Есть все основания полагать, что за этими атаками стоят киберпреступники из Бразилии. Для распространения вредоносных программ они использовали несколько заранее зарегистрированных аккаунтов. Amazon был официально уведомлен о происходящем. Увы, спустя более 12 часов все вредоносные ссылки по-прежнему были активными. Стоит отметить, что киберпреступники все чаще используют возможности легитимных «облачных» сервисов в криминальных целях.
Теперь несколько слов о зловредах, размещенных на Amazon Web Services. Все они загружаются на компьютеры пользователей, а затем выполняют различные вредоносные функции:
Руткит-функционал: ищут четыре антивирусных программы, а также специализированное приложение GBPlugin, используемое многими бразильскими банками для обеспечения безопасности банковских операций онлайн, и препятствуют их нормальной работе
Крадут финансовые данные клиентов 9 бразильских и 2 международных банков
Крадут регистрационные данные пользователей Microsoft Live Messenger
Крадут цифровые сертификаты, используемые для eToken-аутентификации
Крадут информацию о процессоре, серийный номер жесткого диска, имя компьютера и т.д. (некоторые латиноамериканские банки запрашивают эти данные в процессе аутентификации пользователя)
Передают украденные данные киберпреступникам двумя способами: по электронной почте на адрес в Gmail, а также с помощью специального php-кода, помещающего данные в удаленную базу
Вредоносные образцы защищены легитимным противопиратским ПО под названием Enigma Protector. Злоумышленники использовали его, чтобы усложнить для аналитиков процесс обратного инжиниринга.
Все образцы детектируются «Лабораторией Касперского» под следующими названиями:
Trojan-Downloader.Win32.Murlo.lib
Trojan-PSW.Win32.MSNer.a
Trojan-Banker.Win32.Banz.iok
Trojan-Banker.Win32.Banker.blpm
Trojan-Downloader.Win32.Homa.fgx
Trojan-Banker.Win32.Banker.blbt
Надеемся, что в ближайшее время Amazon деактивирует все вредоносные ссылки. Не вызывает сомнения, что злоумышленники и дальше будут использовать легитимные «облачные» сервисы для проведения кибератак. Администраторам «облачных» систем следует заняться совершенствованием систем мониторинга и расширить штат специалистов по IT-безопасности, чтобы сократить количество вредоносных атак, проводимых с использованием их сервисов.
