ESET обнаружила новую версию трояна Carberp

Тема в разделе "Новости информационной безопасности", создана пользователем Mila, 27 мар 2013.

Метки:
  1. Mila
    Оффлайн

    Mila Команда форума Основатель

    Сообщения:
    4.970
    Симпатии:
    13.601
    Троян использует легитимную Java-библиотеку для модификации банковского ПО.

    Компания ESET обнаружила новую модификацию троянской программы Carberp, которая использует легальное ПО для похищения финансовых средств. Помимо этого, вирус также способен действовать в обход двухфакторной аутентификации с применением одноразовых паролей.

    Эксперты отмечают, что основными регионами, в которых сейчас наиболее распространен Carberp, являются Россия и Украина.

    Основная цель Carberp – изменение программного комплекса iBank 2 компании БИФИТ, который используется для удаленного банковского обслуживания. Для модификации iBank 2 Carberp использует вредоносный java-модуль, позволяющий обходить системы двухфакторной аутентификации с использованием одноразовых паролей.

    Троян также использует легитимную Java-библиотеку для модификации банковского ПО. Такое поведение Carberp дает ему возможность более эффективно скрываться от антивирусных программ.

    Как только вирус внедряется в клиент системы дистанционного банковского обслуживания, злоумышленники могут полностью контролировать все платежи, осуществляемые пользователем посредством банковского ПО.




    источник
     
    4 пользователям это понравилось.
  2. orderman
    Оффлайн

    orderman Активный пользователь

    Сообщения:
    1.159
    Симпатии:
    1.396
    Ответ компании "БИФИТ"

    1. Если антивирусные аналитики компании "ESET" ничего не знают о встроенных в систему "iBank 2" механизмах противодействия вредоносному ПО - это не значит, что таких механизмов нет. Более того, это значит, что мы делаем всё хорошо.

    В iBank'е давно есть, активно используются и постоянно развиваются встроенные механизмы обеспечения безопасности, которые позволяют бороться с вредоносным ПО.

    О некоторых механизмах банки знают подробно. О других - частично. О третьих - знают только о факте их использования.

    Публично даже перечислять эти механизмы - значит, давать злоумышленникам материал для анализа. Чего делать крайне не хочется.

    Также в системе "iBank 2" присутствуют и активно используются банками известные дополнительные механизмы защиты:

    - Справочник доверенных получателей

    - Белые и черные списки получателей

    - Дополнительное подтверждение платежей (при превышении лимитов) кодами подтверждений, полученными по SMS, с использованием МАС-токенов и AGSES-карт

    - Информирование клиентов по SMS о входе в систему, о доставке в банк новых платежных документов

    - USB-токены и смарт-карты "iBank 2 Key" c неизвлекаемыми секретными ключами ЭЦП клиентов

    Банкам уже более года рекомендуется вместо ОТР-токенов, одноразовый пароль которых никак не привязан к содержимому платежки или к реквизитам получателя, использовать чуть более дорогие и более функциональные MAC-токены.

    МАС-токены генерируют коды подтверждений, являющиеся криптофункцией от БИКа банка получателя, расчетного счета получателя и суммы платежа.

    Отдельная тема - внедрение в банках систем Fraud-мониторинга для ДБО.

    БИФИТ ведет разработку своей системы Fraud-мониторинга и сервиса.

    Также БИФИТ предлагает крупным банкам проекты по внедрению антифрод-системы RSA TM (более 8000 внедрений в мире, решение внедрено в Сбербанке и ВТБ, идут проекты в нескольких банках в России и СНГ).


    2. Автор статьи делает неправильный вывод об отсутствии в системе "iBank 2" механизмов обеспечения целостности: "Комплекс iBank2 не проверяет целостность своего кода..."


    Для обеспечения целостности клиентского Java-апплета "iBank 2" используется штатный механизм виртуальной Java-машины - ЭЦП разработчика под Java-апплетом.


    3. Описанное в статье ESET'а вредоносное ПО нам известно давно.

    Оно использует архитектурную особенность виртуальной Java-машины - возможность модификации байт-кода "на лету", непосредственно в оперативной памяти компьютера в процессе исполнения Java-апплета (проверка виртуальной Java-машиной ЭЦП разработчика под Java-апплетом происходит существенно ранее, перед запуском на исполнение этого Java-апплета).

    На основе указанной архитектурной особенности JVM построен целый ряд библиотек:
    - SM: http://asm.ow2.org/
    - BCEL: http://commons.apache.org/bcel/
    - Shrike: http://wala.sourceforge.net/wiki/index.php/Shrike_ technical_overview
    - Javassist: http://www.csg.is.titech.ac.jp/~chiba/javassist/

    Последняя библиотека и используется при работе трояна Carberp.


    4. Автор в своей статье использует неаккуратные формулировки, подменяющие суть.

    Например, под фразой: "Главной целью новой версии Carberp является модификация программного комплекса iBank 2 компании БИФИТ" подразумевается модификация вредоносным ПО клиентского Java-апплета iBank2, исполняющегося на уже инфицированном компьютере клиента в Web-браузере.

    Сам же программный комплекс "iBank 2", расположенный в банке, технически никак не может быть модифицирован "новой версией Carberp".

    Столь небрежные формулировки в общем-то характерны для пиаровских статей.

    Последняя же фраза автора: "Следует отметить, что решения ESET успешно детектируют как вредоносный код Carberp, так и его компоненты" однозначно идентифицирует статью как "продажную", а не аналитическую.

    С уважением, Репан Димитрий
    Компания "БИФИТ" - www.bifit.com

    Источник
     
    4 пользователям это понравилось.

Поделиться этой страницей