RSS-каналы
Уровень опасности: 1
Главная→Блог→Инциденты→ 8 июн 2011→Зловреды, крадущие финансовые данные, на Amazon Web Services
Зловреды, крадущие финансовые данные, на Amazon Web Services
Эксперт «Лаборатории Касперского»
опубликовано 8 июн 2011, 11:32 MSK
Сюжеты: Онлайн-банкинг, Cloud Computing
Недавно появились сообщения о том, что «облачные» сервисы компании Amazon были успешно использованы злоумышленниками для атак на Sony. А на днях я обнаружил, что с помощью Amazon Web Services (того самого «облака») распространяются зловреды, крадущие финансовые данные.
Есть все основания полагать, что за этими атаками стоят киберпреступники из Бразилии. Для распространения вредоносных программ они использовали несколько заранее зарегистрированных аккаунтов. Я официально уведомил Amazon о происходящем. Увы, спустя более 12 часов все вредоносные ссылки по-прежнему были активными. Стоит отметить, что киберпреступники все чаще используют возможности легитимных «облачных» сервисов в криминальных целях.
Теперь несколько слов о зловредах, размещенных на Amazon Web Services. Все они загружаются на компьютеры пользователей, а затем выполняют различные вредоносные функции:
- Руткит-функционал: ищут четыре антивирусных программы, а также специализированное приложение GBPlugin, используемое многими бразильскими банками для обеспечения безопасности банковских операций онлайн, и препятствуют их нормальной работе:
\Device\HarddiskVolume1\Arquivos de programas\AVG\AVG10\avgwdsvc.exe
\Device\HarddiskVolume1\Arquivos de programas\AVG\AVG10\avgchsvx.exe
\Device\HarddiskVolume1\Arquivos de programas\AVG\AVG10\avgtray.exe
\Device\HarddiskVolume1\Arquivos de programas\AVG\AVG10\avgrsx.exe
\Device\HarddiskVolume1\Arquivos de programas\AVG\AVG10\avgcsrvx.exe
\Device\HarddiskVolume1\Arquivos de programas\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSAgent.exe
\Device\HarddiskVolume1\Arquivos de programas\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSMonitor.exe
\Device\HarddiskVolume1\Arquivos de programas\AVG\AVG10\avgnsx.exe
\Device\HarddiskVolume1\Arquivos de programas\Alwil Software\Avast5\AvastUI.exe
\Device\HarddiskVolume1\Arquivos de programas\Alwil Software\Avast5\AvastSvc.exe
\Device\HarddiskVolume1\Arquivos de programas\Avira\AntiVir Desktop\avscan.exe
\Device\HarddiskVolume1\Arquivos de programas\AVG\AVG8\avgupd.exe
\Device\HarddiskVolume1\Arquivos de programas\Alwil Software\Avast4\VisthUpd.exe
\Device\HarddiskVolume1\Arquivos de programas\Avira\AntiVir Desktop\avupgsvc.exe
\Device\HarddiskVolume1\Arquivos de programas\Alwil Software\Avast5\AvastUI.exe
\Device\HarddiskVolume1\Arquivos de programas\ESET\ESET NOD32 Antivirus\updater.dll
\Device\HarddiskVolume1\Arquivos de programas\GbPlugin\gbpsv.exe
\Device\HarddiskVolume1\Arquivos de programas\GbPlugin\gbiehcef.dll
\Device\HarddiskVolume1\Arquivos de programas\GbPlugin\gbieh.gmd
\Device\HarddiskVolume1\Arquivos de programas\GbPlugin\cef.gpc
\Device\HarddiskVolume1\Arquivos de programas\GbPlugin\gbieh.dll
\Device\HarddiskVolume1\Arquivos de programas\GbPlugin\gbpdist.dll
\Device\HarddiskVolume1\Arquivos de programas\GbPlugin\bb.gpc
\Device\HarddiskVolume1\Arquivos de programas\GbPlugin\gbpkm.sys
\Device\HarddiskVolume1\WINDOWS\system32\scpsssh2.dll
\Device\HarddiskVolume1\WINDOWS\system32\drivers\gbpkm.sys
\Device\HarddiskVolume1\WINDOWS\Downloaded Program Files\scpsssh2.inf
\Device\HarddiskVolume1\WINDOWS\Downloaded Program Files\abn.gpc
\Device\HarddiskVolume1\WINDOWS\Downloaded Program Files\erma.inf
\Device\HarddiskVolume1\WINDOWS\Downloaded Program Files\gbieh.gmd
\Device\HarddiskVolume1\WINDOWS\Downloaded Program Files\gbiehabn.dll
\Device\HarddiskVolume1\WINDOWS\Downloaded Program Files\gbiehuni.dll
\Device\HarddiskVolume1\WINDOWS\Downloaded Program Files\GbPluginABN.inf
\Device\HarddiskVolume1\WINDOWS\Downloaded Program Files\GbPluginuni.inf
\Device\HarddiskVolume1\WINDOWS\Downloaded Program Files\uni.gpc
\Device\HarddiskVolume1\Arquivos de programas\GbPlugin\gbiehuni.dll
\Device\HarddiskVolume1\Arquivos de programas\GbPlugin\uni.gpc
\Device\HarddiskVolume1\Arquivos de programas\Scpad\scpIBCfg.bin
\Device\HarddiskVolume1\Arquivos de programas\Scpad\scpMIB.dll
\Device\HarddiskVolume1\Arquivos de programas\Scpad\scpsssh2.dll
\Device\HarddiskVolume1\Arquivos de programas\Scpad\sshib.dll
\Device\HarddiskVolume1\Arquivos de programas\GbPlugin\gbiehscd.dll
\Device\HarddiskVolume1\Arquivos de programas\GbPlugin\gbpdist.dll
\Device\HarddiskVolume1\Arquivos de programas\GbPlugin\scd.gpc
\Device\HarddiskVolume1\Arquivos de programas\GbPlugin\GbpSv.exe
- Крадут финансовые данные клиентов 9 бразильских и 2 международных банков
- Крадут регистрационные данные пользователей Microsoft Live Messenger
- Крадут цифровые сертификаты, используемые для eToken-аутентификации
- Крадут информацию о процессоре, серийный номер жесткого диска, имя компьютера и т.д. (некоторые латиноамериканские банки запрашивают эти данные в процессе аутентификации пользователя)
- Передают украденные данные киберпреступникам двумя способами: по электронной почте на адрес в Gmail, а также с помощью специального php-кода, помещающего данные в удаленную базу
Все образцы детектируются «Лабораторией Касперского» под следующими названиями:
Trojan-Downloader.Win32.Murlo.lib Trojan-PSW.Win32.MSNer.a Trojan-Banker.Win32.Banz.iok Trojan-Banker.Win32.Banker.blpm Trojan-Downloader.Win32.Homa.fgx Trojan-Banker.Win32.Banker.blbt
Надеюсь, что в ближайшее время Amazon деактивирует все вредоносные ссылки. Не вызывает сомнения, что злоумышленники и дальше будут использовать легитимные «облачные» сервисы для проведения кибератак. Администраторам «облачных» систем следует заняться совершенствованием систем мониторинга и расширить штат специалистов по IT-безопасности, чтобы сократить количество вредоносных атак, проводимых с использованием их сервисов.
|
09 июн 2011, 00:51
Руткит-функционал Руткит (англ. rootkit, т.е. 'набор root'а') - программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе. (источник: http://ru.wikipedia.org/wiki/Руткит) |
|
3 |
Re: Руткит-функционал
В чём по вашему может быть ошибка? Из года в год зловреды становятся изощреннее, а их функционал совершеннее и шире. Функционал- это то на что он (зловред) запрограммирован. Одни скрывают присутствие, другие продиводействуют антивирусам. Хуже всего то, что в последнее время угроза RootKit становится все более актуальной, т.к. разработчики вирусов, троянских программ и шпионского программного обеспечения начинают встраивать RootKit-технологии в свои вредоносные программы. Вы прочитали общее определение rootkit, на самом деле всё значительно шире и глубже.
|
4 |
Re: Руткит-функционал
Можно конечно подисскутировать на тему того, что для осуществления "активного противодействия антивирусам" необходимо обладать админскими привилегиями, работать в нулевом кольце и т.д. и что это автоматически дает и возможности по скрытию себя в системе и делает программу руткитом. или о том, что под "активным противодействием" при желании можно понимать и скрытие в системе от антивирусов, и т.д.
Но, не буду, ибо твое желание побыть грамар-наци в этой ситуации вполне логично :)
Ок, возможно автор выразился неправильно.
Также в аналитике
В блоге
© ЗАО «Лаборатория Касперского», 1997-2013
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей.
Мнение авторов может не совпадать с официальной позицией «Лаборатории Касперского».