Испанские эксперты предупредили об опасном троянском коне

Специалисты из компании S21sec сочли необходимым привлечь внимание общественности к новой угрозе для пользователей услуг онлайн-банкинга. Вредоносная программа, которую они называют "Tatanga", представляет собой интересный образец инфекции с комбинированным функционалом; на момент обнаружения вирус вызвал подозрения лишь у девяти защитных решений из арсенала мультисканера VirusTotal.

Сообщается, что троянский конь состоит из нескольких модулей различного назначения, которые хранятся в криптованном виде и расшифровываются по мере необходимости. Стиль его атаки традиционен - "внедренный посредник", а точнее та его разновидность, которая направлена против Интернет-обозревателей (man-in-the-browser). На данный момент целью Tatanga являются пользователи из ряда западноевропейских стран; в частности, под угрозой находятся клиенты британских, немецких, испанских и португальских банков.

Исследователи перечислили в корпоративном блоге основные конструктивные элементы троянского коня. Разнообразные модули, входящие в его состав, обеспечивают:

- извлечение и сбор электронных адресов, - поддержку зашифрованных соединений,

- уничтожение конкурирующего вредоносного ПО (например, ZeuS),

- борьбу с антивирусными продуктами,

- обработку криптованного файла конфигурации,

- внедрение HTML-кода.

Также аналитики обнаружили в пакете модификатор файлов, однако пока что не смогли определить его точное назначение.

Компоненты "ModEmailGrabber" и "ModMalwareRemover" (сборщик адресов и уничтожитель вирусов-конкурентов соответственно), по мнению исследователей, могут являться частями более древнего бот-клиента, датируемого 2008 годом. Интересно, что защитное решение от Microsoft определило Tatanga как "Trojan:Win32/Mariofev.B", в то время как первый представитель этого семейства - Mariofev.A - был внесен в базу данных сигнатур как раз в октябре 2008.

Троянский конь обменивается данными с удаленным сервером управления; посредниками в этом процессе выступают семь веб-ресурсов, адреса которых указаны непосредственно в теле вредоносной программы. Информация передается по зашифрованному каналу, однако криптозащита не особенно сильна.

Можно сказать, что Tatanga умеет внедрять HTML-код в страницы, отображаемые в любом обозревателе: список поддерживаемых браузеров включает Internet Explorer, Firefox, Chrome, Opera, Minefield, Maxthoon, Netscape, Safari и даже Konqueror. В числе других особенностей, заслуживающих упоминания, можно назвать поддержку 64-битных выпусков Windows, защиту от запуска в виртуальной среде, использование возможностей мобильного фишинга, обход контуров безопасности, устанавливаемых плагином Trusteer Rapport, и применение руткит-технологий для самосокрытия.

1 марта, 2011

Смотрите также

В Астрахани объявились аферисты, которые обнуляют банковские карточки людей

28 февраля, 2011

Троян OddJob перехватывает банковские сессии

25 февраля, 2011

Троянец ZeuS атакует двухфакторную банковскую аутентификацию

22 февраля, 2011

В Москве задержан хакер, уничтоживший информацию банка

21 февраля, 2011

Атаки `Boy In The Browser` на подъеме

18 февраля, 2011

Клиенты виртуального Сбербанка стали жертвами хакеров

17 февраля, 2011

Сотрудники Банка \"Финансы и Кредит\" задержали мошенника с банкоматной накладкой

11 февраля, 2011

Хакер, обвиняемый в хищении $10 млн, получил пять лет условно

8 февраля, 2011

В 2010 г. киберпреступники заработали около 2,5 млрд евро в России

7 февраля, 2011

Читалка

Вступило в силу Положение Центрального банка Российской Федерации от 17.08.2023 №821-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств...

1 апреля, 2024

Вступил в силу ГОСТ Р 71207-2024 «Защита информации. Разработка безопасного программного обеспечения. Статический анализ программного обеспечения. Общие требования».

1 апреля, 2024

Вступил в силу ГОСТ Р 71206-2024 «Защита информации. Разработка безопасного программного обеспечения. Безопасный компилятор языков С/С++. Общие требования».

1 апреля, 2024

ФСТЭК России опубликованы «Сведения о принятых национальных и международных стандартах за I квартал 2024 года»

28 марта, 2024

ФСТЭК России опубликован проект национального стандарта ГОСТ Р «Защита информации. Формальная модель управления доступом.

28 марта, 2024

ФСТЭК России опубликован проект национального стандарта ГОСТ Р «Защита информации. Формальная модель управления доступом. Часть 3. Рекомендации по разработке»

28 марта, 2024

ФСТЭК России опубликован проект национального стандарта ГОСТ Р «Защита информации. Идентификация и аутентификация. Рекомендации по управлению идентификацией и аутентификацией»

28 марта, 2024

Календарь мероприятий

Новый номер

- BIS Journal №2(53)2024 -

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

19.04.2024
Банкиры просят продлить сроки импортозамещения «инософта»
19.04.2024
Россияне смогут получить ЭП за пределами страны
19.04.2024
В России появится консорциум по кибербезопасности ИИ
19.04.2024
Сразу несколько мессенджеров пропали из китайского App Store
18.04.2024
У нас есть GitHub дома. Вместо нацрепозитория готовое решение от вендора?
18.04.2024
Минэк создаст профильную комиссию по ИИ-расследованиям
18.04.2024
Видеоидентификация клиентов банков уже в этом году?
18.04.2024
Дано: смартфон. Форма: «Аквариус». Суть: «Лаборатория Касперского»
18.04.2024
Члены АБД утвердили отраслевой стандарт защиты данных
17.04.2024
ФСТЭК будет аттестовать не готовое ПО, а процесс его разработки

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

© ООО Медиа Группа Авангард Все права защищены 2007-2024гг.