iFin-2011
На главную - Поиск - Карта сайта - Письмо
iFin-2017 - XVII Международный Форум, посвященный дистанционным финансовым услугам и технологиям



Код BlackEnergy используется для кражи персональных данных клиентов российских банков

21.06.2010

По информации представителя SecureWorks (США), Джо Стюарт (Joe Stewart), группа злоумышленников использует новую версию вредоносного кода BlackEnergy для кражи паролей к системам online-банкинга ряда российских и украинских банков.

Одной из отличительных особенностей BlackEnergy 2 является система плагинов, которая позволяет ему выполнять на зараженных компьютерах самые разные действия. Более того, разработкой плагинов может заниматься каждый, кто имеет в своем распоряжении копию этого кода.

Как полагает Дж. Стюарт, набор плагинов «по умолчанию» включает 3 модуля для DDoS-атак, совместный функционал которых соответствует возможностям первого BlackEnergy.

Однако в руки исследователя попали и другие, менее распространенные плагины. Один из них предназначен для рассылки спама, а два других используются для кражи денег со счетов «большого количества российских и украинских банков». Во всех этих системах online-банкинга используется Java-апплет, который загружает со съемного носителя пользовательский приватный ключ, необходимый для аутентификации.

Код реагирует на открытие файлов с приватным ключом с последовательностью символов «iBKS», а также на банковский плагин knab (модуль «ibank.dll»). Кроме того, вредоносный код следит за набираемыми пользователем зараженного компьютера паролями, которые отсылает своим хозяевам вместе с URL-ом страницы с формой логина. Стюарт отмечает, что этот плагин внедряется в процессы iexplore.exe, firefox.exe, flock.exe, opera.exe и java.exe.

Второй плагин, kill, используется в паре с knab. Когда злоумышленники получают необходимую им информацию (логин, пароль и приватный ключ) и собираются использовать ее для опустошения банковского счета, они дают команду на порчу всех разделов жестких дисков компьютера жертвы с последующим выключением системы, с тем чтобы пользователь не смог какое-то время подключиться к своему счету.

По материалам xakep.ru

Источник: журнал ПЛАС




  поиск:

     
На главную - Поиск - Карта сайта - Письмо

.
Rambler's Top100
создание сайта: Aplex