Новый шпион Masad использует ботов Telegram в качестве командного центра

Новый шпион Masad использует ботов Telegram в качестве командного центра

Недавно обнаруженная коммерческая шпионская программа, получившая имя «Masad», использует ботов Telegram в качестве командного центра (C2). Masad собирает информацию пользователей систем Windows и Android, а также может красть криптовалюту из кошельков жертв.

Согласно отчёту специалистов компании Juniper Threat Labs, одна из самых интересных особенностей этой шпионской программы — отправка собранных пользовательских данных Telegram-ботам. Эксперты считают, что это крайне интересная реализация C2-механизма.

Чтобы подключиться к боту, Masad отправляет сообщение getMe, используя заданный в коде токен — это позволяет убедиться, что бот все ещё активен. Уже после сбора данных вредонос упаковывает их в ZIP-архив (используется утилита 7zip, она встроена в бинарник Masad) и отправляет с помощью API sendDocument.

«При получении запроса бот отвечает строкой, содержащей его имя. Имя бота полезно для идентификации киберпреступной группы, которая пользуется этой вредоносной программой. Это ключевой момент, поскольку сам принцип шпиона Masad подразумевает, что разные группировки могут использовать его для разных целей», — пишут исследователи Juniper Threat Labs.

Специалисты насчитали более тысячи образцов Masad, используемых в реальных атаках. А в качестве C2 были задействованы 338 уникальных ботов Telegram.

Также отмечается, что разработчики шпионской программы создали специальную группу в Telegram для связи со своими потенциальными клиентами и технической поддержки. На сегодняшний день в этой группе состоят более 300 участников.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Банки приглашают присоединиться к апробации Fin-TrusT банкомат

Вполне достаточная причина для того, чтобы защищать банкомат, очевидна – в нем деньги лежат. Но насколько и как надо защищать железный ящик – до сих пор остается вопросом дискуссионным. Однако последнее слово в дискуссии – за регулятором, и оно уже сказано.

Применение СКЗИ высоких классов явно предписано нормативными методическими документами финансовой сферы: согласно Положению Банка России № 683-П, системно значимые кредитные организации, а также кредитные организации, значимые на рынке платежных услуг должны реализовывать усиленный уровень защиты информации (п. 3.1 Положения Банка России от 17 апреля 2019 г. № 683-п «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента») по ГОСТ Р 57580.1-2017 (ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. ЗАЩИТА ИНФОРМАЦИИ ФИНАНСОВЫХ ОРГАНИЗАЦИЙ. Базовый состав организационных и технических мер»). В данном ГОСТе для усиленного уровня защиты информации предписывается использование СКЗИ, имеющих класс не ниже КС2. Эти требования в первую очередь касаются именно контуров банковской инфраструктуры, предназначенных для работы банкоматов.

Недавно получено заключение ФСБ о соответствии СКЗИ Dcrypt 1.0 v.2 классу КС2 (вариант исполнения 29) и КС3 (вариант исполнения 30) при исполнении на специализированном компьютере с аппаратной защитой данных m-TrusT (криптошлюз на базе этих исполнений СКЗИ носит в линейке производителя – компании «ТСС» – название МКСЗ «Diamond VPN/FW». Версия VPN. Серия 0).

m-TrusT – это защищенный микрокомпьютер разработки ОКБ САПР. Получение такого Заключения подтверждает, что m-TrusT обеспечивает среду функционирования криптографии для СКЗИ высоких классов и аналогичные заключения могут быть получены и для других СКЗИ, если на то будет желание вендора.

Важно понимать, что m-TrusT – это одноплатный компьютер, «мезонин», устанавливаемый непосредственно в защищаемый объект, или подключаемый к нему с помощью интерфейсной платы – не выполняющей никаких преобразований информации, а лишь обеспечивающей технологическую и конструктивную совместимость.

Уже сейчас имеется линейка интерфейсных плат, и их разработка может выполняться по заказу – для коммутации с другими техническими средствами.

Одним из продуктов данной серии является «fin-TrusT банкомат», входящий в линейку криптошлюзов для финансовых организаций: 

  1. «fin-TrusT банкомат» – криптошлюз в технологическом корпусе для установки в банкоматы с возможностью поддержки 2 и более операторов мобильного интернета.
  2. «fin-TrusT офис» – криптошлюз в корпусе одноюнитового сервера для установки в бэк- или фронт-офис до 50 абонентских устройств.
  3. «fin-TrusT центр» – сервер VPN для установки в ЦОД или серверную стойку головного отделения.

Устройство поддерживает одновременную работу нескольких независимых каналов связи. К примеру, могут быть подключены 2 Ethernet от различных провайдеров и/или 2 LTE-модема различных операторов связи. Это позволяет продолжить работу даже при отказе одного из каналов, что повышает отказоустойчивость и является актуальной задачей именно для банкоматов.

«Fin-TrusT банкомат» уже прошел апробацию в банкоматах одного из передовых коммерческих банков и теперь, с учетом этого опыта и завершения сертификации ФСБ России, пришло время провести опытную эксплуатацию решения в банкоматах на предмет удобства его применения с конструктивной точки зрения: насколько удобно расположение портов, крепежных элементов, нет ли затруднений при обслуживании. Банки, участвующие в опытной эксплуатации, смогут сформулировать свои пожелания к адаптации серийного корпуса с учетом особенностей именно своих банкоматов. Разработчики приглашают банки присоединиться к апробации. Подать заявку можно по электронной почте [email protected].

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru