Троянец-счетовод

Исследователи компании Finjan предупреждают о появлении банковского троянца нового поколения, которому они присвоили наименование URLZone/Bebloh. Вредоносная программа не только охотится за пользовательскими данными и делает скриншоты часто посещаемых веб-страниц, но и переводит деньги жертвы на подставные счета, ведет баланс и подменяет выписку о состоянии счета, отображаемую на экране.

Злоумышленники распространяют бот URLZone через сайты-ловушки, атакующие браузер посетителя набором эксплойтов LuckySpoilt. После инсталляции троянец загружает с командного сервера конфигурационный файл, в котором содержатся команды и определены целевые веб-страницы, объемы отчислений со счета жертвы, реквизиты подставного счета, на который следует перевести деньги, и т.п. Когда пользователь осуществляет https-транзакцию в системе интернет-банкинга или на платежном сервисе, резидентный бот на лету подменяет данные и переводит часть денег на счет «дропа».

Чтобы незаконные операции не были обнаружены банковской защитой, операторы URLZone в настройках задают определенные ограничения. Они следят, чтобы на донорском счету всегда был остаток, а незаконно снятые суммы варьировались и не превышали 4-15 тыс. долларов. По окончании транзакции троянец в реальном времени показывает владельцу счета фальшивую выписку.
Как удалось установить, связь резидентного бота с центром управления осуществляется отсылкой шифрованного текста по http-каналу. Периодичность обращения к серверу за новыми командами и обновлениями составляет 3 часа, проверка статуса браузера проводится ежесекундно. Сам сервер находится на Украине, а объектом интересов его операторов пока являются клиенты европейских банков, в особенности германских.

На настоящий момент зафиксировано около 6400 случаев заражения URLZone – немногим более 7% от общего числа попыток. Троянец плохо детектируется: по данным Virus Total, 24 сентября его обнаружили как угрозу только 2 из 41 антивируса, 29 сентября – 5. За три недели злоумышленникам удалось украсть порядка 300 тыс. евро.

Источник 

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Красный Крест: Атаки на медучреждения на фоне COVID-19 нужно остановить

Международное движение Красного Креста бьёт тревогу: кибератаки на медицинские учреждения в период пандемии заболевания COVID-19, вызванного новым коронавирусом SARS-CoV-2, должны прекратиться. Для этого правительства всех стран должны работать сообща, считают представители Красного Креста.

Соответствующее открытое письмо, опубликованное некоммерческой организацией CyberPeace Institute, получило поддержку сообщества. Среди 40 человек, подписавшихся под инициативой, есть лауреаты Нобелевской премии.

«Мы призываем власти всех стран немедленно принять меры, чтобы остановить волну кибератак на медицинские учреждения, их сотрудников и общественные организации сферы здравоохранения», — гласит письмо.

Международный Красный Крест напомнил, что больницы сейчас сталкиваются с повышенной нагрузкой в связи с пандемией COVID-19, в то время как беспринципные киберпреступники пытаются использовать ситуацию для своей выгоды.

К сожалению, особую активность демонстрируют операторы шифровальщиков, которые на фоне повышенной нагрузки пытаются вымогать у медучреждений деньги за восстановление работы отдельных систем.

Свою точку зрения по данному вопросу также озвучил бессменный лидер «Лаборатории Касперского» Евгений Касперский:

«С самого начала пандемии мы пристально наблюдаем за действиями киберпреступников, которые пытаются нажиться на этой ситуации. Вывод один: пока инфекция распространяется, злоумышленники будут использовать этот повод в своих целях».

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru