Программное обеспечение, Web технологии и Интернет
  •  Email RSS
  • Twitter

АТАКИ НА СИСТЕМЫ ДБО

Сама идея троянов, ворующих учетные данные пользователей

ДБО, не нова. Для противодействия им была придумана технология двухфакторной аутентификации. Однако методы кражи учетных данных с каждым годом становятся все изощреннее. Бурное развитие технологий, в частности массовое распространение смартфонов, играет на руку злоумышленникам и создает лазейки для обхода двухфакторной аутентификации. Первопроходцами в этом деле стали семейства Zeus и SpyEye. Схема обхода следующая:

1. Персональный компьютер заражается каким-либо способом — например через PDF- или doc-файл, пришедший по почте.

2. В момент, когда пользователь логинится на сайт банка, троян на лету прямо в браузере модифицирует HTML-страницу при помощи веб-инжекта и добавляет поля «Номер мобильного телефона» и «Версия мобильной ОС» (Android,

BlackBerry, iOS, Symbian или другая).

3. После ввода данных пользователем они отправляются на командный сервер злоумышленникам.

4. Пользователю приходит SMS со ссылкой на приложение для его телефона. В терминологии антивирусных контор приложения получили названия ZitMo (Zeus-in-the-Mobile) и SpitMo (SpyEye-in-the-Mobile), чуть позже к ним присоединился CitMo (Carberp-in-the-Mobile).

5. После закрепления на смартфоне у злоумышленников есть все необходимое — логин, пароль и канал доставки SMS с кодом, запрос на транзакцию поступает в банк.

6. Банк высылает SMS.

7. Троян в смартфоне скрытно, не показывая пользователю, отсылает на командный центр полученный в SMS mTan, при помощи которого злоумышленники подтверждают транзакцию.

В схеме возможны вариации, например, ссылка на мобильную версию зловреда может внедряться прямо в страницу банка в виде QR-кода. Также некоторые банки фиксируют

IP клиента, и в этом случае транзакция инициируется трояном с зараженной машины, которая выступает в качестве своеобразного прокси. К слову сказать, двухфакторная аутентификация более распространена в Европе, чем в Америке, поэтому

ZitMo и SpitMo в большей степени ориентированы на Евросоюз.

В противовес этому CitMo, да и сам Carberp был ориентирован на пользователей из России.

В качестве одного из последних громких дел с уводом денежных средств можно вспомнить акцию Eurograbber, раскрытую в конце 2012 года. Согласно отчету компаний Check Point

Software Technologies и Versafe, денежные средства на сумму около 36 миллионов евро были украдены с более 30 тысяч корпоративных и частных банковских счетов. В ходе акции

Eurograbber использовалась очередная модификация Zeus на пару с ZitMo.

Из последних новинок в сфере банковских троянов эксперты отмечают появление весной 2013 года нового варианта трояна Gozi. Последняя его версия, обнаруженная сотрудниками компании Trusteer, содержит функционал MBR-буткита.

В качестве более надежной защиты при банковских транзакциях выступают аппаратные девайсы — токены, которые содержат в себе закрытые ключи для реализации технологии электронной цифровой подписи. Однако и здесь киберпреступникам есть чем ответить. Достаточно лишь получить полный доступ к удаленному рабочему столу ПЭВМ-жертвы. Организуется такой доступ, как правило, посредством VNC, благо в Сети полно исходных кодов таких серверов, для примера — проекты UltraVNC и TightVNC. Кстати, именно на основе последнего созданы две полезные нагрузки в Metasploit — win32_bind_vncinject и win32_reverse_vncinject. Эти нагрузки представляют собой DLL, запускающие на локальной машине VNC-сервер с поддержкой прямого (мы коннектимся к атакуемой машине) и обратного (атакуемая машина коннектится к нам) соединений. Отдельные виды малвари юзают свою собственную реализацию VNC-сервера, например Zeus и Citadel.

Кроме VNC, можно попробовать использовать «легитимные» утилиты удаленного администрирования, слегка подрихтовав их напильником.

Именно так поступают создатели трояна Carberp, ориентированного на кражу банковских реквизитов. Используемые ими продукты: в 2010 году —

BeTwin Thinsoft for RDP и TeamViewer, в 2011-м — Mipko Personal Monitor и в 2012-м — Ammyy Admin. Их исполняемые модули не модифицировались, что позволяло сохранить легальную цифровую подпись — на первых порах это неплохо сбивало с толку антивирусные продукты. Злоумышленники просто создавали вредоносную DLL с именем одной из импортируемых библиотек, например tv.dll для TeamViewer, а оригинальную переименовывали (в ts.dll). Библиотека tv.dll передавала код доступа к компьютеру на управляющий сервер и служила переходником к ts.dll, из которой вызывались оригинальные функции. Все компоненты помещались в самописный инсталлятор

(дроппер), который сохранял их в каталоге, доступном на запись (Application

Data), и прописывал в автозагрузку. В 2010-м подобные вещи часто делали с Remote Admin, да и теперь на форумах спрашивают иногда, хотя все уже на ура палится. Между прочим, данный метод сейчас активно используется и в шпионских целях. По результатам анализа Центра глобальных исследований и анализа угроз «Лаборатории Касперского» (GReAT), одна из киберпреступных групп, названная TeamSpy Crew, провела серию целевых атак, направленных против политических деятелей и правозащитников на территории СНГ и восточноевропейских стран, при этом для организации несанкционированного доступа использовалась как раз «зловредная» версия

TeamViewer.

Притом что еще за неделю до этого они были выставлены на продажу за 50 тысяч долларов.

• LPE-эксплойты.

• hdet;

• Zeus;

• SpyEye;

• Vundo;

Подборка впечатляет. Кому была выгодна такая утечка, пока под большим вопросом, но факт остается фактом — исходники доступны всем желающим. И огромное количество людей сейчас исследуют их со всех сторон.

Заражение Trojan.Encoder.205 и Trojan.

Encoder.215 происходит с использованием массовой рассылки сообщений электронной почты

Категории: Безопасность

Файлообменник без регистрации

Несведущие люди могут думать о том, что Интернет — это [...]

Как заработать деньги на форуме?

Сейчас можно легко заработать на форуме. Этот метод заработка доступен [...]

"Киевстар" рассказал об успехах

  Украинскому оператору связи «Киевстар» по итогам II квартала удалось [...]

Twitter снова купил рекламный стартап

Руководство Twitter завершило сделку по приобретению рекламного стартапа, который носит [...]

Системы электронных платежей

Существует очень большое количество сервисов, которые помогают перевести средства через [...]

Яндекс прощается с рейтингом блогов

Поиск по блогам Яндекса прекратил поддержание рейтинга блогеров и блогхостингов, [...]

Бразильский интернет станет безопаснее

Парламент Бразилии внес законопроект о безопасности интернета, работу над которым [...]

Баннерная реклама в Интернете

В интернете существует множество видов рекламы, одним из этих видов [...]