222.01
Rating
«Лаборатория Касперского»
Ловим вирусы, исследуем угрозы, спасаем мир
1 April 2018

Security Week 11: сомнительные новости банковской направленности, убийца майнеров, имитация банка

«Лаборатория Касперского» corporate blogInformation Security
Новость
А вот любопытная свеженькая находка наших коллег. Некие предприимчивые товарищи решили снабдить публику необычными новостями. Впрочем, новости были так себе: не очень свежий эксплойт IE да троян Buhtrap, известный с 2014 года. И все это добро вывесили на ряд российских новостных сайтов, откуда и раздавали читателям. Незаметно, разумеется.

Эксплойт для Internet Explorer (CVE-2016-0189), также известный как VBScript Godmode, злоумышленники писали не сами — попятили из открытого источника. Троян, по сути, тоже лишь слегка модифицировали. Он, кстати, всегда использовался для воровства денег со счетов юридических лиц. Так что, по всей видимости, и тут была попытка добраться до компьютеров финансистов.

Некоторое сомнение вызывает эффективность всего этого мероприятия. Много ли людей читает новости не на мобильных устройствах, а со стационарных компьютеров? Сколько из них до сих пор используют Internet Explorer, который не патчился с 2016 года? А среди них много ли было финансистов? Ну, впрочем, пусть анализом занимаются авторы этой малварной кампании.

Майнер против майнеров


Новость

Некий злоумышленник разработал чуть ли не первый в своем роде бесфайловый «черный майнер», подошел к задаче ответственно и дотошно… и за три недели кампании заработал всего ничего, долларов двести. Зато его код неожиданно помог создать инструмент против других майнеров.

Для того чтобы успешно функционировать без необходимости иметь в зараженной системе файл, это вредонос использует PowerShell. За умение не оставлять следов находку обозвали GhostMiner.

Как показало вскрытие, зловред потенциально способен заражать серверы под управлением MSSQL, phpMyAdmin и OracleWebLogic. Однако захваченные в дикой природе экземпляры искали в сети лишь случайные серверы WebLogic, проникая на них через уязвимость, описанную еще в прошлом октябре.

Попав в желанную кормушку, зловред запускал два скрипта PowerShell, которые подгружали в память два компонента. Один из них, слегка модифицированный XMRig, занимался собственно добычей Monero, другой отвечал за размножение заразы почкованием. Но самое интересное: майнер начинал работать только после того, как зловред устранял потенциальных конкурентов — всех прочих добытчиков криптовалюты, которые могли оказаться на сервере. При этом создатели GhostMiner проявили исключительное знание своего дела: они вшили в скрипт не только возможность удалять майнинговые процессы, пользуясь черными списками известных угроз, но и научили свое детище искать конкурентов по аргументам командной строки и TCP-портам, к которым подозрительные процессы подключались.

Решение в самом деле оказалось таким простым и удачным, что исследователи из Menerva Labs даже решили превратить его в инструмент, который они назвали MinerKiller и выложили на GitHub с минимальными изменениями. Своего рода признание невольных заслуг авторов зловреда на поприще кибербезопасности.

Не звоните, мы вам сами позвоним


Новость

Давно известный экспертам безопасности зловред FakeBank, который распространяется через социальные сети и сторонние магазины приложений (не Google Play), стал еще зловреднее. Раньше он только воровал финансовые и околофинансовые данные, а также перехватывал приходящие из банков SMS и мешал открывать легитимные банковские приложения.

Теперь же FakeBank научился перенаправлять звонки в банк на другие номера и, наоборот, маскировать номер телефона мошенников во время входящих вызовов, чтобы у пользователя складывалось впечатление, будто ему звонят из банка. Делается это за счет мухлежа с пользовательским интерфейсом.

Притворяясь сотрудниками банка, преступники выманивают ценные сведения: реквизиты карты и даже CVV-код. К счастью, в Android 8.0 Oreo приложениям уже не разрешается управлять интерфейсом, а потому владельцам телефонов с этой ОС новая версия зловреда не опасна.

Пока все атаки FakeBank 2.0 имели место только в Южной Корее, но и нам расслабляться не стоит: первая версия FakeBank целилась именно в российские банки.

Гороскоп


Вместо традиционных преданий старины глубокой, в этом выпуске мы решили рассказать о гороскопе, который поможет выжить в мире киберугроз. Кто вы по знаку зодиака — Набор торцевых головок или Камерный духовой оркестр? Малоадекватные практические советы вы можете найти вот тут.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.
Tags:эксплойттроянмайнерpowershellandroidзловредгороскоп
Hubs: «Лаборатория Касперского» corporate blog Information Security
+9
4.5k 5
Comments 2
Information Security Architect
Лаборатория КасперскогоМосква
Penetration Testing Specialist
Лаборатория КасперскогоМосква
Testing Engineer (Performance for Windows)
Лаборатория КасперскогоМосква
Security Researcher
Лаборатория КасперскогоМосква
Senior Security Researcher
Лаборатория КасперскогоМосква
Information
Founded

21 August 1997

Location

Россия

Employees

1,001–5,000 employees

Registered

9 August 2008