В июне 2016 года вирусные аналитики компании «Доктор Веб» завершили исследование нового опасного вируса. Он способен красть деньги со счетов клиентов российских банков, похищать конфиденциальную информацию и различными способами шпионить за своей жертвой.
Вирус наследует некоторые технические решения широко известных банковских троянцев Zeus (Trojan.PWS.Panda) и Carberp, но в отличие от них умеет распространяться без участия пользователя и заражать исполняемые файлы. В этом и заключается его основная опасность. Помимо прочего, его крайне сложно вывести с зараженного компьютера: лечение может занимать несколько часов.
Эта вредоносная программа получила наименование Trojan.Bolik.1. Ее важным отличием от других современных банковских троянцев, таких как Zeus и Carberp, является способность самостоятельно распространяться без участия пользователя и заражать исполняемые файлы. Такие вредоносные программы называют полиморфными файловыми вирусами,
Умение распространяться самостоятельно и инфицировать программы можно назвать наиболее опасным свойством этого банкера. Функция самораспространения активируется по команде злоумышленников, после чегоTrojan.Bolik.1 начинает опрашивать доступные для записи папки в сетевом окружении Windows и на подключенных USB-устройствах, ищет хранящиеся там исполняемые файлы и заражает их. При этом Trojan.Bolik.1 может инфицировать как 32-, так и 64-разрядные приложения.
Зараженные этим вирусом программы детектируются Антивирусом Dr.Web под именем Win32.Bolik.1. Внутри каждой такой программы хранится в зашифрованном виде сам банковский троянец Trojan.Bolik.1, а также другая необходимая вирусу информация. Если пользователь запустит на своем компьютере инфицированное приложение, вирус расшифрует банковского троянца Trojan.Bolik.1 и запустит его прямо в памяти атакуемого компьютера, без сохранения на диск. При этом вирус имеет специальный встроенный механизм, позволяющий «на лету» изменять код и структуру собственной части, отвечающей за расшифровку Trojan.Bolik.1. Таким образом вирусописатели пытаются затруднить обнаружение своего детища антивирусными программами. Кроме того, Win32.Bolik.1 пытается противодействовать антивирусам, умеющим пошагово выполнять вредоносные программы в специальном эмуляторе, — в архитектуре этого вируса предусмотрены своеобразные «замедлители», состоящие из множества циклов и повторяющихся инструкций.
От Carberp Trojan.Bolik.1 унаследовал виртуальную файловую систему, которая хранится в специальном файле. Этот файл троянец размещает в одной из системных директорий или в папке пользователя. Виртуальная файловая система позволяет вредоносной программе скрыто хранить на зараженном компьютере нужную ей для работы информацию. У Zeus Trojan.Bolik.1 позаимствовал механизм встраивания в просматриваемые пользователями веб-страницы постороннего содержимого, то есть реализацию технологии веб-инжектов. С ее помощью злоумышленники похищают у своих жертв логины и пароли для доступа к системам «банк-клиент» и другую ценную информацию. Trojan.Bolik.1ориентирован прежде всего на кражу информации у клиентов российских банков — об этом свидетельствуют характерные строчки в конфигурационном файле, передаваемом вирусу с управляющего сервера.
Основное назначение Trojan.Bolik.1 — кража различной ценной информации. Он может достичь этой цели разными способами. Например, контролировать данные, передаваемые и отправляемые браузерами Microsoft Internet Explorer, Chrome, Opera и Mozilla Firefox. Благодаря этому троянец способен похищать информацию, которую пользователь вводит в экранные формы. Кроме того, в шпионский арсенал банкера входит модуль для создания снимков экрана (скриншотов) и фиксации нажатий пользователем клавиш (кейлоггер). Также Trojan.Bolik.1 умеет создавать на зараженной машине собственный прокси-сервер и веб-сервер, позволяющий обмениваться файлами со злоумышленниками. Нужные файлы эта вредоносная программа может найти по заданной в специальной команде маске. Как и некоторые другие современные банковские троянцы, Trojan.Bolik.1 в состоянии организовывать так называемые «реверсные соединения» — с их помощью киберпреступники получают возможность «общаться» с зараженным компьютером, находящимся в защищенной брандмауэром сети или не имеющим внешнего IP-адреса, то есть работающим в сети с использованием NAT (Network Address Translation). Вся информация, которой Trojan.Bolik.1обменивается с управляющим сервером, шифруется по сложному алгоритму и сжимается.
Функциональные возможности Trojan.Bolik.1 выглядят поистине пугающими, а его внутренняя архитектура довольно-таки сложна и неоднозначна. Антивирус Dr.Web детектирует и удаляет все компоненты этого опасного вируса, однако в связи с некоторыми особенностями внутреннего устройства Trojan.Bolik.1 лечение зараженного компьютера может занять длительное время. Пострадавшим от действия этой вредоносной программы пользователям рекомендуется набраться терпения в процессе антивирусного сканирования ПК.
Компания Avanpost представила новую технологию E-Passport, которая стала частью продукта Avanpost Unified SSO. По сути, речь идёт о цифровом «паспорте» сотрудника, который привязывается не к паролю, а к устройству и защищённой сессии. E-Passport работает как цифровой идентификатор пользователя на личном (BYOD) или корпоративном устройстве и реализован в виде криптографической пары ключей.
Эта связка превращает рабочее место и мобильное устройство сотрудника в защищённое хранилище сессии через Avanpost Authenticator и позволяет безопасно передавать её между устройствами без риска перехвата.
Технология лежит в основе бесшовной аутентификации во всех корпоративных системах — от веб-сервисов до классических десктопных приложений. Сотруднику достаточно один раз пройти аутентификацию, после чего он автоматически получает доступ ко всем нужным внутренним ресурсам без постоянного ввода паролей. При этом единая сессия остаётся защищённой и соответствует принципам Zero Trust.
В Avanpost подчёркивают, что Unified SSO с E-Passport решает сразу несколько задач. Во-первых, обеспечивает криптографически стойкую защиту от перехвата и клонирования сессий — даже если пароль скомпрометирован. Во-вторых, объединяет веб- и десктоп-приложения в одну сессию с поддержкой централизованного завершения работы (Single Logout).
В-третьих, позволяет непрерывно контролировать защищённость сессии и при необходимости принудительно завершать её как в приложениях, так и на рабочих станциях под управлением Windows и Linux.
Один из типовых сценариев использования E-Passport — когда сотрудник проходит аутентификацию один раз при входе в систему и дальше работает со всеми корпоративными сервисами без дополнительных запросов логина и пароля. Такой подход снижает нагрузку на ИТ-поддержку, ускоряет рабочие процессы и одновременно повышает уровень безопасности.
«E-Passport позволяет компании перейти к архитектуре Zero Trust, в которой каждый запрос, устройство и пользователь постоянно проверяются, а привязка цифровой идентичности к устройству становится новым стандартом защищённого доступа», — отметил Дмитрий Грудинин, владелец линейки продуктов Avanpost Access.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
