Обнаружен первый троянец для 1С, запускающий шифровальщика-вымогателя

Троянец 1C.Drop.1, исследованный специалистами компании «Доктор Веб», самостоятельно распространяется по электронной почте среди зарегистрированных в базе контрагентов, заражает компьютеры с установленными бухгалтерскими приложениями 1С и запускает на них опасного троянца-шифровальщика.

Вредоносные программы, при создании которых вирусописатели использовали какую-либо новую технологию или редкий язык программирования, появляются нечасто, и это – тот самый случай.

Можно смело сказать, что 1C.Drop.1 — это первый попавший в вирусную лабораторию компании «Доктор Веб» троянец, фактически написанный на русском языке, вернее, на встроенном языке программирования 1С, который использует для записи команд кириллицу. При этом вредоносные файлы для 1С, которые могли модифицировать или заражать другие файлы внешней обработки, известны вирусным аналитикам «Доктор Веб» еще с 2005 года, однако полноценный троянец-дроппер, скрывающий в себе опасного шифровальщика, встретился им впервые, пишет news.drweb.ru.

 

screen 1C.Drop.1

 

Троянец распространяется в виде вложения в сообщения электронной почты с темой «У нас сменился БИК банка» и следующим текстом:

Здравствуйте! У нас сменился БИК банка. Просим обновить свой классификатор банков. Это можно сделать в автоматическом режиме, если Вы используете 1С Предприятие 8. Файл - Открыть обработку обновления классификаторов из вложения. Нажать ДА. Классификатор обновится в автоматическом режиме. При включенном интернете за 1-2 минуты.

К письму прикреплен файл внешней обработки для программы «1С:Предприятие» с именемПроверкаАктуальностиКлассификатораБанков.epf. Тело этого модуля защищено паролем, поэтому просмотреть его исходный код стандартными средствами невозможно. Если получатель такого письма последует предложенным инструкциям и откроет этот файл в программе «1С:Предприятие», на экране отобразится диалоговое окно:

 

screen 1C.Drop.1

Какую бы кнопку ни нажал пользователь, 1C.Drop.1 будет запущен на выполнение, и в окне программы «1С:Предприятие» появится форма с изображением забавных котиков:

 

screen 1C.Drop.1

 

В это же самое время троянец начинает свою вредоносную деятельность на компьютере. В первую очередь он ищет в базе 1С контрагентов, для которых заполнены поля с адресом электронной почты, и отправляет по этим адресам письмо с собственной копией. Текст сообщения идентичен приведенному выше. Вместо адреса отправителя троянец использует e-mail, указанный в учетной записи пользователя 1С, а если таковой отсутствует, вместо него подставляется адрес 1cport@mail.ru. В качестве вложения троянец прикрепляет к письму файл внешней обработки с именем ОбновитьБИКБанка.epf, содержащий его копию. Пользователи, попытавшиеся открыть такой файл в приложении 1С, также пострадают от запустившегося на их компьютере шифровальщика, однако эта копия 1C.Drop.1 разошлет по адресам контрагентов поврежденный EPF-файл, который программа «1С:Предприятие» уже не сможет открыть. 1C.Drop.1 поддерживает работу с базами следующих конфигураций 1С:

  • "Управление торговлей, редакция 11.1"
  • "Управление торговлей (базовая), редакция 11.1"
  • "Управление торговлей, редакция 11.2"
  • "Управление торговлей (базовая), редакция 11.2"
  • "Бухгалтерия предприятия, редакция 3.0"
  • "Бухгалтерия предприятия (базовая), редакция 3.0"
  • "1С:Комплексная автоматизация 2.0"

После завершения рассылки 1C.Drop.1 извлекает из своих ресурсов, сохраняет на диск и запускает троянца-шифровальщика Trojan.Encoder.567. Этот опасный энкодер, имеющий несколько модификаций, шифрует хранящиеся на дисках зараженного компьютера файлы и требует выкуп за их расшифровку. К сожалению, в настоящее время специалисты компании «Доктор Веб» не располагают инструментарием для расшифровки файлов, поврежденных этой версией Trojan.Encoder.567, поэтому пользователям следует проявлять особую бдительность и не открывать полученные по электронной почте файлы в приложении «1С:Предприятие», даже если в качестве адреса отправителя значится адрес одного из известных получателю контрагентов.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Лжесотрудники банков раздают вредоносные апдейты в аэропортах

Мошенники, использующие зловредов для кражи учеток ДБО, начали от имени подсанкционных банков предлагать их для скачивания в крупных аэропортах и вокзалах ж/д. Вредоноса при этом выдают за обновление мобильного приложения.

В качестве предлога пассажиру предлагают поучаствовать в акции и стать обладателем бесплатной кредитки с выгодным лимитом. Если тот согласен, выясняется, что в его версии мобильного банка этой акции нет, и приложение нужно обновить.

В магазинах Google и Apple софт недоступен: его удалили из-за западных санкций, однако лжесотрудник банка может решить проблему, прислав сообщение со ссылкой для загрузки. Как вариант, потенциальной жертве предлагается подключиться к ноутбуку обманщика «через проводочек» и скачать с него прогу.

Вредоносный апдейт, по свидетельству SafeTech, неотличим от легитимного банковского клиента. После входа логин и пароль попадают в руки мошенников; чтобы ими воспользоваться на другом устройстве, потребуется одноразовый код, высылаемый банком (СМС) для подтверждения смены привязки. Добыть его помогает все тот же зловред, установленный на телефоне жертвы.

Получив нужные ключи, злоумышленники не мешкают. Пока жертва на борту самолета (или в поезде дальнего следования) и не может получить алерт банка из-за плохой связи, с ее счета выводятся деньги.

Подобный сценарий вполне может выстрелить. Из-за санкций приложения многих российских банков удалены из App Store и Google Play, и кредитно-финансовым организациям приходится искать альтернативы для обновления клиентского софта. Апдейты могут публиковать под другими названиями и от имени других разработчиков. Их также предлагают в отделениях банков, где помощь окажут сотрудники.

Выбор аэропортов и вокзалов тоже в данном случае оправдан: банки давно уже используют залы ожидания для оформления карт и проведения других маркетинговых кампаний. Такие места всегда под охраной, и обман кажется маловероятным.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru