Троян Dimnie переключился на банки

Троян Dimnie переключился на банки

Центральный банк России предупреждает о массовых атаках на банки, в ходе которых кредитные организации получают рассылки с трояном. Ранее киберпреступники Cobalt использовали эту вредоносную программу для атак клиентов, теперь же вредонос был переформатирован. ЦБ утверждает, что хищений на данный момент нет.

Как сообщили представители банков, им пришло уведомление о новой киберугрозе, которая распространяется посредством фишинговых рассылок, содержащих вредоносное вложение в виде шпионской программы Dimnie.

«За последние месяцы интенсивность атак с использованием Dimnie возросла, рассылки по банкам сейчас носят массовый характер,— цитирует kommersant.ru пресс-службу ЦБ.— При этом FinCERT не фиксировал хищений денежных средств у банков в результате атак с использованием Dimnie».

Если пользователь откроет вредоносное вложение, троян Dimnie получит возможность собрать учетные данные жертвы от различных сервисов и программ, перед этим вредонос докачивает дополнительные злонамеренные модули. Таким образом, атакующие могут похитить как пароли от социальных сетей, так и учетные данные различных криптовалютных кошельков.

Эксперты также отмечают возможности кейлоггера, которые помогают злоумышленникам получать зафиксированные нажатия клавиш пользователем. Положительным моментом является тот факт, что Dimnie пока не стал причиной крупной утечки или хищения средств, однако недооценивать угрозу не стоит, считают специалисты.

«Неизвестно, кто данным инструментом захочет воспользоваться,— рассуждает глава управления информбезопасности ОТП-банка Сергей Чернокозинский.— Сейчас злоумышленники делают первые шаги в атаках на банки, потом троян может быть доработан и может стать серьезной угрозой, полагаю, нам расслабляться не стоит».

Напомним, что в марте был пойман главарь киберпреступной группы Cobalt, похитившей 1 млрд евро. Именно эта группа использовала в своих атаках первоначальную версию трояна Dimnie.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Microsoft пропатчила 0-day дыру в Windows 7, Server 2008 (частично)

Microsoft выпустила патч, частично устраняющий LPE-уязвимость (локальное повышение прав), затрагивающую уже отжившие своё системы Windows 7 и Server 2008 R2. На сегодняшний день брешь даже не получила собственный CVE-идентификатор.

Как объяснили специалисты, причиной наличия дыры в операционных системах является некорректная конфигурация двух ключей реестра. В результате злоумышленник может повысить свои права даже на полностью пропатченных ОС.

Проблему обнаружил исследователь в области кибербезопасности Клемент Лабро. По словам Лабро, в ключах реестра служб RpcEptMapper и DnsCache содержатся небезопасные разрешения, допускающие загрузку вредоносных DLL посредством службы RPC Endpoint Mapper.

Успешная эксплуатация этого бага позволит злоумышленнику выполнить произвольный код в контексте службы Windows Management Instrumentation (WMI), которая изначально работает с правами LOCAL SYSTEM.

В ноябре прошлого года об этой уязвимости рассказывал и другой эксперт — Митя Колсек. Тогда брешь окрестили 0-day. Теперь же, как выяснили специалисты 0patch, Microsoft по-тихому пропатчила баг апрельскими обновлениями.

Тем не менее на деле оказалось, что заплатка лишь частично устраняет описанную исследователями проблему. В случае DnsCache уязвимость всё ещё присутствует. Ситуацию осложняет наличие эксплойта, доступного любому желающему с февраля.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru