В моем предыдущем сообщении я уже делал акцент на серьезном увлечении распространения троянской программы Carberp с легальных веб-сайтов, причем с довольно серьезной посещаемостью. В качестве эксплойтпака там всегда встречался BlackHole одной из последних версий. Например, в ноябре было замечено заражение таких ресурсов, как:
- glavbukh.ru - скрытая переадресация на jya56yhsvcsss.com/BVRQ (BlackHole)
- ria.ru - скрытая переадресация на aysh5tg2h3nk.com/BVRQ (BlackHole)
У этих сайтов большой объем целевой аудитории людей, которые имеют доступ к управлению финансами в различных организациях и немаленький процент из этих людей подверглись атаки и последующему заражению троянцем Carberp, который прославился своей ДБО ориентированностью.
Подводя итоги ноября мы были просто шокированы количеством предотвращенных заражений этой вредоносной программой. Помимо того, что она вошла в пятерку самых распространенных угроз по нашему региону обратите внимание на рост обнаружении в ноябре месяце:
Как правило многие системы интернет-банкинга используют Java-компоненты для проверки корректности цифровой подписи и у подавляющего большинства бухгалтеров стоит Java, причем зачастую далеко не последних версий. Пример того, как происходит проверка версии установленной версии Java в BlackHole:
Если посмотреть на Carberp последних версий, то у него появилось целевое расширение для cyberplat.plug и sber.plug, старый набор стандартных расширений (miniav, killav, passw) в последнее время нам встречался довольно редко. Как правило все расширения опубликованные в публичных директориях админки зашифрованы. Чаще всего встречается связка алгоритмов Base64( RC2(data) ), все шифруется автоматически скриптом на сервере при выкладывании соответствующих расширений. Так выглядит скрипт для зашифрования:
Новые плагины нацелены в первую очередь ДБО софт специфичный для этих платежных систем.
А вот пример параметров принимаемых админкой для отстука активных ботов:
Количество инцидентов связанных с мошенничеством в ДБО стремительно растет, а действий по их предотвращению совершается крайне мало. Мы будем продолжать следить за ситуацией совместно с нашими друзьями и коллегами из Group-IB и держать вас в курсе событий ;)
Комментариев нет:
Отправить комментарий