В начале 2013 года в лабораторию компьютерной криминалистики и исследования вредоносного кода компании Group-IB поступил на исследование образ НЖМД (накопитель на жестких магнитных дисках) по типичному инциденту – хищение крупной суммы у юридического лица через систему интернет-банкинга. Банк, в котором обслуживался пострадавший клиент, использовал систему «IBANK 2», имеющую только в России свыше 700 тысяч корпоративных и более 500 тысяч частных клиентов.
На исследуемом образе эксперты Group-IB обнаружили множество известных вредоносных программ, используемых в том числе и для совершения мошенничества в системах ДБО. Однако дополнительно был обнаружен файл, недетектируемый большинством из известных антивирусов, представляющий собой совершенно новый троян. Данный троян успешно обходит все механизмы защиты. Его можно поставить во главу иной ветки развития хищений - полностью автоматизированной и адаптированной под клиентов системы iBank.
При проведении детального анализа файловой системы были обнаружены подозрительные файлы, не определяемые на тот момент антивирусами известных производителей. В ходе обратной разработки данных файлов было установлено, что они способны компрометировать клиентскую часть системы ДБО «IBANK 2», в том числе передавать платежные поручения от имени клиента. Примечательным является то, что и на сегодняшний день данный вирус не занесен в базы антивирусных продуктов большинства производителей.
Релиз подготовлен на основе аналитического исследования ведущего специалиста по исследованию вредоносного кода компании Group-IB Виталия Трифонова.
- Стоимость медиауслуг (открыть PDF) -
