SecureWorks предупреждает о новой версии трояна BlackEnergy

Группа злоумышленников использует новую версию трояна BlackEnergy для кражи паролей к системам онлайн-банкинга ряда российских и украинских банков. Об этом рассказал Джо Стюарт (Joe Stewart) из SecureWorks на конференции FIRST. BlackEnergy в свое время был хорошо известен как DDoS-троян. Однако в августе 2008 года появился новый троянский инструментарий, который Стюарт называет BlackEnergy 2. Он имеет много общего с предшественником и явно написан тем же человеком, однако представляет собой значительно более сложную и гибкую программу.

Одной из отличительных особенностей BlackEnergy 2 является система плагинов, которая позволяет ему выполнять на зараженных компьютерах самые разные действия. Более того, разработкой плагинов может заниматься кто угодно, имеющий в своём распоряжении копию этого тулкита.

У Стюарта такой копии не было, он изучал лишь конечные исполняемые модули, поэтому в некоторых случаях ему приходилось строить догадки. В частности, он полагает, что набор плагинов "по умолчанию" включает три модуля для DDoS-атак, совместный функционал которых соответствует возможностям первого BlackEnergy.

Однако в руки исследователя попали и другие, менее распространенные плагины. Один из них предназначен для рассылки спама, а два других используются для кражи денег со счетов "большого количества российских и украинских банков". О каких именно банках идёт речь, Стюарт не уточняет, однако говорит, что всех этих системах онлайн-банкинга используется Java-апплет, который загружает со съёмного носителя пользовательский приватный ключ, необходимый для аутентификации.

Если вы работаете со своим банком по такой схеме, проверьте, не начинается ли файл с вашим приватным ключом с последовательности символов "iBKS". Открытие именно таких файлов очень интересует банковский плагин knab (модуль "ibank.dll"). Кроме того, он следит за набираемыми пользователем зараженного компьютера паролями, которые отсылает своим хозяевам вместе с URL-ом страницы с формой логина. Стюарт отмечает, что этот плагин внедряется в процессы iexplore.exe, firefox.exe, flock.exe, opera.exe и java.exe.

Второй плагин, kill, используется в паре с knab. Когда злоумышленники получают необходимую им информацию (логин,пароль и приватный ключ) и собираются использовать её для опустошения банковского счёта, они дают команду на порчу всех разделов жестких дисков компьютера жертвы с последующим выключением системы, с тем чтобы пользователь не смог какое-то время подключиться к своему счету.

22 июня, 2010

Смотрите также

В Испании раскрыто мошенничество с кредитными картами

17 июня, 2010

Арабский банкир создал невзламываемый шифр

16 июня, 2010

MasterCard Europe создал платежную карту с дисплеем

15 июня, 2010

Исследователи выпустили автоматизированную утилиту для компрометации сайтов

11 июня, 2010

Израильский хакер, похищавший данные о банковских счетах, арестован

10 июня, 2010

На Урале появилась «умная» банковская карта. Она защищает деньги от хакеров

8 июня, 2010

Хакеры атакуют Израиль

7 июня, 2010

Visa выпускает банковскую карту с клавиатурой и дисплеем

5 июня, 2010

Осужден распространитель вируса в банковской системе

2 июня, 2010

Читалка

Центральный банк Российской Федерации опубликовал информационное письмо от 15.04.2024 № ИН-012-56/26 о разъяснении положений части 12 статьи 16 Федерального закона №572-ФЗ

18 апреля, 2024

Опубликован приказ ФСТЭК России «Об утверждении Порядка проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации»

17 апреля, 2024

Вступило в силу Положение Центрального банка Российской Федерации от 17.08.2023 №821-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств...

1 апреля, 2024

Вступил в силу ГОСТ Р 71207-2024 «Защита информации. Разработка безопасного программного обеспечения. Статический анализ программного обеспечения. Общие требования».

1 апреля, 2024

Вступил в силу ГОСТ Р 71206-2024 «Защита информации. Разработка безопасного программного обеспечения. Безопасный компилятор языков С/С++. Общие требования».

1 апреля, 2024

ФСТЭК России опубликованы «Сведения о принятых национальных и международных стандартах за I квартал 2024 года»

28 марта, 2024

ФСТЭК России опубликован проект национального стандарта ГОСТ Р «Защита информации. Формальная модель управления доступом.

28 марта, 2024

Календарь мероприятий

Новый номер

- BIS Journal №2(53)2024 -

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

25.04.2024
Изображение фейковое, зато истерика «настоящая». Немкин — о скамерской фишке этого сезона
25.04.2024
«Нет никаких сомнений, что это — мошенники». Скамеры используют схему с полисом ОМС
25.04.2024
Sentry: Мы встроили экран в твою карту, чтобы ты всегда мог смотреть на свой нулевой баланс
24.04.2024
У «Сбера» (и рынка?) будет свой SAP за «миллиарды рублей»
24.04.2024
В I квартале хакеры совершили более 19 млн атак на смартфоны россиян
24.04.2024
Минпромторг раздаёт деньги на отечественные решения
24.04.2024
Правительство одобрило ужесточение наказания за утечку ПДн
24.04.2024
«Мы разработали законодательную инициативу по дропам»
24.04.2024
«Мы обеспечили определённый уровень заказа». ГРЧЦ продолжает импортозамещать чипы
23.04.2024
В АП не поддержали поправки о штрафах за утечки ПДн

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

© ООО Медиа Группа Авангард Все права защищены 2007-2024гг.