СБУ задержала киберпреступников, похищающих средства из госбанков

СБУ задержала киберпреступников, похищающих средства из госбанков

Службе безопасности Украины удалось пресечь деятельность киберпреступной группировки, участники которой специализировались на краже средств из государственных банков с последующей их реализацией.

Интересный факт во всей мошеннической схеме этих киберпреступников заключается в сотрудничестве оных с некими фирмами-посредниками, часть которых была подконтрольна российским спецслужбам.

От деятельности злоумышленников пострадали целых 20 государств.

«Оперативники установили, что кибермошенники с помощью специального программного обеспечения получали доступ к персональным данным юридических лиц банков из стран Евросоюза, Южной Азии и постсоветского пространства», — приводят СМИ сообщения пресс-службы СБУ.

«Затем они формировали в банковских системах фальшивые платёжные документы и выводили деньги со счетов коммерсантов».

Правоохранители провели обыски в квартирах участников группировки, которые располагались в Киеве, Черновцах, Одессе и Вознесенске.

Все финансовую документацию, подтверждающую факт совершения киберпреступных действий, удалось обнаружить по месту жительства преступников. Также сообщается ,что был задержан сам организатор группировки.

Теперь все материалы дела будут переданы в суд, который вынесет решение на основании всех имеющихся доказательств.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

macOS-зловред UpdateAgent получил новый дроппер, написанный на Swift

Исследователи macOS-угроз из американской компании Jamf проанализировали свежий образец UpdateAgent и обнаружили ряд изменений. Как оказалось, заточенный под macOS зловред теперь закачивает дополнительную полезную нагрузку, используя дроппер, написанный на Swift.

Троян UpdateAgent, он же WizardUpdate и Vigram, известен ИБ-сообществу с конца 2020 года. Вначале он был пригоден лишь для кражи системной информации, но проект постоянно совершенствуется, и в итоге вредонос, умеющий обходить Gatekeeper, стал использоваться для доставки из облака других файлов в рамках атаки — в основном программ для принудительного показа рекламы (adware).

Новый дроппер UpdateAgent, по свидетельству Jamf, маскируется под легитимный бинарник Mach-O с именем PDFCreator либо ActiveDirectory. При исполнении он подключается к удаленному серверу (URL в этих вариантах разные) для получения команд, отдаваемых в виде bash-скрипта.

Исполнение заархивированного сценария (activedirec.sh или bash_qolveevgclr.sh) бесфайловым методом является главной задачей Swift-дроппера. Вставленная в скрипт ссылка привязана к хранилищу Amazon S3 с DMG-файлом — приложением, копию которого дроппер помещает в папку временных файлов.

Примечательно, что вредонос также модифицирует файл /etc/sudoers таким образом, чтобы повысить уровень исполнения вторичной полезной нагрузки до root, притом без пароля на запуск. Этот трюк возможен лишь в том случае, когда UpdateAgent работает с привилегиями суперпользователя.

Помимо этого зловред создает LaunchAgent уровня пользователя для автозапуска вредоносного сценария. Последний после активации выжидает немного (для скрытности), а затем приступает к удалению свидетельств непрошеного вторжения — демонтирует DMG-файл и откатывает изменение файла настройки команды sudo (/etc/sudoers).

Исследователям из Jamf попалась еще одна полезная нагрузка второй ступени — исполняемый код, именуемый ActiveDirectory. Он идентичен экзешнику PDFCreator, но использует другой URL для загрузки bash-скрипта, который пока только регистрируется в облаке и ждет дальнейших инструкций.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru