• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

ESET обнаружила новую версию трояна Carberp

Mila

Основатель
Сообщения
4,949
Симпатии
10,469
#1
Троян использует легитимную Java-библиотеку для модификации банковского ПО.

Компания ESET обнаружила новую модификацию троянской программы Carberp, которая использует легальное ПО для похищения финансовых средств. Помимо этого, вирус также способен действовать в обход двухфакторной аутентификации с применением одноразовых паролей.

Эксперты отмечают, что основными регионами, в которых сейчас наиболее распространен Carberp, являются Россия и Украина.

Основная цель Carberp – изменение программного комплекса iBank 2 компании БИФИТ, который используется для удаленного банковского обслуживания. Для модификации iBank 2 Carberp использует вредоносный java-модуль, позволяющий обходить системы двухфакторной аутентификации с использованием одноразовых паролей.

Троян также использует легитимную Java-библиотеку для модификации банковского ПО. Такое поведение Carberp дает ему возможность более эффективно скрываться от антивирусных программ.

Как только вирус внедряется в клиент системы дистанционного банковского обслуживания, злоумышленники могут полностью контролировать все платежи, осуществляемые пользователем посредством банковского ПО.




источник
 

orderman

Активный пользователь
Сообщения
1,159
Симпатии
1,343
#2
Ответ компании "БИФИТ"

1. Если антивирусные аналитики компании "ESET" ничего не знают о встроенных в систему "iBank 2" механизмах противодействия вредоносному ПО - это не значит, что таких механизмов нет. Более того, это значит, что мы делаем всё хорошо.

В iBank'е давно есть, активно используются и постоянно развиваются встроенные механизмы обеспечения безопасности, которые позволяют бороться с вредоносным ПО.

О некоторых механизмах банки знают подробно. О других - частично. О третьих - знают только о факте их использования.

Публично даже перечислять эти механизмы - значит, давать злоумышленникам материал для анализа. Чего делать крайне не хочется.

Также в системе "iBank 2" присутствуют и активно используются банками известные дополнительные механизмы защиты:

- Справочник доверенных получателей

- Белые и черные списки получателей

- Дополнительное подтверждение платежей (при превышении лимитов) кодами подтверждений, полученными по SMS, с использованием МАС-токенов и AGSES-карт

- Информирование клиентов по SMS о входе в систему, о доставке в банк новых платежных документов

- USB-токены и смарт-карты "iBank 2 Key" c неизвлекаемыми секретными ключами ЭЦП клиентов

Банкам уже более года рекомендуется вместо ОТР-токенов, одноразовый пароль которых никак не привязан к содержимому платежки или к реквизитам получателя, использовать чуть более дорогие и более функциональные MAC-токены.

МАС-токены генерируют коды подтверждений, являющиеся криптофункцией от БИКа банка получателя, расчетного счета получателя и суммы платежа.

Отдельная тема - внедрение в банках систем Fraud-мониторинга для ДБО.

БИФИТ ведет разработку своей системы Fraud-мониторинга и сервиса.

Также БИФИТ предлагает крупным банкам проекты по внедрению антифрод-системы RSA TM (более 8000 внедрений в мире, решение внедрено в Сбербанке и ВТБ, идут проекты в нескольких банках в России и СНГ).


2. Автор статьи делает неправильный вывод об отсутствии в системе "iBank 2" механизмов обеспечения целостности: "Комплекс iBank2 не проверяет целостность своего кода..."


Для обеспечения целостности клиентского Java-апплета "iBank 2" используется штатный механизм виртуальной Java-машины - ЭЦП разработчика под Java-апплетом.


3. Описанное в статье ESET'а вредоносное ПО нам известно давно.

Оно использует архитектурную особенность виртуальной Java-машины - возможность модификации байт-кода "на лету", непосредственно в оперативной памяти компьютера в процессе исполнения Java-апплета (проверка виртуальной Java-машиной ЭЦП разработчика под Java-апплетом происходит существенно ранее, перед запуском на исполнение этого Java-апплета).

На основе указанной архитектурной особенности JVM построен целый ряд библиотек:
- SM: http://asm.ow2.org/
- BCEL: http://commons.apache.org/bcel/
- Shrike: http://wala.sourceforge.net/wiki/index.php/Shrike_ technical_overview
- Javassist: http://www.csg.is.titech.ac.jp/~chiba/javassist/

Последняя библиотека и используется при работе трояна Carberp.


4. Автор в своей статье использует неаккуратные формулировки, подменяющие суть.

Например, под фразой: "Главной целью новой версии Carberp является модификация программного комплекса iBank 2 компании БИФИТ" подразумевается модификация вредоносным ПО клиентского Java-апплета iBank2, исполняющегося на уже инфицированном компьютере клиента в Web-браузере.

Сам же программный комплекс "iBank 2", расположенный в банке, технически никак не может быть модифицирован "новой версией Carberp".

Столь небрежные формулировки в общем-то характерны для пиаровских статей.

Последняя же фраза автора: "Следует отметить, что решения ESET успешно детектируют как вредоносный код Carberp, так и его компоненты" однозначно идентифицирует статью как "продажную", а не аналитическую.

С уважением, Репан Димитрий
Компания "БИФИТ" - www.bifit.com

Источник