понедельник, 5 декабря 2011 г.

Carberp + BlackHole = рост ДБО инцидентов

В моем предыдущем сообщении я уже делал акцент на серьезном увлечении распространения троянской программы Carberp с легальных веб-сайтов, причем с довольно серьезной посещаемостью. В качестве эксплойтпака там всегда встречался BlackHole одной из последних версий. Например, в ноябре было замечено заражение таких ресурсов, как:
  • glavbukh.ru - скрытая переадресация на  jya56yhsvcsss.com/BVRQ (BlackHole)
  • ria.ru - скрытая переадресация на   aysh5tg2h3nk.com/BVRQ (BlackHole)

У этих сайтов большой объем целевой аудитории людей, которые имеют доступ к управлению финансами в различных организациях и немаленький процент из этих людей подверглись атаки и последующему заражению троянцем Carberp, который прославился своей ДБО ориентированностью.

Подводя итоги ноября мы были просто шокированы количеством предотвращенных заражений этой вредоносной программой. Помимо того, что она вошла в пятерку самых распространенных угроз по нашему региону обратите внимание на рост обнаружении в  ноябре месяце:



Как правило многие системы интернет-банкинга используют Java-компоненты для проверки корректности цифровой подписи  и у подавляющего большинства бухгалтеров стоит Java, причем зачастую далеко не последних версий. Пример того, как происходит проверка версии установленной версии Java в BlackHole:


Если посмотреть на Carberp последних версий, то у него появилось целевое расширение для cyberplat.plug и sber.plug, старый набор стандартных расширений (miniav, killav, passw) в последнее время нам встречался довольно редко. Как правило все расширения опубликованные в публичных директориях админки зашифрованы. Чаще всего встречается связка алгоритмов Base64( RC2(data) ), все шифруется автоматически скриптом на сервере при выкладывании соответствующих расширений. Так выглядит скрипт для зашифрования:


Новые плагины нацелены в первую очередь ДБО софт специфичный для этих платежных систем.


А вот пример параметров принимаемых админкой для отстука активных ботов:


Количество инцидентов связанных с мошенничеством в ДБО стремительно растет, а действий по их предотвращению совершается крайне мало. Мы будем продолжать следить за ситуацией совместно с нашими друзьями и коллегами из Group-IB и держать вас в курсе событий ;)