Троян Dimnie переключился на банки

Троян Dimnie переключился на банки

Троян Dimnie переключился на банки

Центральный банк России предупреждает о массовых атаках на банки, в ходе которых кредитные организации получают рассылки с трояном. Ранее киберпреступники Cobalt использовали эту вредоносную программу для атак клиентов, теперь же вредонос был переформатирован. ЦБ утверждает, что хищений на данный момент нет.

Как сообщили представители банков, им пришло уведомление о новой киберугрозе, которая распространяется посредством фишинговых рассылок, содержащих вредоносное вложение в виде шпионской программы Dimnie.

«За последние месяцы интенсивность атак с использованием Dimnie возросла, рассылки по банкам сейчас носят массовый характер,— цитирует kommersant.ru пресс-службу ЦБ.— При этом FinCERT не фиксировал хищений денежных средств у банков в результате атак с использованием Dimnie».

Если пользователь откроет вредоносное вложение, троян Dimnie получит возможность собрать учетные данные жертвы от различных сервисов и программ, перед этим вредонос докачивает дополнительные злонамеренные модули. Таким образом, атакующие могут похитить как пароли от социальных сетей, так и учетные данные различных криптовалютных кошельков.

Эксперты также отмечают возможности кейлоггера, которые помогают злоумышленникам получать зафиксированные нажатия клавиш пользователем. Положительным моментом является тот факт, что Dimnie пока не стал причиной крупной утечки или хищения средств, однако недооценивать угрозу не стоит, считают специалисты.

«Неизвестно, кто данным инструментом захочет воспользоваться,— рассуждает глава управления информбезопасности ОТП-банка Сергей Чернокозинский.— Сейчас злоумышленники делают первые шаги в атаках на банки, потом троян может быть доработан и может стать серьезной угрозой, полагаю, нам расслабляться не стоит».

Напомним, что в марте был пойман главарь киберпреступной группы Cobalt, похитившей 1 млрд евро. Именно эта группа использовала в своих атаках первоначальную версию трояна Dimnie.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Golden dMSA: доступ к защищенным ресурсам AD через взлом контроллера домена

Специалисты Semperis обнаружили серьезный изъян проекта Managed Service Accounts (dMSA), который существенно упрощает взлом паролей к управляемым аккаунтам и позволяет получить постоянный доступ во всем их ресурсам в доменах Active Directory.

Функциональность dMSA была введена в Windows Server 2025 для зашиты от атак на протокол Kerberos. Разработанный экспертами способ внедрения бэкдора в обход аутентификации несложен в исполнении, однако для успешной атаки придется заполучить корневой ключ службы KDS.

Из-за этого создатели Golden dMSA оценили степень угрозы как умеренную: заветный ключ доступен только из-под учетной записи с высочайшими привилегиями — администратора корневого домена, админа предприятия либо SYSTEM.

С помощью этого мастер-ключа можно получить текущий пароль dMSA или gMSA (групповой управляемый аккаунт пользователя AD) без повторного обращения к контроллеру домена. Как оказалось, для регулярно и автоматически заменяемых паролей предусмотрено лишь 1024 комбинации, и они поддаются брутфорсу.

 

Таким образом, компрометация одного контроллера домена в рамках Golden dMSA может обернуться масштабным взломом управляемых аккаунтов AD-службы. Автор атаки также получает возможность горизонтально перемещаться между доменами целевой организации.

Примечательно, что представленный Semperis метод позволяет обойти Windows-защиту Credential Guard — механизм, предотвращающий кражу учеток, NTLM-хешей и тикетов Kerberos (идентификаторов TGT).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru