Основные угрозы для пользователей банкоматов, платёжных терминалов, банков и ДБО

Тема в разделе "Новости информационной безопасности", создана пользователем Rashevskiy, 29 окт 2011.

  1. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    FastPOS: быстрый и хитрый

    Создатели трояна FastPOS для PoS-терминалов реализовали в нем новый механизм эксфильтрации данных. Для хранения похищенных данных перед отправкой их на подконтрольный злоумышленникам C&C-сервер механизм использует Windows Mailslot. >>

    Эксперты обнаружили рекламу этого трояна на подпольных форумах кардеров еще летом. Как показал дальнейший анализ, в отличие от остальных вредоносов для PoS-терминалов FastPOS работает довольно быстро, но при этом проигрывает в незаметности. Злоумышленники используют троян с марта 2015 года, но каждый сентябрь разработчики его обновляют, готовясь к предпраздничному сезону покупок.

    Обновленный недавно FastPOS может инфицировать компьютеры, работающие под управлением как х32, так и х64 версии Windows. FastPOS состоит из двух компонентов – кейлоггера и модуля для хищения данных из памяти. В отличие от оригинальной версии, где они работали в одном системном процессе, сейчас два компонента FastPOS работают в разных процессах.

    Благодаря этому троян сложнее удалить, однако он становится более заметным для антивирусных решений. Как пояснили эксперты, обнаружить HTTP-соединение, по которому вредонос похищает данные банковских карт из PoS-терминалов, не составляет труда, поскольку данные не шифруются. Во всяком случае, пока не шифруются.

    Изменения произошли и в хранении похищенной информации перед ее отправкой на C&C-сервер. FastPOS теперь использует механизм Mailslot – временные файлы (мэйслоты) в оперативной памяти, предназначенные для хранения межпроцессных коммуникаций. Поскольку модули вредоноса внедряются в такие процессы, как explorer.exe и services.exe, они могут использовать мэйлслоты для хранения похищенных данных.

    Компоненты FastPOS новой версии:
    Serv32.exe – создает и контролирует мэйлслот и отправляет его содержимое на C&C-сервер;
    Kl32.exe – 32-битный компонент кейлогера (Keylogger);
    Kl64.exe – 64-битный компонент кейлогера (Keylogger);
    Proc32.exe – 32-битный похитетель данных карт из памяти (RAM scraper);
    Proc64.exe – 64-битный похитетель данных карт из памяти (RAM scraper).

    Схема работы компонентов FastPOS:

    fastpos-2.jpg

     
    Охотник и Theriollaria нравится это.
  2. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    Trojan.Odinaff: SWIFT под контролем!?

    Эксперты компании Symantec предупреждают о новой угрозе для системы обмена банковской информацией SWIFT. Согласно их данным в атаке задействованы некоторые элементы инфраструктуры, ранее использовавшиеся в кампаниях Carbanak.

    Tроян Odinaff был обнаружен в начале 2016 года, но масштабы его атак проявились недавно. 34% атак пришлись на финансовые учреждения и приложения для работы на финансовых рынках. Пока засвидетельствованы атаки на организации в США, Гонконге, Австралии, Канаде, Великобритании и Украине.

    odinaf.png

    Поставщики Odinaff используют несколько методов для его проникновения в систему целевой организации. В одном из них используется вредоносный макрос MS Office, активация которого приводит к установке трояна, в другом - испольуются защищенные паролем RAR-архивы. Вредоносные документы и ссылки распространяются посредством фишинговых писем.

    Успешно установившись в системе, Odinaff устанавливает дополнительные программы, которые контролируют и искажают данные, передаваемые через SWIFT, в том числе специальные инструменты для мониторинга журнала сообщений пользователя SWIFT и поиска ключевых слов, связанных с транзакциями. Каждый такой инструмент сконфигурирован под определенную целевую систему.

    В сентябре система SWIFT объявила о реализации механизма, призванного обеспечить защиту банков и других клиентов системы от мошеннических операций. Теперь SWIFT будет представлять клиентам отчет об операциях, в которых использовались их реквизиты. Таким образом клиенты смогут проверить, не проходили ли неавторизованные ими операции через межбанковскую систему.

     
    Theriollaria нравится это.
  3. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    Хакеры в России похитили 5,5 млрд рублей

    В компании IB-Group составили новый отчёт по тенденциям развития высокотехнологичных преступлений. Из него видно, что с июля 2015 года по июнь 2016 года хакеры в России похитили 5 526 217 090 рублей. Объем похищенных средств на 44% превышает тот же показатель прошлого года.

    Часть денег (2,5 млрд рублей) была похищена у банков через целевые атаки. В интернет-банкинге объем хищений у юрлиц составил 956,16 млн рублей, у физических лиц с помощью Android-троянов – 348,6 млн рублей, при помощи троянов для ПК хакеры похитили 6,4 млн рублей. В указанный период ущерб российских банков от целевых атак вырос почти в 3 раза, причем 2/3 краж пришлись на группу Buhtrap.

    Сейчас киберпреступники, ранее атаковавшие компании, нацеливаются в сторону финорганизаций, а хакеры, получившие опыт целевых атак в России, переориентируются на другие страны. С каждым годом в России злоумышленники все реже используют трояны для персональных компьютеров в целях хищения средств. Профессионалы, на долю которых приходилась большая часть атак, предпочитают атаковать банки напрямую, а другие киберпреступники ищут жертв за пределами РФ.

    Как указывается в отчете, русскоязычные хакеры причастны к созданию 16 из 19 новых банковских троянов, в том числе Panda Banker, Shifu, Midas Bot, GozNym, Sphinx и Corebot. В России возросло число успешных атак на владельцев Android-устройств. Ежедневно их жертвами Android-троянов становятся 350 пользователей гаджетов, а совокупный объем хищений вырос в 4.5 раза. Для злоумышленников стали более доступны инструменты для прослушивания разговоров и перехвата трафика, а эффективность атак с использованием вымогательского ПО всё больше возрастает. >>>

    Отчёт IB-Group на русском языке прилагается. Всего 8 страниц. Предлагаю ознакомиться.
     

    Вложения:

    Theriollaria нравится это.