Западные банки получили предупреждение о сверхмасштабной атаке

Западные банки получили предупреждение о сверхмасштабной атаке

Западные ИТ-компании и независимые специалисты говорят, что уже почти две недели три десятка крупнейших американских банков подвергаются очень крупной и скоординированной хакерской атаке, включающей в себя DDoS, сканирование на уязвимости, фишинг-кампании и другие приемы. Большая часть экспертов склонна полагать, что проводится атака силами довольно крупной международной хакерской группировки, основным мотивом которой является финансовая нажива.

В компании RSA Security рассказали, что анализировали проводимую хакерами банковскую атаку и пришли к выводу, что специально для нее хакерами был создан кастомизированный троянец, предназначенный для проникновения на компьютеры клиентов крупных американских банков и кражи с них разных данных. В свою очередь краденные данные применяются хакерами для незаконного перевода денег при помощи систем онлайн-банкинга.

Мор Ахавиа, специалист по коммуникациям RSA FraudAction Team, говорит, что по расчетам их компании в атаке задействована крупнейшая в истории международная хакерская группа, насчитывающая не менее сотни бот-мастеров, каждый из которых использует ресурсы подконтрольной ему бот-сети для проведения атак и распространения банковских вредоносов. "За каждым из бот-мастеров стоят так называемые инвесторы, которые дают деньги на покупку программного и аппаратного обеспечения, необходимого для атак", - говорит Ахавиа. "Мы впервые видим, когда финансово-мотивированные группы достигают таких масштабов и такого уровня взаимодействия".

Напомним, что на этой неделе крупные американские банки уже получили циркуляр о переходе на высший уровень готовности ко внешним угрозам. Сами банки, в частности JP Morgan Chase, Bank of America, Citigroup и Wells Fargo, еще на прошлой неделе подверглись массированным DDoS-атакам, в результате которых их системы онлайн-банкинга, эквайринга и торговли акциями стали недоступны и тысячи клиентов не смогли выполнить нужные финансовые операции, передает cybersecurity.ru.

Ранее ответственность за организацию DDoS на ряд банков в США взяла на себя ближневосточная хакерская группировка Cyber fighters of Izz ad-din Al qassam, однако западные эксперты сомневаются, что она является подлинным или единственный организатором кампании. Сама группировка заявляла, что DDoS - это месть США за отказ от удаления антиисламского ролика.

Примечательно, что незадолго до начала атак американский центр FS-ISAC (Financial Services Information Sharing and Analysis Center) предупредил банки о высокой вероятности кибератак и кампаний, связанных с онлайн-мошенничеством. В сообщении говорилось, что велика вероятность всплеска троянской активности, исходящей из Азии и Ближнего Востока.

В RSA говорят, что за последние несколько кварталов хакеры сосредоточились на атаке в направлении малого бизнеса и правительственных ведомств локального масштаба. Сейчас же атака ведется при помощи малоизвестного троянца Gozi Prinimalka, ориентированного именно на частных клиентов именно американских банков.

Ранее антивирусные компании уже сообщали о троянце Gozi, который был использован для кражи нескольких миллионов долларов со счетов в западных банках. Новая версия вредоноса представляет собой сильно модернизированную версию оригинала. Новинка может не только связываться с C&C-сервером мощенников, но и имеет расширенный функционал по работе на компьютере-жертве. Такой как поддержка виртуальных ОС, клонирование настроек ПК, перехват тайм-зон, данных о браузерах и др.

В RSA говорят, что хакеры связываются с жертвами через SOCKS-прокси, что позволяет взаимодействовать с машиной на низком уровне, получая более широкие привилегии.

В RSA также заявили, что рекомендовали банкам развернуть более жесткие нормы по аутентификации для клиентов на всех уровнях и провести общий аудит систем онлайн-банкинга.

ИИ научился клепать клоны Android-приложений почти за копейки

Нейросети могут за несколько минут изменить Android-приложение, пересобрать его и сохранить работоспособность. Причём цена такой операции начинается с 88 копеек, выяснили специалисты Positive Technologies. Эксперимент провели на 90 приложениях разных категорий.

Вредоносный код исследователи не добавляли: они вносили нейтральное изменение и проверяли, продолжит ли программа работать после вмешательства.

Результат получился неприятный. Закрытые коммерческие модели успешно справились с задачей в 84% попыток, модели с открытыми весами — в 61%. В среднем нейросети требовалось 14 итераций и от пяти с половиной до девяти минут.

 

Стоимость одного успешного результата составила от 0,88 до 40,89 рубля. То есть за несколько тысяч рублей потенциальный злоумышленник может попробовать модифицировать сотню популярных приложений.

На практике вместо безобидной правки в APK можно встроить перехват данных, изменить поведение программы или добавить связь с внешним сервером. Затем поддельную сборку легко выдать за оригинал, улучшенную версию или приложение, которое якобы недоступно в официальном магазине.

 

Распространять такие клоны могут через сторонние каталоги, сайты, мессенджеры и тематические сообщества. Особенно уязвимы пользователи, которые привыкли скачивать APK где придётся.

В Positive Technologies отмечают, что ИИ не изобрёл новый вид атаки, но заметно снизил порог входа. То, что раньше требовало времени и навыков реверс-инжиниринга, теперь можно частично поручить нейросети.

Разработчикам советуют защищать код от анализа и изменения, отслеживать появление неофициальных сборок и закладывать безопасность ещё на этапе разработки. Иначе клон приложения может появиться быстрее, чем команда успеет выпустить очередной патч.

RSS: Новости на портале Anti-Malware.ru