Показано с 1 по 2 из 2.

Новый BlackEnergy грабит банки России и Украины

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3166

    Новый BlackEnergy грабит банки России и Украины

    Группа злоумышленников использует новую версию трояна BlackEnergy для кражи паролей к системам онлайн-банкинга ряда российских и украинских банков. О своём исследовании этого вредоноса рассказал на конференции FIRST Джо Стюарт (Joe Stewart) из SecureWorks, сообщает The Register.

    BlackEnergy в своё время был хорошо известен как DDoS-троян. Однако в августе 2008 года появился новый троянский инструментарий, который Стюарт называет BlackEnergy 2. Он имеет много общего с предшественником и явно написан тем же человеком, однако представляет собой значительно более сложную и гибкую программу.

    Одной из отличительных особенностей BlackEnergy 2 является система плагинов, которая позволяет ему выполнять на заражённых компьютерах самые разные действия. Более того, разработкой плагинов может заниматься кто угодно, имеющий в своём распоряжении копию этого тулкита.

    У Стюарта такой копии не было, он изучал лишь конечные исполняемые модули, поэтому в некоторых случаях ему приходилось строить догадки. В частности, он полагает, что набор плагинов "по умолчанию" включает три модуля для DDoS-атак, совместный функционал которых соответствует возможностям первого BlackEnergy.

    Однако в руки исследователя попали и другие, менее распространённые плагины. Один из них предназначен для рассылки спама, а два других используются для кражи денег со счетов "большого количества российских и украинских банков". О каких именно банках идёт речь, Стюарт не уточняет, однако говорит, что всех этих системах онлайн-банкинга используется Java-апплет, который загружает со съёмного носителя пользовательский приватный ключ, необходимый для аутентификации.

    Если вы работаете со своим банком по такой схеме, проверьте, не начинается ли файл с вашим приватным ключом с последовательности символов "iBKS". Открытие именно таких файлов очень интересует банковский плагин knab (модуль "ibank.dll"). Кроме того, он следит за набираемыми пользователем заражённого компьютера паролями, которые отсылает своим хозяевам вместе с URL-ом страницы с формой логина. Стюарт отмечает, что этот плагин внедряется в процессы iexplore.exe, firefox.exe, flock.exe, opera.exe и java.exe.

    Второй плагин, kill, используется в паре с knab. Когда злоумышленники получают необходимую им информацию (логин, пароль и приватный ключ) и собираются использовать её для опустошения банковского счёта, они дают команду на порчу всех разделов жёстких дисков компьютера жертвы с последующим выключением системы, с тем чтобы пользователь не смог какое-то время подключиться к своему счёту.

    Интересно, что в конце прошлого года The Wall Street Journal, ссылаясь на анонимные источники, уверял, что злоумышленники "нагрели" клиентов Citibank на десятки миллионов долларов — как раз при помощи модифицированной версии BlackEnergy. Тогда мы предположили, что журналисты издания что-то напутали, тем более что Citibank всячески отрицал факт кражи. Однако, учитывая, что BlackEnergy действительно обзавёлся новым функционалом, не исключено, что доля правды в том сообщении всё-таки была.
    http://www.webplanet.ru/news/securit...ckenergy2.html
    http://club-symantec.ru/forum.php

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    786
    Black Energy 2? Хм, если немножко постараться, то можно найти 2.1 с исходниками sdt. Стюарт как-то оплошал

Похожие темы

  1. Новый срок за нелегальное ПО Microsoft в России
    От wise-wistful в разделе Другие новости
    Ответов: 2
    Последнее сообщение: 26.03.2008, 12:56
  2. Ответов: 3
    Последнее сообщение: 17.05.2006, 13:23

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00744 seconds with 16 queries