Фахівці ESET і Group-IB виявили нову загрозу для систем ДБО, Безпека ПЗ, Security & Hack, статті

Компанія ESET, міжнародний розробник антивірусного ПО і рішень в області комп'ютерної безпеки, повідомляє про те, що фахівці Центру вірусних досліджень і аналітики ESET виявили нову загрозу – Win32/Sheldor.NAD, яка є модифікацією популярної програми для віддаленого адміністрування комп'ютера – TeamViewer.


Дані відомості були отримані співробітниками Центру при проведенні експертизи в рамках розслідування компанією Group-IB інциденту, пов'язаного з шахрайством у системах дистанційного банківського обслуговування (ДБО).


Тільки за останні два місяці фахівці компанії Group-IB зафіксували 30% зростання інцидентів, пов'язаних з шахрайством у системах ДБО. "Поширеними причинами подібних інцидентів є слабка політика інформаційної безпеки в малому і середньому бізнесі, – коментує Ілля Сачков, генеральний директор компанії Group IB. – Також тенденція останніх інцидентів у цій сфері показує зростання професіоналізму зловмисників при розробці шкідливого ПЗ. Тому постійний аналіз нових видів шахрайських програм є запорукою успішних розслідувань злочинів у системах ДБО ".


У процесі розслідування інциденту, що стався в одному з російських банків, була виявлена ​​шкідлива програма Win32/Sheldor.NAD (за класифікацією ESET), яка являє собою модифіковану версію програмного забезпечення для віддаленого адміністрування комп'ютера – TeamViewer 5.0. При цьому був модифікований один з модулів легальної програми, який використовується в процесі мережевої взаємодії з серверами TeamViewer. Модифікація дозволяла відправляти аутентифікаційні дані актуального сеансу TeamViewer на сервер зловмисників, у яких з'являлася можливість у будь-який момент отримати доступ до активної сесії користувача на зараженому ПК. Це означає, що шахраї мали не тільки доступ до конфіденційних даних користувача, а й могли виконувати ряд дій на інфікованому комп'ютері, в тому числі здійснювати транзакції в системах ДБО, що вело до фінансових втрат користувача.


Так як більшість компонентів модифікованої версії TeamViewer мали легальну цифровий підпис і були легальними компонентами, за винятком одного модуля, кількість антивірусних продуктів, які зафіксували загрозу на момент її виявлення, було мало. Варто також зазначити, що модифікована версія TeamViewer встановлювалася в систему користувача за допомогою спеціально розробленої троянської програми-інсталятора, яка створювала всі необхідні ключі реєстру для роботи Win32/Sheldor.NAD: копіювала компоненти TeamViewer в системну папку% WINDIR% і додавала в автозапуск.


"Використання легальних програм віддаленого адміністрування для різного роду дій зловмисників ми зустрічаємо вже далеко не перший раз, – зазначає Олександр Матросов, директор Центру вірусних досліджень і аналітики компанії ESET. – Однак в даному інциденті йдеться про модифікацію функціоналу популярної програми TeamViewer, що говорить про те, що зловмисники явно мали на меті максимальної схожості з легальним ПЗ. Це і дозволило їм залишатися непоміченими для більшості антивірусних рішень ".


Антивірусні рішення ESET NOD32 надійно захищають користувачів від шкідливої ​​програми Win32/Sheldor.NAD. Завдяки технології раннього виявлення ThreatSense.Net продукти ESET запобігають зараженню комп'ютера від нових версій даного зловмисного ПЗ.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*