ESET обнаружила новую версию трояна Carberp

Mila

Основатель
Сообщения
4,947
Реакции
10,474
Баллы
953
Троян использует легитимную Java-библиотеку для модификации банковского ПО.

Компания ESET обнаружила новую модификацию троянской программы Carberp, которая использует легальное ПО для похищения финансовых средств. Помимо этого, вирус также способен действовать в обход двухфакторной аутентификации с применением одноразовых паролей.

Эксперты отмечают, что основными регионами, в которых сейчас наиболее распространен Carberp, являются Россия и Украина.

Основная цель Carberp – изменение программного комплекса iBank 2 компании БИФИТ, который используется для удаленного банковского обслуживания. Для модификации iBank 2 Carberp использует вредоносный java-модуль, позволяющий обходить системы двухфакторной аутентификации с использованием одноразовых паролей.

Троян также использует легитимную Java-библиотеку для модификации банковского ПО. Такое поведение Carberp дает ему возможность более эффективно скрываться от антивирусных программ.

Как только вирус внедряется в клиент системы дистанционного банковского обслуживания, злоумышленники могут полностью контролировать все платежи, осуществляемые пользователем посредством банковского ПО.




источник
 

orderman

Ветеран
Сообщения
1,199
Реакции
1,379
Баллы
643
Ответ компании "БИФИТ"

1. Если антивирусные аналитики компании "ESET" ничего не знают о встроенных в систему "iBank 2" механизмах противодействия вредоносному ПО - это не значит, что таких механизмов нет. Более того, это значит, что мы делаем всё хорошо.

В iBank'е давно есть, активно используются и постоянно развиваются встроенные механизмы обеспечения безопасности, которые позволяют бороться с вредоносным ПО.

О некоторых механизмах банки знают подробно. О других - частично. О третьих - знают только о факте их использования.

Публично даже перечислять эти механизмы - значит, давать злоумышленникам материал для анализа. Чего делать крайне не хочется.

Также в системе "iBank 2" присутствуют и активно используются банками известные дополнительные механизмы защиты:

- Справочник доверенных получателей

- Белые и черные списки получателей

- Дополнительное подтверждение платежей (при превышении лимитов) кодами подтверждений, полученными по SMS, с использованием МАС-токенов и AGSES-карт

- Информирование клиентов по SMS о входе в систему, о доставке в банк новых платежных документов

- USB-токены и смарт-карты "iBank 2 Key" c неизвлекаемыми секретными ключами ЭЦП клиентов

Банкам уже более года рекомендуется вместо ОТР-токенов, одноразовый пароль которых никак не привязан к содержимому платежки или к реквизитам получателя, использовать чуть более дорогие и более функциональные MAC-токены.

МАС-токены генерируют коды подтверждений, являющиеся криптофункцией от БИКа банка получателя, расчетного счета получателя и суммы платежа.

Отдельная тема - внедрение в банках систем Fraud-мониторинга для ДБО.

БИФИТ ведет разработку своей системы Fraud-мониторинга и сервиса.

Также БИФИТ предлагает крупным банкам проекты по внедрению антифрод-системы RSA TM (более 8000 внедрений в мире, решение внедрено в Сбербанке и ВТБ, идут проекты в нескольких банках в России и СНГ).


2. Автор статьи делает неправильный вывод об отсутствии в системе "iBank 2" механизмов обеспечения целостности: "Комплекс iBank2 не проверяет целостность своего кода..."


Для обеспечения целостности клиентского Java-апплета "iBank 2" используется штатный механизм виртуальной Java-машины - ЭЦП разработчика под Java-апплетом.


3. Описанное в статье ESET'а вредоносное ПО нам известно давно.

Оно использует архитектурную особенность виртуальной Java-машины - возможность модификации байт-кода "на лету", непосредственно в оперативной памяти компьютера в процессе исполнения Java-апплета (проверка виртуальной Java-машиной ЭЦП разработчика под Java-апплетом происходит существенно ранее, перед запуском на исполнение этого Java-апплета).

На основе указанной архитектурной особенности JVM построен целый ряд библиотек:
- SM: http://asm.ow2.org/
- BCEL: http://commons.apache.org/bcel/
- Shrike: http://wala.sourceforge.net/wiki/index.php/Shrike_ technical_overview
- Javassist: http://www.csg.is.titech.ac.jp/~chiba/javassist/

Последняя библиотека и используется при работе трояна Carberp.


4. Автор в своей статье использует неаккуратные формулировки, подменяющие суть.

Например, под фразой: "Главной целью новой версии Carberp является модификация программного комплекса iBank 2 компании БИФИТ" подразумевается модификация вредоносным ПО клиентского Java-апплета iBank2, исполняющегося на уже инфицированном компьютере клиента в Web-браузере.

Сам же программный комплекс "iBank 2", расположенный в банке, технически никак не может быть модифицирован "новой версией Carberp".

Столь небрежные формулировки в общем-то характерны для пиаровских статей.

Последняя же фраза автора: "Следует отметить, что решения ESET успешно детектируют как вредоносный код Carberp, так и его компоненты" однозначно идентифицирует статью как "продажную", а не аналитическую.

С уважением, Репан Димитрий
Компания "БИФИТ" - www.bifit.com

Источник
 
Сверху Снизу