Киберпреступники чаще атакуют веб-приложения банков и торговых площадок

Киберпреступники чаще атакуют веб-приложения банков и торговых площадок

Киберпреступники чаще атакуют веб-приложения банков и торговых площадок

Эксперты Positive Technologies отмечают, что злоумышленники чаще атакуют веб-приложения банков и электронных торговых площадок, потому что успешные взломы приносят ощутимую финансовую выгоду.

Кроме того, информацию, полученную в результате компрометации торговых площадок, можно выгодно продать другим участникам торгов и компаниям-конкурентам. Источником статистики стали пилотные проекты по внедрению межсетевого экрана PT Application Firewall в организациях различных отраслей.

По словам исследователей, четвертый квартал подтвердил основные тренды прошлых обзоров. Самыми популярными атаками вновь стали «Межсайтовое выполнение сценариев» и «Внедрение SQL-кода» — суммарно они составляют практически половину от всех атак.

Как и в прошлые периоды, аналитики отметили незначительное увеличение интенсивности атак в дневные и вечерние часы; большая часть атак направлена на пользователей веб-ресурсов, которые в это время особенно активны.

Однако инциденты безопасности возникают также и в ночные и утренние часы: часто злоумышленники проводят атаки в это время с расчетом на то, что службы безопасности компаний не смогут своевременно обнаружить атаку и отреагировать должным образом.

«Атаки, направленные на удаленное выполнение кода, не всегда могут преследовать цель получить доступ к ресурсам внутренней сети, нарушить работоспособность приложения или похитить чувствительную информацию, встречаются и более интересные сценарии эксплуатации уязвимостей, — говорит аналитик Positive Technologies Анастасия Гришина. — Например, недавно на сайте электронной регистратуры Министерства здравоохранения Сахалинской области был обнаружен майнер криптовалюты Monero. Одним из возможных вариантов внедрения майнера является успешная атака на веб-приложение».

Практически половина атак на веб-ресурсы производилась с российских IP-адресов. В топ-5 источников атак, помимо России, входят США, Китай, Франция и Германия.

В среднем число атак в сутки в IV квартале варьировалось от 200 до 300 и крайне редко опускалось ниже 100. Отмечен спад активности злоумышленников к концу недели, но при этом отдельные пиковые значения по атакам зафиксированы и в выходные.

Максимальное число зафиксированных атак в день на одну компанию по всем пилотным проектам составило 34 629.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Android-троян GhostGrab уличен в клептомании и крипомайнинге

Проведенный в CYFIRMA анализ Android-зловреда GhostGrab показал, что это гибридная угроза. Новый модульный троян крадет ключи от банковских счетов и вдобавок использует ресурсы жертвы для добычи монеро.

Новобранец очень цепок, всегда работает в фоне и умело уклоняется от обнаружения и системных попыток прибить его процессы. Для получения команд и отправки украденного он обращается к Firebase.

Атака начинается с JavaScript-редиректа на сайте kychelp[.]live (домен был зарегистрирован в начале лета). При перенаправлении браузера автоматом происходит загрузка дроппера, замаскированного как BOM FIXED DEPOSIT.apk (результат VirusTotal на 28 октября — 26/61).

В поддержку иллюзии при установке жертве выводится интерфейс обновления, копирующий стиль Google Play. Успешно внедрившись, вредонос запрашивает разрешение на установку приложений из сторонних источников (REQUEST_INSTALL_PACKAGES) для беспрепятственного развертывания модуля банковского стилера.

Чтобы обеспечить себе постоянное присутствие в системе, дроппер выводит на экран уведомление и закрепляет его, инициируя запуск службы переднего плана.

 

Банковский модуль GhostGrab (детектируют 10 антивирусов из 66 на VirusTotal) вначале выполняет профилирование зараженного устройства, в частности, выясняет номер телефона и имя провайдера связи.

Он также запрашивает множество разрешений, в том числе доступ к СМС (для перехвата одноразовых кодов и уведомлений банков) и телефонной связи (для перевода звонков своему оператору и выполнения USSD-команд).

Чтобы беспрепятственно работать в фоне, зловред просится в список исключений по энергосбережению, скрывает свою иконку и использует механизмы автоматического перезапуска по системным событиям (перезагрузка ОС, изменение состояния экрана, возможность установления соединений).

 

Банкер также умеет выуживать интересующую его информацию с помощью фишинговых страниц. Заготовки вшиты в код и поочередно отображаются через WebView.

Вначале у жертвы запрашивают полное имя, уникальный идентификатор карты, номер счета — якобы для завершения процедуры KYC. После ввода ее попросят предоставить все данные дебетовой карты или учетки для доступа к системе ДБО.

Мониторинг заполнения фальшивых форм и вывод содержимого осуществляются с помощью JavaScript-сценария. Украденная информация направляется прямиком в Firebase и, как оказалось, хранится там в незашифрованном виде в общедоступной базе данных.

Для управления резидентным зловредом используются возможности Firebase Cloud Messaging: команды подаются в виде пуш-уведомлений.

Когда устройство жертвы заблокировано, GhostGrab может загрузить со стороннего сервера зашифрованный криптомайнер (libmine-arm64.so). Этот модуль тоже работает в фоне, используя монеро-кошелек, адрес которого жестко прописан в коде дроппера.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru