Банковский троян Carberp использует новые техники атак на популярные клиенты систем ДБО
Появилась новая модификация троянской программы Carberp, способной использовать легальное ПО для хищения денежных средств, а также обходить механизм двухфакторной аутентификации с применением одноразовых паролей. Об этом говорится в сообщении компании ESET.
Эксперты вирусной лаборатории компании обнаружили новую версию банковского трояна Carberp. В результате его анализа было установлено, что вредоносный код начал использовать специальную Java-библиотеку с открытым исходным кодом (т.н. Javassist). С ее помощью Carberp может модифицировать банковское ПО, основанное на Java.
Хакерская группа Carberp была одной из первых киберпреступных групп, использовавших вредоносные программы для массового заражения систем удаленного банковского обслуживания. И хотя летом 2012 года многие члены группы Carberp были арестованы, семейство этих вредоносных программ сохраняет высокую активность, особенно в России и на Украине. Ущерб, нанесенный хакерами, использующими эту вредоносную программу составляет несколько миллиардов рублей.
Основной целью новой версии Carberp является модификация программного комплекса iBank 2 компании БИФИТ, который широко применяется для дистанционного банковского обслуживания пользователей в России и на Украине. Для достижения этой цели Carberp использует вредоносный java-модуль, который детектируется ESET как Java/Spy.Banker.AB. Функционал данного модуля позволяет обходить системы двухфакторной аутентификации с использованием одноразовых паролей.
«Экспертам удалось зафиксировать использование нового вредоносного компонента, целенаправленно атакующего системы дистанционного банковского обслуживания iBank2, построенные на базе программного обеспечения компании БИФИТ, — говорит руководитель центра вирусных исследований и аналитики ESET Александр Матросов. — На момент проведения нашего исследования вредоносный компонент Java/Spy.Banker.AB имел крайне низкий уровень обнаружения со стороны других поставщиков антивирусного ПО ввиду своих технологических особенностей и использования легальной библиотеки для модификации Java байт-кода в процессе активности iBank2-клиента.»
После успешного заражения ПК и внедрения в клиент системы дистанционного банковского обслуживания, злоумышленники получают возможность контролировать все платежи, которые пользователь осуществляет при помощи этого банковского ПО. Комплекс iBank2 не проверяет целостность своего кода и может осуществлять денежные транзакции даже после модификации.
Еще одной особенностью вредоносного модуля Java/Spy.Banker является применение легитимной библиотеки для модификации кода банковского ПО; такая методика позволяет Carberp лучше скрываться в системе и усложняет распознавание угрозы антивирусными продуктами.
Артем БАРАНОВ, старший вирусный аналитик ESET:
— Мы наблюдаем за Carberp достаточно давно и можем разделить время его активности на два больших периода: уверенный рост до лета 2012 года и уверенный спад после. Такое падение активности этого вредоносного кода связано, прежде всего, с арестами членов этой киберпреступной группы, которые занимались его дистрибуцией и распространением. В то же время мы отмечаем, что код бота продолжал свое развитие несмотря ни на что. Это является дополнительным свидетельством того, что написание и распространение вредоносного кода могут осуществляться разными лицами или группами лиц.