программного обеспечения компании \"Бифит\", - рассказал руководитель центра вирусных исследований и аналитики Eset Александр Матросов. - На момент проведения нашего исследования вредоносный компонент Java/Spy.Banker.AB имел крайне низкий уровень обнаружения со стороны других поставщиков антивирусного ПО ввиду своих технологических особенностей и использования легальной библиотеки для модификации Java байт-кода в процессе активности iBank2-клиента\".
После успешного заражения ПК и внедрения в клиент системы дистанционного банковского обслуживания, злоумышленники получают возможность контролировать все платежи, которые пользователь осуществляет при помощи этого банковского ПО. Комплекс iBank2 не проверяет целостность своего кода и может осуществлять денежные транзакции даже после модификации, пояснили в компании.
.png)