Недавно появились сообщения о том, что «облачные» сервисы компании Amazon были успешно использованы злоумышленниками для атак на Sony. А на днях обнаружилось, что с помощью Amazon Web Services (того самого «облака») распространяются зловреды, крадущие финансовые данные.

Есть все основания полагать, что за этими атаками стоят киберпреступники из Бразилии. Для распространения вредоносных программ они использовали несколько заранее зарегистрированных аккаунтов. Amazon был официально уведомлен о происходящем. Увы, спустя более 12 часов все вредоносные ссылки по-прежнему были активными. Стоит отметить, что киберпреступники все чаще используют возможности легитимных «облачных» сервисов в криминальных целях.

Теперь несколько слов о зловредах, размещенных на Amazon Web Services. Все они загружаются на компьютеры пользователей, а затем выполняют различные вредоносные функции:

Руткит-функционал: ищут четыре антивирусных программы, а также специализированное приложение GBPlugin, используемое многими бразильскими банками для обеспечения безопасности банковских операций онлайн, и препятствуют их нормальной работе



Крадут финансовые данные клиентов 9 бразильских и 2 международных банков

Крадут регистрационные данные пользователей Microsoft Live Messenger

Крадут цифровые сертификаты, используемые для eToken-аутентификации

Крадут информацию о процессоре, серийный номер жесткого диска, имя компьютера и т.д. (некоторые латиноамериканские банки запрашивают эти данные в процессе аутентификации пользователя)

Передают украденные данные киберпреступникам двумя способами: по электронной почте на адрес в Gmail, а также с помощью специального php-кода, помещающего данные в удаленную базу



Вредоносные образцы защищены легитимным противопиратским ПО под названием Enigma Protector. Злоумышленники использовали его, чтобы усложнить для аналитиков процесс обратного инжиниринга.

Все образцы детектируются «Лабораторией Касперского» под следующими названиями:

Trojan-Downloader.Win32.Murlo.lib

Trojan-PSW.Win32.MSNer.a

Trojan-Banker.Win32.Banz.iok

Trojan-Banker.Win32.Banker.blpm

Trojan-Downloader.Win32.Homa.fgx

Trojan-Banker.Win32.Banker.blbt

Надеемся, что в ближайшее время Amazon деактивирует все вредоносные ссылки. Не вызывает сомнения, что злоумышленники и дальше будут использовать легитимные «облачные» сервисы для проведения кибератак. Администраторам «облачных» систем следует заняться совершенствованием систем мониторинга и расширить штат специалистов по IT-безопасности, чтобы сократить количество вредоносных атак, проводимых с использованием их сервисов.

20 июня, 2011

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

29.03.2024
Евросоюз обозначил ИБ-угрозы на ближайшие шесть лет
28.03.2024
Аитов: Ограничения Samsung Pay на использование карт «Мир» можно обойти
28.03.2024
Киберпреступления — 35% всех преступлений в России
28.03.2024
Почему путешествовать «налегке» не всегда хорошо
28.03.2024
«Тинькофф»: Несколько платёжных систем лучше, чем одна
28.03.2024
В РФ готовят базу для «усиленной блокировки» незаконного контента
28.03.2024
Термин «риск ИБ» некорректен по своей сути
27.03.2024
Samsung Pay перестанет дружить с «мировыми» картами
27.03.2024
Канадский университет восстанавливает работу после ИБ-инцидента
27.03.2024
Crypto Summit 2024. Трейдинг, майнинг и перспективы развития рынка ЦФА

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных