Menu

Троянець Carberp краде гроші за новою методикою

Компанія ESET попереджає про появу нової модифікації троянської програми Carberp, здатної використовувати легальне ПО для розкрадання грошових коштів.

В результаті аналізу трояна Carberp фахівцями ESET було встановлено, що шкідливий код почав використовувати спеціальну Java-бібліотеку з відкритим вихідним кодом (т.з. Javassist). З її допомогою Carberp може модифікувати банківське, засноване на мові програмування Java.

 

Троянец Carberp ворует деньги по новой методике
Постраждалі від Carberp регіони за останній місяць

Хакерська група Carberp була однією з перших кіберзлочинних груп, які шкідливі програми для масового зараження систем віддаленого банківського обслуговування. І хоча влітку 2012 року багато члени групи Carberp були арештовані, сімейство цих шкідливих програм зберігає високу активність, особливо в Росії і на Україні.

"Ми спостерігаємо за Carberp досить давно і можемо розділити час його активності на два великих періоду: упевнене зростання до літа 2012 року і впевнений спад після. Таке падіння активності цього шкідливого коду пов'язано, насамперед, з арештами членів цієї кіберзлочинності групи, які займалися його дистрибуцією і розповсюдженням. В той же час ми відзначаємо, що код бота продовжував свій розвиток незважаючи ні на що. Це є додатковим свідченням того, що написання та поширення шкідливого коду можуть здійснюватися різними особами або групами осіб",- говорить старший вірусний аналітик ESET Артем Баранов.

Головною метою нової версії Carberp є модифікація програмного комплексу iBank 2 компанії БІФІТ, який широко застосовується для дистанційного банківського обслуговування користувачів в Росії і на Україні. Для досягнення цієї мети Carberp використовує шкідливий java-модуль, який детектується ESET як Java/Spy.Banker.AB. Функціонал даного модуля дозволяє обходити системи двофакторної аутентифікації з використанням одноразових паролів.

Ще однією особливістю шкідливого модуля Java/Spy.Banker є застосування легітимною бібліотеки для модифікації коду банківського ПЗ; така методика дозволяє Carberp краще ховатися в системі і ускладнює розпізнавання загрози антивірусними продуктами.

"Киберпреступная група Carberp однією з перших почала цілеспрямовано атакувати популярні ДБО системи на території Росії і України. Збиток, нанесений цими кіберзлочинцями, обчислюється мільярдами рублів; методи їх атак постійно розвиватися. Нам вдалося зафіксувати використання нового шкідливого компонента, цілеспрямовано атакуючого системи дистанційного банківського обслуговування iBank2, побудовані на базі програмного забезпечення компанії БІФІТ, - коментує керівник центру вірусних досліджень і аналітики ESET Олександр Матросів. - На момент проведення нашого дослідження шкідливий компонент Java/Spy.Banker.AB мав вкрай низький рівень виявлення з боку інших постачальників антивірусного пз через своїх технологічних особливостей і використання легальної бібліотеки для модифікації Java байт-коду у процесі активності iBank2-клієнта" .

Після успішного зараження ПК і впровадження у клієнт системи дистанційного банківського обслуговування, зловмисники одержують можливість контролювати всі платежі, які користувач здійснює за допомогою цього банківського пз. Комплекс iBank2 не перевіряє цілісність свого коду і може здійснювати грошові транзакції навіть після модифікації.

|