Раскрыты подробности о вредоносном ПО, атаковавшем польские банки
Специалисты компании Trend Micro опубликовали отчет, посвященный анализу вредоносного ПО Ratankba, использовавшегося в атаках на ряд банков в Польше, а также финансовые организации в Мексике, Великобритании, Уругвае и Чили. По данным исследователей, целью злоумышленников были не только банки, но и различные компании в сфере телекоммуникаций, информационных технологий, страхования, а также образовательные учреждения и авиаперевозчики.
В рамках кампании киберпреступники компрометировали легитимные сайты и внедряли вредоносный код JavaScript, который собирал информацию о браузерах посетителей и загружал эксплоиты с ресурсов, где размещались наборы эксплоитов. По словам экспертов, некоторые взломанные ресурсы содержали вредоносное ПО и ряд подозрительных файлов, в частности бэкдор BKDR_DESTOVER.ADU, предназначенный для хищения информации, файлы .swf и .xap (включал модифицированную версию эксплоита для уязвимости в Silverlight, позволяющей удаленно выполнить код), а также банковский троян.
Процесс инфицирования состоит из нескольких этапов и включает использование различного вредоносного ПО и C&C-серверов, причем финальная полезная нагрузка доставляется только на системы интересующих злоумышленников жертв.
В одном из случаев вредонос Ratankba загружал со скомпрометированного легитимного сайта (который также служил в качестве управляющего сервера) хакерский инструмент nbt_scan.exe и проводил рекогносцировку, собирая данные о работающих процессах, настройках подключения к интернету, информацию о пользователе и т.д.
Загруженный инструмент представлял собой программу, собиравшую сведения об IP-адресе, авторизованных пользователях и MAC-адресе. Полученная информация отправлялась злоумышленникам, которые на ее основе составляли профиль жертвы и пытались взломать сеть с помощью брутфорс-атаки.
По данным специалистов, число пострадавших от вредоносной кампании значительно больше, чем предполагалось ранее. Атаки затронули организации не только в СевернойЮжной Америке и Европе, но также в Гонконге, Тайване, Китае, Японии и Бахрейне.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш
