Троян Javali использует легитимный файл антивируса Avira в атаках

Троян Javali использует легитимный файл антивируса Avira в атаках

Банковский троян Javali, разрабатываемый киберпреступниками из Латинской Америки, серьёзно прибавил по части функциональности: вредоносная программа задействует компоненты легитимных антивирусных продуктов.

Javali активен с ноября 2017 года, его операторы атакуют преимущественно организации банковского и финансового сектора. Вредонос заимствует часть функций у своих собратьев по геолокации — схожими методами оперируют и другие трояны из Латинской Америки: Grandoreiro, URSA (Mispadu), Lampion, Vadokrist,  Amavaldo, Casbaneiro (Metamorpho) и Mekotio.

Киберпреступники распространяют Javali с помощью фишинговых писем, которые доставляют жертве дроппер в виде VBS-файла (также используются форматы JScript и MSI). Этот дроппер загружает из облака AWS или Google загрузчик трояна, а далее уже вступает в дело написанный на Delphi зловред.

Вредоносная DLL Javali внедрялась непосредственно в память системы, а в папке автозагрузки появлялся файл с расширением .lnk. Также для обеспечения автозапуска троян иногда создавал ключ реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.

Согласно анализу исследователей, Javali использует легитимный файл антивируса Avira.exe, который разрабатывает одноимённая компания. Благодаря безобидному компоненту злоумышленникам удаётся загрузить в память библиотеку Avira.OE.NativeCore.dll.

Avira.OE.NativeCore.dll является вредоносной копией стандартной библиотеки антивирусного продукта Avira.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Иннопром: в индустрию 4.0 важны аналитика и кибербезопасность

Тема защищенности железа и софта становится ключевой для промышленников. Топ-менеджеры предприятий требуют от отечественных разработчиков статистику возможных ошибок в сравнении с ушедшими из России вендорами. Эксперты отвечают: так ставить вопрос нельзя.

Безопасно извлечь данные и проанализировать информацию — два параметра, которые отличают “Четвертую промышленную революцию” от версии 3.0. Тему обсуждали на сессии “Российские технологии и решения для перехода к индустрии 4.0”. В Екатеринбурге в эти дни проходит ежегодная выставка Иннопром.

Директора заводов и фабрик “доросли” до понимания современных уровней интеграций на производстве. Это:

  1. Подключаемые периферийные устройства 
  2. Сбор данных, их обработка 
  3. Аналитика, сервис и кибербезопасность всего процесса

Связь одного с другим, интеграцию и потребность в защищенности признавали все участники панели.

“Сейчас время объединяться, — говорит Николай Ладыгин, первый заместитель гендиректора по рынкам "Энергетика" и "Автоматизация" ГК Систэм Электрик. — Мы, как эксперты в области аппаратных систем, не должны быть лучшими айтишниками. Нужно искать партнеров по софту, чтобы создавать эффективную локальную структуру”.

По словам Ладыгина, такая софтверная архитектура позволит промышленности работать рациональнее, эффективнее и безопаснее. Затронули и вопрос защищённой передачи данных. Умные датчики снимают параметры и передают информацию “наверх”.

“В контексте безопасности мы видим сейчас огромное количество новых устройств в IoT, — комментирует историю гендиректор «Адаптивных промышленных технологий» Максим Карпухин. — Наши сквозные проекты представляют собой готовые решения для кибербезопасности промышленного сектора”.

“Дочка” Kaspersky накануне представила на Иннопроме новый шлюз по киберзащите.

По словам Карпухина, современный ответ — не ставить “заплатку” на появившуюся уязвимость, а “формировать” кибериммунитет всей системы. Промышленников также волновало, кто из вендоров допускает больше ошибок в киберзащите — зарубежные или отечественные.

“Дырки” являются следствием ошибок людей, комментирует проблему для Anti-Malware.ru Дмитрий Лукиян, руководитель департамента платформенных решений на базе операционной системы KasperskyOS.

“Это зависит от инженерной подготовки, — объясняет Лукиян. — Если мы будем сравнивать количество ошибок в России и за рубежом, оно будет примерно одинаковым”.

Специальную статистику Kaspersky не ведет, но считает некорректным саму постановку вопроса.

“Решает человеческий фактор, — продолжает Лукиян. — Если мы возьмем всех вендоров, я уверен, получим примерно одинаковое распределение по ошибкам”.

Проблемы кибербеза у всех одни и те же — кадровый голод, очевидные проблемы платформы и языков программирования.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru