Trojan.Carberp: преступникам зачитан приговор

9 июля 2013 года

21 июня Печерский районный суд города Киева приговорил к пяти годам лишения свободы с отсрочкой на три года организатора и двух участников международной преступной группировки, занимавшейся созданием и распространением вредоносных компьютерных программ семейства Trojan.Carberp в России и на Украине. 19 марта 2013 года деятельность этой группировки была пресечена Службой безопасности Украины в результате спецоперации, проводившейся совместно с ФСБ России. В тот день наручники были надеты на 16 человек, причастных к разработке и распространению одной из опаснейших «банковских» троянских программ последних лет.

Последние два года Trojan.Carberp был настоящим бичом для клиентов дистанционного банковского обслуживания (ДБО) крупнейших российских и украинских банков. Разработанная несколько лет назад в России, эта вредоносная компьютерная программа была центральным элементом мощной преступной инфрастуктуры, созданной для хищения денежных средств как юридических, так и физических лиц. В нее входили разработчики, которые занимались не только совершенствованием самого троянца, но и дополнительных модулей, направленных на атаки против систем ДБО конкретных банков. Несколько тестировщиков следили за корректностью работы троянца параллельно с теми или иными системами ДБО, а также за тем, чтобы новые версии троянца были незаметны для антивирусных программ. Особая роль отводилась системному администратору, в задачу которого, помимо обеспечения безопасного общения членов группы между собой, входило также поддержание рабочей инфраструктуры, обслуживавшей всю ботсеть Trojan.Carberp.

Главари группировки фактически продавали так называемым “партнерам” лицензию на использование троянца и средства управления им (так называемую “админку”). В “админке” накапливалась информация о «зараженных» пользователях, на основе которой принимались решения о “заливах” — то есть о списании денежных средств со счетов жертв на счета так называемых “дропов”, через которые потом деньги либо выводились в подконтрольные преступникам коммерческие фирмы, либо обналичивались. После бесславного конца карьеры одного из “партнеров” группировки — “Гермеса” (он же “Араши”), владельца многомиллионной сети компьютеров-зомби, зараженных троянцем Carberp, арестованного российскими правоохранительными органами в июне 2012 года, интересы главарей группировки стали быстро смещаться из России на Украину. Фактически с августа 2012 года работа против клиентов украинских банков приобрела массовый характер. Кибермошенники, спрятавшись за многочисленными VPN-каналами и используя шифрованные каналы общения, чувствовали себя в полной безопасности, работая против банков той страны, где постоянно находились сами. Не гнушались они и тем, что отслеживали наиболее “интересных” клиентов среди жертв своих “партнеров” и самостоятельно производили хищения с их банковских счетов.

Специалисты антивирусной лаборатории “Доктор Веб” в течение почти двух лет вели кропотливую работу, помогая правоохранительным органам в изобличении преступников. Постоянно исследовались новые образцы опасного троянца, изучались новые векторы атаки злоумышленников. Достаточно сказать, что в настоящее время вирусная база Dr.Web содержит более 1200 разновидностей этой троянской программы. Высокая квалификация специалистов компании позволила разгадать многие инфраструктурные загадки, связанные с Trojan.Carberp, помогла идентифицировать многих участников группировки. Неоднократно специальный отдел “Доктор Веб” взаимодействовал с российскими и украинскими банками с целью предотвращения незаконного вывода похищенных денежных средств.

“В последнее время мы видим усиление притока талантливых молодых программистов в преступную среду, — говорит генеральный директор компании “Доктор Веб” Борис Шаров. — Во многом это объясняется бытующим мнением об относительной безнаказанности тех, кто создает и распространяет вирусы. Кроме того, молодые люди часто становятся жертвами щедрых посулов главарей киберпреступных группировок, соблазняются заманчивыми предложениями, которым на самом деле никогда не суждено сбыться. Все это мы очень наглядно наблюдали в случае с разработчиками Trojan.Carberp. Надеемся, что приговор киевского суда отрезвит многих любителей легкой наживы в киберпространстве. Тем более, что финальный аккорд в этой истории еще не прозвучал, свое слово еще не сказали российские правоохранители, у которых к “карберповцам” едва ли не больше вопросов, чем у их украинских коллег. Киберзло в любых своих формах будет обязательно наказано, мы убеждены в этом”.

55.615854 37.590485

Kaspersky.com — Вирусные новости — «Мобильная вирусология» — 2012: взрывной рост угроз для Android и мобильный шпионаж

В 2012 году платформа Android окончательно стала главной мишенью для
вирусописателей и мошенников в мобильных сетях, а кибершпионаж и
программы слежения, разрабатываемые при участии государственных
структур, теперь очевидно нацелены и на мобильные устройства. К таким
выводам пришли эксперты «Лаборатории Касперского» по
результатам анализа развития мобильных угроз в прошедшем году.
Подробности анализа и основные события этого периода по традиции
представлены в итоговой статье ведущего антивирусного эксперта
«Лаборатории Касперского» Дениса Масленникова
«Мобильная вирусология», часть 6″.

Наиболее заметным в 2012 году стал рост разнообразных угроз для ОС
Android. Если в 2011 году эксперты «Лаборатории Касперского»
обнаружили около 5300 новых вредоносным программ для этой платформы, то
в 2012 году такое же число новых зловредов и даже больше они находили в
течение одного месяца. А в общей сложности за весь прошлый год аналитики
детектировали более 6 миллионов уникальных вредоносных программ для
Android. В результате такого взрывного роста активности вирусописателей
платформа стала абсолютным лидером в рейтинге распределения мобильных
атак: на долю Android в 2012 году пришлось 94% всех мобильных
вредоносных программ (для сравнения: в 2011 году этот показатель
составлял 65%). Распределение мобильных зловредов по платформам в период
с 2004 по 2012гг.

Согласно данным облачного сервиса мониторинга угроз Kaspersky Security
Network, который с весны 2012 года используется и в мобильных продуктах
«Лаборатории Касперского», наиболее популярными
Android-зловредами у злоумышленников оказались SMS-троянцы. Такие
зловреды нацелены, в основном, на пользователей из России. Вторую по
популярности группу зловредов составляют рекламные модули Plangton и
Hamob. К третьей группе относятся различные модификации Lotoor —
эксплойтов для получения прав доступа на смартфонах с ОС Android
различных версий. Кроме того, в 2012 году эксперты отметили достаточно
широкое распространение мобильных банковских троянцев. Большинство этих
угроз опять же были нацелены на платформу Android. Так, мобильные
банковские троянцы, перехватывающие SMS-сообщения с кодами авторизаций
банковских операций и отправляющие их прямиком в руки киберпреступников,
в 2012 году расширили географию своей «деятельности» и вслед
за европейскими странами появились и в России, где пользователей систем
онлайн-банкинга становится всё больше. В частности, в 2012 году эксперты
«Лаборатории Касперского» обнаружили мобильную версию
известного троянца Carberp, который распространялся через фишинговую
стартовую страницу сайта крупного российского банка.

Что касается мобильных ботнетов, то неожиданностью для экспертов в
области информационной безопасности они не стали, поскольку первые
образцы этой угрозы были обнаружены ещё 3 года назад. Однако в 2012 году
было зафиксировано широкое их распространение на платформе Android в
самых разных странах мира. Так, бот-программа Foncy смогла заразить
более 2000 устройств в Европе, а бэкдор RootSmart превратил в ботов
сотни тысяч смартфонов. Эти и другие подобные зловреды действовали по
одной схеме: работая в связке с SMS-троянцами, они рассылали без ведома
владельцев смартфонов сообщения на платные номера. Одни только создатели
Foncy смогли заработать по такой схеме около 100 тысяч евро.

Наконец, одним из самых важных открытий 2012 года стало подтверждение
факта, что программы для кибершпионажа собирают данные не только с
компьютеров, но и с мобильных устройств. В ходе расследования
кибершпионской операции «Красный октябрь» эксперты
«Лаборатории Касперского» получили доказательства того, что
вредоносные программы пытались собрать сведения об атакуемом мобильном
устройстве, списке контактов, хранящемся на нём, информацию из журнала
звонков, SMS-сообщений, календаря, заметок, историю интернет-сёрфинга и
разнообразные текстовые и графические файлы и документы. И это только в
рамках одной операции.

«По темпам роста мобильных угроз 2012 год продолжил тенденцию,
наметившуюся ещё в 2011-ом, но в значительной мере превзошёл результаты
годичной давности. Теперь мы с уверенностью можем говорить, что
индустрия мобильных киберпреступлений стала по-настоящему международной:
создатели вредоносных программ на протяжении всего года атаковали не
только привычных для них российских и китайских пользователей, но и
владельцев смартфонов во многих других странах. Кроме того, с
распространением систем для кибершпионажа и слежения подобные программы
пришли и в мобильную среду. И это действительно можно назвать началом
новой эпохи», — комментирует итоги года Денис Масленников.

ИСТОЧНИК

55.615854 37.590485

Новый BackDoor.Butirat меняет имена управляющих центров злоумышленников

24 января 2013 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает о широком распространении новой вредоносной программы семейства BackDoor.Butirat. Очередная модификация этой известной угрозы, получившая наименование BackDoor.Butirat.245, использует принципиально новый механизм, позволяющий троянцу генерировать имена управляющих серверов злоумышленников. Скорее всего, это делается для того, чтобы повысить «живучесть» вредоносной программы при отключении одного из управляющих центров.

Напомним, что троянцы-бэкдоры семейства BackDoor.Butirat способны загружать на инфицированный компьютер и запускать на нем исполняемые файлы по команде с управляющего сервера, а также красть пароли от популярных FTP-клиентов (FlashFXP, Total Commander, Filezilla, FAR, WinSCP, FtpCommander, SmartFTP и др.).

Принцип, используемый данным троянцем для заражения компьютера жертвы, также не отличается оригинальностью: BackDoor.Butirat создает свою копию в одной из системных папок и вносит изменения в реестр, с тем чтобы при загрузке Windows осуществлялся его автоматический запуск.

Отличительной особенностью модификации BackDoor.Butirat.245 является принципиально новый механизм, позволяющий троянцу генерировать имена управляющих серверов, в то время как в предыдущих версиях адрес командного центра был жестко прописан в самой вредоносной программе. Как и в случае с недавно добавленными в базы новыми модификациями вредоносной программы BackDoor.BlackEnergy, при исследовании BackDoor.Butirat.245 специалистов «Доктор Веб» ждал сюрприз: троянец автоматически генерирует имена управляющих доменов третьего уровня. В то же время соответствующий домен второго уровня зарегистрирован хорошо известной компанией, традиционно игнорирующей любые сообщения и жалобы. Вероятно, вирусописатели полагали, что смогут таким способом повысить «живучесть» вредоносной программы в случае отключения одного из управляющих центров.

Сигнатура данной угрозы успешно добавлена в вирусные базы, и потому BackDoor.Butirat.245 не представляет опасности для пользователей антивирусного ПО Dr.Web.

ИСТОЧНИК

«Доктор Веб» запускает просветительский проект по борьбе с банковскими троянцами

18 января 2013 года

Вы уверены, что знаете все о новейших угрозах компьютерной безопасности? Это легко проверить всего за несколько минут при помощи небольшого теста в рамках нового просветительского проекта компании «Доктор Веб». Вы сможете не только ответить на интересные вопросы, но и почерпнуть новую важную информацию, о которой вы, возможно, ничего не знали.

Стремительно растет количество новых вредоносных программ. Тысячами в час появляются новые модификации троянцев, преимущественно направленных на хищения денежных средств. Пользователи систем дистанционного банковского обслуживания (ДБО) и различных платежных онлайн-систем зачастую даже не подозревают, какой опасности они подвергают собственные деньги или финансы целой компании.

Мы предлагаем вам пройти наш краткий тест из пяти вопросов об угрозах со стороны новых банковских троянцев и убедиться, что вы знаете, где и как вас может подстерегать опасность, или почерпнуть новые важные сведения об этом — наш тест сопровождается детальным рассказом о деятельности этих вредоносных программ.

Получить более подробную информацию о вредоносных программах, предназначенных для кражи финансов, вы можете также с помощью специального буклета, подготовленного специалистами «Доктор Веб». Ссылка на буклет распространяется вместе с бесплатными лицензиями Dr.Web для корпоративной защиты и для домашнего использования — для вашего ПК и мобильного устройства — которые может получить каждый участник проекта.

Для всех пострадавших от компьютерных преступлений, а также для тех, кто хочет знать, что делать в случае кражи данных интернет-мошенниками, на нашем сайте представлен «Правовой уголок». Предупрежден — значит вооружен!

Будьте бдительны и повышайте свои знания о новых угрозах вместе с Dr.Web.

Пройдите тест прямо сейчас!

ИСТОЧНИК

Ботнет BlackEnergy возрождается

17 января 2013 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает о распространении очередной троянской программы семейства BackDoor.BlackEnergy. В июле 2012 года в средствах массовой информации появились публикации о ликвидации основных управляющих серверов ботнета на основе данного троянца, однако в течение еще нескольких месяцев бот-сеть BlackEnergy проявляла остаточную активность, которая практически полностью прекратилась лишь осенью 2012 года. И вот в январе 2013 года появилась новая модификация этой угрозы.

Напомним, что BackDoor.BlackEnergy — сложная многокомпонентная троянская программа, в основном предназначенная для рассылки спама. С использованием этого приложения злоумышленникам удалось создать одну из самых крупных в мире бот-сетей для рассылки почтовых сообщений: в пик активности на его долю приходилось до 18 миллиардов писем в день. Троянцы семейства BackDoor.BlackEnergy используют для своей работы подгружаемые модули и конфигурационный файл в формате xml, получаемый с управляющего сервера.

Владельцами новой версии троянца, получившей обозначение BackDoor.BlackEnergy.36, являются, по всей видимости, те же злоумышленники, которые эксплуатировали предыдущие модификации данной вредоносной программы. Об этом, в частности, говорит тот факт, что BackDoor.BlackEnergy.36 использует для шифрования данных тот же ключ, что применялся в некоторых бот-сетях BlackEnergy, командные центры которых были ликвидированы летом 2012 года.

Основных отличий BackDoor.BlackEnergy.36 от предыдущих редакций этой вредоносной программы два: конфигурационный файл троянца хранится в зашифрованном виде в отдельной секции динамической библиотеки, которая, в свою очередь, содержится в одной из секций троянца и при его запуске встраивается в процесс svchost.exe или в explorer.exe. Помимо этого, злоумышленники немного изменили сетевой протокол, с использованием которого BackDoor.BlackEnergy.36 обменивается данными с управляющим центром.

К настоящему времени специалисты «Доктор Веб» зафиксировали несколько управляющих серверов BackDoor.BlackEnergy.36, с использованием которых злоумышленники пытаются построить новый ботнет для массового распространения спама. Аналитики продолжают внимательно следить за развитием ситуации, в то время как сигнатура BackDoor.BlackEnergy.36 была добавлена в вирусные базы Dr.Web, благодаря чему этот троянец более не опасен для пользователей, установивших на своих компьютерах наше антивирусное ПО.

ИСТОЧНИК

55.615854 37.590485

Kaspersky.com — Вирусные новости — «Лаборатория Касперского» обнаружила банковского троянца государственного масштаба

«Лаборатория Касперского» обнаружила банковского троянца государственного масштаба

«Лаборатория Касперского» обнаружила на Ближнем Востоке еще
одну сложную вредоносную программу, которую эксперты отнесли к классу
кибероружия. Особенность нового троянца, названного по имени немецкого
математика Иоганна Карла Фридриха Гаусса, состоит в том, что он, помимо
прочего шпионского функционала, направлен на кражу финансовой информации
пользователей зараженных компьютеров. Gauss скрытно пересылает на
сервера управления пароли, введенные или сохраненные в браузере, файлы
cookie, а также подробности конфигурации инфицированной системы.

Наличие в Gauss функционала банковского троянца является уникальным
случаем, ранее никогда не встречавшимся среди вредоносных программ,
которые принято относить к классу кибероружия.

Gauss был обнаружен в ходе масштабной кампании, инициированной
Международным союзом электросвязи (International (http://www.itu.int/)
Telecommunication (http://www.itu.int/) Union (http://www.itu.int/),
ITU) после выявления Flame (http://www.kaspersky.ru/news?id=207733770).
Ее глобальной целью является сокращение рисков, связанных с применением
кибероружия, и сохранение мира в киберпространстве. С помощью экспертной
поддержки, осуществляемой специалистами «Лаборатории
Касперского», ITU предпринимает важные шаги в направлении
укрепления глобальной кибербезопасности — при активной поддержке
со стороны ключевых партнеров по инициативе ITU-IMPACT, правительств и
частных организаций, а также гражданского общества.

Обнаружение Gauss экспертами «Лаборатории Касперского» стало
возможным благодаря наличию в троянце ряда черт, объединяющих его со
сложной вредоносной программой Flame. Сходства прослеживаются в
архитектуре, модульной структуре, а также способах связи с серверами
управления.

Новая вредоносная программа была обнаружена «Лабораторией
Касперского» в июне 2012 года. Ее основной шпионский модуль был
назван создателями (которые пока остаются неизвестными) в честь
немецкого математика Иоганна Карла Фридриха Гаусса. Другие файлы троянца
также носят имена известных математиков: Жозефа Луи Лагранжа и Курта
Гёделя. Проведенное исследование показало, что первые случаи заражения
Gauss относятся к сентябрю 2011 года. Однако командные сервера
вредоносной программы прекратили свою работу только в июле 2012
года.

Многочисленные модули Gauss предназначены для сбора информации,
содержащейся в браузере, включая историю посещаемых сайтов и пароли,
используемые в онлайн-сервисах. Кроме того, атакующие получали детальную
информацию о зараженном компьютере, в том числе подробности о сетевых
интерфейсах, дисковых накопителях, а также данные BIOS. Троянец Gauss
может красть конфиденциальную информацию у клиентов ряда ливанских
банков, таких как Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank
и Credit Libanais. Кроме того, его целью являются клиенты Citibank и
пользователи электронной платежной системы PayPal.
(http://www.kaspersky.ru/images/news/great2012_pic01.png) 3 основные страны, подвергшиеся
заражению Gauss

Еще одной важной особенностью Gauss является то, что он заражает
USB-накопители, используя ту же самую уязвимость, что и Stuxnet, и
Flame. Однако процесс инфицирования флэшек отличается от
предшественников наличием определенной интеллектуальной составляющей.
Так, используя съемный накопитель для хранения собранной информации в
одном из скрытых файлов, при определенных условиях Gauss может удалить
себя и все украденные данные. Еще одной характерной чертой троянца
является установка специального шрифта Palida Narrow. Однако ее смысл
пока не ясен.

Несмотря на то, что Gauss и Flame имеют много общего по своей структуре,
их география заражения серьезно разнится. Максимальное количество
компьютеров, пораженных Flame, приходится на Иран, тогда как большинство
жертв Gauss находится в Ливане. Число зараженных также значительно
отличается. По данным облачной системы мониторинга Kaspersky Security
Network, Gauss заразил порядка 2,5 тысяч компьютеров, в то время как
жертв Flame было всего около 700.

Хотя точный способ заражения еще не установлен, эксперты уверены, что
распространение Gauss происходит по иному сценарию, нежели Flame или
Duqu. Однако стоит отметить, что также как и у более ранних кибершпионов
процесс распространения троянца является строго контролируемым, что
говорит о намерении как можно дольше оставаться незамеченным.

«Gauss очень похож на Flame по структуре и коду. Собственно именно
это и позволило нам его обнаружить, — говорит Александр Гостев,
главный антивирусный эксперт «Лаборатории Касперского».
— Также как Flame и Duqu, Gauss представляет собой сложную
программу, предназначенную для ведения кибершпионажа с особым акцентом
на скрытность действий. Однако цели недавно обнаруженного троянца совсем
иные: Gauss заражает пользователей в четко определенных странах и крадет
большие объемы данных. Причем особый интерес для него представляет
финансовая информация».

В настоящее время «Лаборатория Касперского» успешно
детектирует, блокирует и удаляет троянца Gauss. В антивирусной базе он
классифицируется как Trojan-Spy.Win32.Gauss.

Подробный анализ вредоносной программы Gauss доступен на сайте
www.securelist.com/en
(http://www.securelist.com/en/analysis/204792238/Gauss_Abnormal_Distribution).
Факты
* Проведенный анализ показывает, что впервые Gauss начал
действовать в сентябре 2011 года.
* Обнаружить троянца удалось лишь в
июне 2012 года благодаря наличию у него ряда общих черт с Flame.

* Инфраструктура управления Gauss была отключена в июле 2012 года,
вскоре после обнаружения троянца. В настоящее время вредоносная
программа находится в неактивном состоянии, ожидая команд от серверов.

* Начиная с конца мая 2012 года, облачная система мониторинга
«Лаборатории Касперского» обнаружила более 2,5 тыс.
заражений. Общее же количество жертв Gauss может исчисляться десятками
тысяч. Это меньше, чем у червя Stuxnet, но значительно больше, чем у
Flame и Duqu.
* Gauss передает на сервер управления детальную
информацию о зараженном компьютере, включая историю браузера, файлы
cookie, пароли, данные о конфигурации системы.
* Результаты анализа
Gauss показывают, что основной целью троянца являлся ряд ливанских
банков, в том числе Bank of Beirut, EBLF, BlomBank, ByblosBank,
FransaBank и Credit Libanais. Кроме того, он был нацелен на клиентов
Citibank и пользователей электронной платежной системы PayPal.

55.615854 37.590485