Обнаружен полиморфный банковский вирус Bolik

В июне 2016 года вирусные аналитики компании «Доктор Веб» завершили исследование нового опасного вируса. Он способен красть деньги со счетов клиентов российских банков, похищать конфиденциальную информацию и различными способами шпионить за своей жертвой.

Вирус наследует некоторые технические решения широко известных банковских троянцев Zeus (Trojan.PWS.Panda) и Carberp, но в отличие от них умеет распространяться без участия пользователя и заражать исполняемые файлы. В этом и заключается его основная опасность. Помимо прочего, его крайне сложно вывести с зараженного компьютера: лечение может занимать несколько часов.

Эта вредоносная программа получила наименование Trojan.Bolik.1. Ее важным отличием от других современных банковских троянцев, таких как Zeus и Carberp, является способность самостоятельно распространяться без участия пользователя и заражать исполняемые файлы. Такие вредоносные программы называют полиморфными файловыми вирусами, пишет news.drweb.ru.

Умение распространяться самостоятельно и инфицировать программы можно назвать наиболее опасным свойством этого банкера. Функция самораспространения активируется по команде злоумышленников, после чегоTrojan.Bolik.1 начинает опрашивать доступные для записи папки в сетевом окружении Windows и на подключенных USB-устройствах, ищет хранящиеся там исполняемые файлы и заражает их. При этом Trojan.Bolik.1 может инфицировать как 32-, так и 64-разрядные приложения.

Зараженные этим вирусом программы детектируются Антивирусом Dr.Web под именем Win32.Bolik.1. Внутри каждой такой программы хранится в зашифрованном виде сам банковский троянец Trojan.Bolik.1, а также другая необходимая вирусу информация. Если пользователь запустит на своем компьютере инфицированное приложение, вирус расшифрует банковского троянца Trojan.Bolik.1 и запустит его прямо в памяти атакуемого компьютера, без сохранения на диск. При этом вирус имеет специальный встроенный механизм, позволяющий «на лету» изменять код и структуру собственной части, отвечающей за расшифровку Trojan.Bolik.1. Таким образом вирусописатели пытаются затруднить обнаружение своего детища антивирусными программами. Кроме того, Win32.Bolik.1 пытается противодействовать антивирусам, умеющим пошагово выполнять вредоносные программы в специальном эмуляторе, — в архитектуре этого вируса предусмотрены своеобразные «замедлители», состоящие из множества циклов и повторяющихся инструкций.

От Carberp Trojan.Bolik.1 унаследовал виртуальную файловую систему, которая хранится в специальном файле. Этот файл троянец размещает в одной из системных директорий или в папке пользователя. Виртуальная файловая система позволяет вредоносной программе скрыто хранить на зараженном компьютере нужную ей для работы информацию. У Zeus Trojan.Bolik.1 позаимствовал механизм встраивания в просматриваемые пользователями веб-страницы постороннего содержимого, то есть реализацию технологии веб-инжектов. С ее помощью злоумышленники похищают у своих жертв логины и пароли для доступа к системам «банк-клиент» и другую ценную информацию. Trojan.Bolik.1ориентирован прежде всего на кражу информации у клиентов российских банков — об этом свидетельствуют характерные строчки в конфигурационном файле, передаваемом вирусу с управляющего сервера.

Основное назначение Trojan.Bolik.1 — кража различной ценной информации. Он может достичь этой цели разными способами. Например, контролировать данные, передаваемые и отправляемые браузерами Microsoft Internet Explorer, Chrome, Opera и Mozilla Firefox. Благодаря этому троянец способен похищать информацию, которую пользователь вводит в экранные формы. Кроме того, в шпионский арсенал банкера входит модуль для создания снимков экрана (скриншотов) и фиксации нажатий пользователем клавиш (кейлоггер). Также Trojan.Bolik.1 умеет создавать на зараженной машине собственный прокси-сервер и веб-сервер, позволяющий обмениваться файлами со злоумышленниками. Нужные файлы эта вредоносная программа может найти по заданной в специальной команде маске. Как и некоторые другие современные банковские троянцы, Trojan.Bolik.1 в состоянии организовывать так называемые «реверсные соединения» — с их помощью киберпреступники получают возможность «общаться» с зараженным компьютером, находящимся в защищенной брандмауэром сети или не имеющим внешнего IP-адреса, то есть работающим в сети с использованием NAT (Network Address Translation). Вся информация, которой Trojan.Bolik.1обменивается с управляющим сервером, шифруется по сложному алгоритму и сжимается.

Функциональные возможности Trojan.Bolik.1 выглядят поистине пугающими, а его внутренняя архитектура довольно-таки сложна и неоднозначна. Антивирус Dr.Web детектирует и удаляет все компоненты этого опасного вируса, однако в связи с некоторыми особенностями внутреннего устройства Trojan.Bolik.1 лечение зараженного компьютера может занять длительное время. Пострадавшим от действия этой вредоносной программы пользователям рекомендуется набраться терпения в процессе антивирусного сканирования ПК.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

IntelBroker взломал Европол. Оперативные данные не были скомпрометированы

Европол подтвердил факт взлома веб-портала Europol Platform for Experts (EPE), но утверждает, что оперативные данные похищены не были. Совсем недавно злоумышленник IntelBroker заявил, что украл особо секретные документы «только для служебного пользования» (FOUO).

Европол уведомлен о данном инциденте и уже принял первые меры по его расследованию.

Правоохранительные органы используют онлайн-платформу EPE для «обмена знаниями, передовым опытом и деперсонализированными данными о преступлениях». 

Представители Европола сообщают, что на портале не содержится оперативная информация, поэтому утечки оперативных данных не произошло. 

Некоторое время веб-сайт EPE не работал, а в сообщении говорилось, что сервис не доступен по техническим причинам.

 

Это уже не первый случай компрометации данных Европола. В сентябре 2023 года произошла утечка личных дел исполнительного директора Европола Катрин де Болле и других высокопоставленных сотрудников ведомства.

По сообщению злоумышленника IntelBroker, похищенные данные включают информацию о сотрудниках альянса, исходный код FOUO, PDF-файлы, документы для разведки и руководства.

Также говорится, что получен доступ к одному из сообществ на портале EPE под названием EC3 SPACE (Secure Platform for Accredited Cybercrime Experts), где размещены сотни материалов, связанных с киберпреступностью.

Эти данные доступны для пользования более 6000 авторизованным экспертам по киберпреступности со всего мира, включая:

  • Правоохранительные органы из компетентных органов государств-членов ЕС и стран, не входящих в ЕС;
  • Судебные органы, академические учреждения, частные компании, неправительственные и международные организации;
  • Сотрудники Европола.

IntelBroker утверждает, что скомпрометировал платформу SIRIUS, которую судебные и правоохранительные органы 47 стран используют для доступа к трансграничным электронным доказательствам в контексте уголовных расследований и разбирательств.

Злоумышленник слил в Сеть не только скриншоты пользовательского интерфейса EPE, но и небольшой образец базы данных EC3 SPACE, который может содержать около 9 128 записей о личной информации авторизованных агентов и экспертов по киберпреступности.

Особую известность IntelBroker принёс инцидент с утечкой данных DC Health Link, торговой площадки медицинского страхования, затронувший личную информацию 170 000 пострадавших, включая членов Палаты представителей США, сотрудников и их семьи.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru