Основные угрозы для пользователей банкоматов, платёжных терминалов, банков и ДБО

Тема в разделе "Новости информационной безопасности", создана пользователем Rashevskiy, 29 окт 2011.

  1. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    Банковский троян Spy.Agent.SI набирает обороты

    О новом банковском трояне Spy.Agent.SI стало известно от компании ESET. Они предупредили, что программа способна успешно обходить двухфакторную аутентификацию и похищать учетные данные пользователей мобильных банковских приложений. Используя украденную информацию, нарушители могут получить удаленный доступ к личному кабинету жертвы (на сайте банка) и вывести все средства со счета. Параллельно троян перехватывает SMS с одноразовыми паролями, отправляемыми банками для подтверждения трансакций.

    Потери банковских клиентов от нового трояна, ворующего данные с карт, составят $40 млн в случае его распространения в Австралии, Новой Зеландии и Турции (целевой ориентир хакеров). Если банковский троян дойдет до России, убытки граждан достигнут $5 млн.

    Распространение: Под видом мобильного приложения Flash Player с ряда фиктивных сайтов (flashplayeerupdate.com, adobeflashplaayer.com, adobeplayerdownload.com и др.).

    Установка: После загрузки и установки вредонос запрашивает доступ к админ-функциям устройства с целью защиты от удаления со смартфона или планшета. Далее он проверяет гаджет на наличие банковских приложений. Если таковые имеются, троян загружает с сервера злоумышленников фальшивые страницы авторизации для каждой программы. При запуске какого-либо банковского приложения на дисплее устройства отображается подложный экран логина и пароля, блокирующий настоящую страницу авторизации до ввода учетных данных.

    Цели: В настоящее время целевыми для вируса являются банки Австралии, Новой Зеландии и Турции.

    Развитие: Троян Android/Spy.Agent.SI быстро развивается. Если первые версии программы были достаточно просты и их вредоносная активность легко обнаруживалась, то новые модификации трояна эффективно скрывают свое присутствие в системе.

    поддел.png
    Рис.1.Так выглядят поддельные экраны ввода логина и пароля мобильного банка

     
    lilia-5-0, Охотник и orderman нравится это.
  2. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    Ловкость рук: Как установить скиммер за 2 секунды



    На видеоролике, опубликованном полицией Майами-Бич видно, как злоумышленнику удалось установить скиммер на платёжный терминал всего за 2-3 секунды.

    Ролик представляет собой запись с камеры видеонаблюдения магазина на автозаправочной станции в пригороде Майами. Во время установки устройства преступник работал с прикрывавшим его сообщником. Пока один отвлекал продавца, другой в мгновения ока надел поверх корпуса терминала не отличимый от него скиммер. После установки устройства мошенники как ни в чем не бывало вышли из магазина.

    Через некоторое время мошенники вернутся и либо заберут устройство, либо с помощью Bluetooth-считывателя скопируют собранные им данные. Преступники могут использовать похищенную банковскую информацию для «клонирования» карт или для оплаты покупок в online-магазинах.
     
    lilia-5-0 и Охотник нравится это.
  3. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    Как Buhtrap полгода грабили российские банки

    Группировка хакеров Buhtrap с августа 2015 по февраль 2016 года похитила примерно 1,8 млрд рублей из российских банков, говорится в отчете компании Group-IB.

    Хакеры рассылали финансовым организациям фишинг-письма от имени Банка России или его представителей.

    Первая рассылка была зафиксирована 22 октября 2015 года — многие российские банки получили письмо с почтового ящика support@cbr.ru.com с темой «Информация для банковских работников». Внутри письма был документ MS Office, при открытии которого запускалась программа, проверяющая историю браузеров на наличие ссылок, связанных с интернет-банками и банковским ПО. Если такие ссылки находились, то программа загружала из интернета вредоносное ПО, которое большинство антивирусов не определяет как вирус.

    Следующей жертвой хакеров стал клуб «Антидроп», состоящий из представителей служб безопасности банков, которые обмениваются между собой информацией о мошенничествах. 18 декабря 2015 года Buhtrap разослала участникам клуба письма с почтового ящика mironova.olga@gazprombank.com.ru с темой «Срочно! Обновленная база дропов», в которых была ссылка на вирус, размещённый на фальшивом сайте Газпромбанка (настоящий gazprombank.ru). Вирус работал по схеме, аналогичной сценарию с письмами от Центробанка.

    этапы.png этапы2.png


    Тактика атак BUHTRAP на клиентов банков

    1. Покупались доменные имена, схожие по написанию с доменами легитимных компаний, от имени которых планировалось проводить атаки.

    2. Арендовался сервер, на котором был корректно настроен почтовый сервер для рассылки фишинговых писем от имени легитимной компании. Корректная настройка отдельного сервера и покупка схожих по написанию доменов были необходимы, чтобы снизить вероятность попадания в спам и повышения вероятности открытия приложенных файлов.

    3. После успешного запуска вредоносной программы в результате эксплуатации уязвимостей проверялось наличие установки на системе поддержки русского языка и отсутствие признаков запуска в виртуальной или отладочной среде с целью снизить риск быть обнаруженными средствами защиты и антивирусными компаниями.

    4. Запускался основной модуль вредоносной программы, отвечающий за сбор данных и отправку их на удаленный сервер
    атакующего.

    5. Вредоносная программа осуществляла поиск файлов и иных следов, характерных для работы с банковскими приложениями.
    Их подробный список мы привели в отчете.

    6. Если работа с банковскими приложениями была зафиксирована, по команде осуществлялась загрузка легитимного средства удаленного доступа Lite Manager. Операционная система настраивалась таким образом, чтобы доступ по протоколу RDP был разрешен.

    7. Используя удаленный доступ, злоумышленники создавали мошеннические платежные поручения и отправляли их в банк.

    Группа активно атаковала клиентов банков, вкладывалась в доработку вредоносной программы и искала более эффективные способы её распространения по корпоративным сетям. Было зафиксировано три разных способа распространения Buhtrap:
    - фишинговые рассылки;
    - наборы эксплойтов;
    - легальное программное обеспечение (в частности ПО Ammyy Admin и Lite Manager).

    Стоит отдельно заметить, что в разные периоды времени с сайта Ammyy распространяли модифицированную версию Ammyy не только с Buhtrap, но и другими троянами: Lurk, CoreBot, Ranbyus, Netwire RAT. Это отмечено в отчёте.

    Пора бы уже контролирующим органам покончить с вредоносной деятельностью этого вредоносного сайта и этой компании, распространителя вредоносов.

    См. PDF-документ во вложении
     

    Вложения:

    lilia-5-0 и Охотник нравится это.
  4. Охотник
    Оффлайн

    Охотник Активный пользователь

    Сообщения:
    281
    Симпатии:
    344
    Нифигасе. Нам на работу приезжали специалисты из компании по внедрению специлизированного ПО. Ставили свои программы. И эту Ammyy поставили. Через некоторое время с системой начались проблемы. Звонили им в другой город, они заломили свою цену за перестановку. Сами стали делать, пригласили соседского админа, оказалось вирусня пошла после их внедрения и работы удалено с этой прогой. Был скандал с договором и интеграцией, дошло до прокуратурского расследования. Теперь нам должны вернуть деньги. Мы то думали, просто вирусню занесли, а тут оказывается шпионажем пахнет.
     
    SNS-amigo нравится это.
  5. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    Уровень активности банковских троянов за 2015 год и рейтинг других угроз

    По данным отчета Симантек, посвященного финансовым угрозам 2015 года, основным способом распространения вредоносов по-прежнему остаются документы Microsoft Office, содержащие вредоносные макросы. Общее число банковских троянов значительно сократилось — на 73% по сравнению с 2014 годом.

    [​IMG]
    Рис.1. Снижение количества банковских троянов

    Но рано радоваться, т.к. согласно тому же отчёту уровень сложности малвари растет, а приёмы социальной инженерии, применяемые злоумышленниками, становятся всё изощрённее.

    Для распространения вредоносов злоумышленники по-прежнему используют спам-рассылки. Их письма содержат опасные вложения (в основном документы Microsoft Office), которые при запуске инициируют загрузку малвари.

    Всего за 2015 год специалисты Symantec обнаружили 656 различных банковских троянов, которые атаковали 547 банков в 49 странах мира. Наиболее распространенным и опасным среди банкеров по-прежнему остается Dridex, атаковавший сразу 315 финансовых учреждений. Также в списке наиболее распространенных угроз фигурируют Citadel, Zeus, Snifula, Dyre, Bebloh, Shifu и Carberp.

    [​IMG]
    Рис.2. Лидеры по количеству заражений

    В отчете указано, что наибольший интерес для атакующих представляют банки США, лидирующие с отрывом по количеству атак. Злоумышленники интересуются также учреждениями из Германии, Индии, Японии, Великобритании, Канады, Италии, Франции, Австралии и России.
    county.png

    Специалисты Symantec отмечают, что цена украденных банковских аккаунтов на чёрном рынке зависит от количества средств на счёту. Как правило, цена аккаунта составляет 5-10% от баланса счёта.

    Скачать полный отчёт Симантек
    http://www.symantec.com/content/en/...sponse/whitepapers/financial-threats-2015.pdf
     
    lilia-5-0 и Охотник нравится это.
  6. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    Кибермошенники, укравшие пожертвования на лечение детей, наказаны!

    Курчатовский районный суд Челябинска вынес приговор по уголовному делу в отношении Андрея Беспалова и Марата Мамлеева. Они признаны виновными в совершении преступления, предусмотренного чч. 1, 2 ст. 159.6 УК РФ (мошенничество в сфере компьютерной информации, совершенное группой лиц по предварительному сговору, с причинением значительного ущерба гражданам).

    Как было установлено в суде, Беспалов и Мамлеев в период с декабря 2013 года по июль 2015-го совершали хищения с сим-карт и подключенных к мобильному банку банковских карт, на которые поступали пожертвования на лечение детей, больных онкологическими заболеваниями.

    При совершении преступления обвиняемые использовали поддельные доверенности на замену сим-карт, технологические сим-карты для переноса данных и имели свои источники в различных банковских и телекоммуникационных компаниях.

    В итоге преступники похитили денежные средства десяти граждан (родителей тяжелобольных детей), а также благотворительного фонда «Живи, малыш» и благотворительной организации защиты животных «Я живой» на общую сумму около 1,2 млн рублей.

    При этом, 16-летний школьник уже готовился к операции, когда с его счета пропали все деньги, из-за чего он скончался, так и не дождавшись лечения.

    Деньги больных детей похитители тратили на развлечения: ночные клубы и выпивку. Информацию о счетах с крупными суммами за определенный процент они получали от сотрудников банков. Финансисты передавали мошенникам и все сопутствующие данные: серии и номера паспортов владельцев счетов и даже кодовые слова. Привлечь к уголовной ответственности информаторов не удалось. Их так и не установили.

    Преступление было раскрыто сотрудниками отдела "К" ГУ МВД России по Челябинской области. Причиненный денежный ущерб погашен в ходе судебного следствия.

    Суд приговорил Беспалова к четырем годам лишения свободы со штрафом в размере 100 тыс. рублей, а Мамлеева на два с половиной года. Отбывать наказание осужденным предстоит в колонии-поселении.

    /// Слишком мягкое наказание, ввиду того, что из-за их деяний и денежных махинаций умер ребенок.
     
    lilia-5-0 и Охотник нравится это.
  7. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    Вкалывают роботы, а не человек...

    Активно развивается новый вид мошенничества — воровство данных карт банковских клиентов с помощью внешних интерактивных голосовых ответов (IVR).

    Как работает эта мошенническая схема?
    Клиентам банков звонят не сами мошенники, а запрограммированные ими роботы, которые представляются сотрудниками банков и выуживают необходимую информацию. Схема прекрасно работает, так как автоматизированные программы пока еще вызывают доверие у населения. С апреля 2015 года по апрель 2016-го с помощью IVR мошенники украли с банковских карт россиян 6 млн рублей.

    Обычно IVR запрограммированы на входящие вызовы, в основном для приветствия абонентов: «Спасибо за звонок в нашу компанию. Если Вы знаете внутренний номер сотрудника, наберите номер прямо сейчас». Теперь злоумышленники стали использовать IVR и для исходящих звонков, чтобы воровать данные банковских карт. Запрограммированные мошенниками роботы, представляясь сотрудниками банков, просят граждан назвать данные карт, логины-пароли для входа в интернет-банк, CVV-коды, PIN-коды (причины называются разные, в основном «для уточнения информации» или «произошел сбой системы»). По прогнозам, в 2016 году объемы хищений средств с карт россиян с помощью роботов вырастет на 40–50%.

    ивр.png

    Как правило, мошенники запускают роботизированные программы в облачных дата-центрах — чтобы cкрыть следы (по IP-адресам злоумышленников вычислить проще). Для того, чтобы у собеседников не возникло подозрений, системы направляют их также на живых "сотрудников". Фактически это социальная инженерия, цель которой — получение реквизитов платежных инструментов.

    Клиенты банков обычно знают, что роботы только отвечают, но мало слышали о том, что роботы могут звонить. Сталкиваясь с нестандартной ситуацией, банковские клиенты теряются — это первое, что нужно злоумышленникам, дальше обрабатывать человека гораздо легче. Во-вторых, автоответчик вызывает доверие: в представлении людей подобные системы используют крупные компании. В-третьих, клиентов подкупает тот факт, что робот не обладает интеллектом, чтобы обманывать. Но при этом граждане, которые становятся мишенью мошенников, забывают, что настраивают систему звонков живые люди.

    С помощью данной схемы злоумышленники, как правило, выясняют одноразовые пароли для подтверждения операций через интернет-банк, они приходят клиентам в SMS. Робот сообщает клиенту, что произошла ошибочная транзакция в результате сбоя системы и для ее отмены нужен одноразовый пароль, который пришел в SMS.

    [​IMG] Не торопитесь предоставлять всю информацию, которую от вас требуют. Никому, особенно по телефону, не сообщайте ни PIN-код, ни CVV-код!!! Сбросьте звонок, перезвоните по контактному телефону, указанному на сайте банка, и уточните — действительно ли вам звонили и с какой целью. Даже если вас действительно тревожит кредитная организация, то это ни к чему вас не обязывает. Поэтому лучше связаться с банком по официальным каналам и уточнить информацию.
     
    lilia-5-0, Охотник и orderman нравится это.
  8. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    Банковский троян Trojan.Gozi — создатель P2P-сети

    Новые банковские троянцы (банкеры) появляются нечасто. Обычно злоумышленники просто модифицируют старые и/или известные вредоносные программы. Одной из таких модификаций банкера является Trojan.Gozi, обнаруженный вирусными аналитиками «Доктор Веб» .

    Эта вредоносная программа реализует широкий набор функций:
    - позволяет похищать данные, вводимые пользователями в онлайн-формы;
    - фиксировать и записывать нажатия клавиш клавиатуры (кейлоггинг);
    - умеет встраивать в веб-страницы постороннее содержимое (веб-инжекты).

    Кроме того, с помощью Trojan.Gozi киберпреступники могут получить удаленный доступ к рабочему столу зараженной машины с использованием технологии Virtual Network Computing (VNC). Trojan.Gozi по команде с сервера злоумышленников может запустить на инфицированном ПК прокси-сервер SOCKS, а также загружать и устанавливать различные плагины.

    Для определения адресов своих управляющих серверов Trojan.Gozi использует специальный алгоритм генерации доменов — Domain generation algorithm (DGA). Для этого он загружает с сервера NASA текстовый файл, используемый в качестве словаря, преобразует его с учетом текущей даты и на основе полученных значений формирует доменные имена, которые будет использовать в дальнейшем в качестве адресов управляющих серверов. Управляющий сервер меняется каждые 15 дней. Вся информация, которой Trojan.Gozi обменивается со своими командными серверами, шифруется.

    Trojan.Gozi может формировать одноранговые ботнеты для обмена данными с другими зараженными машинами напрямую, посредством создания P2P-сети. Передаваемая таким образом информация также шифруется.

    Благодаря наличию достаточно большого набора шпионских функций, главным образом возможности выполнять веб-инжекты, Trojan.Gozi может похищать на инфицированном ПК разную конфиденциальную информацию, в том числе используемую для доступа к системам «банк-клиент». Эта вредоносная программа успешно детектируется антивирусным ПО Dr.Web.
     
    Охотник и lilia-5-0 нравится это.
  9. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    Преступление и наказание

    12 апреля судили семерых участников хакерской группировки, занимавшейся взломом чужих банковских счетов и переводом средств на подконтрольные им счета. Замоскворецкий суд Москвы признал обвиняемых виновными в мошенничестве в сфере компьютерной информации, совершенном группой лиц по предварительному сговору в особо крупном размере (УК РФ, Статья 159.6).

    Суд приговорил Романа Куликова и Сергея Шумарина к 5,5 годам заключения, Илью Брагинского – к 6 годам и 2 месяцам, Дмитрия Федотова (он создатель набора эксплоитов Blackhole) – к 7 годам, Валерия Горбунова – к 7,5 годам. Владимир Попов и Артем Пальчевский получили по 8 лет лишения свободы. Пальчевскому приговор вынесен заочно, а сам он объявлен в розыск.

    Преступники использовали различные методы маскировки: скрывали реальный IP-адрес, применяли зарегистрированные на других лиц модемы, шифровали переписку, использовали сетевые псевдонимы. Они взламывали сайты и внедряли в их страницы элементы для переадресации информации на подконтрольный мошенникам сервер, содержащий вредоносное ПО. Инфицировав систему пользователя вредоносным ПО, с его помощью преступники собирали данные об ОС, устройства и установленных антивирусах, получали удаленный доступ к компьютеру, счетам и личным данным жертвы.

    za-chto-sidish_.png

    Но главное обвинение: мошенники атаковали смартфоны на платформе ОС Android вирусным приложением, маскировавшимся под полезное, через него подключались к услуге "Мобильный банк" и управляли чужими банковскими счетами. Взломав чужие банковские счета мошенники переводили деньги себе, используя фирмы-однодневки.

    Согласно материалам дела, общий ущерб от деятельности злоумышленников превысил 25 млн рублей.
     
    Охотник и lilia-5-0 нравится это.
  10. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    Банковский вредонос GozNym — потомок Gozi и Nymaim

    Исследователи из IBM Research X-Force обнаружили троян-гибрид, порожденный вредоносными программами Nymaim и Gozi. Оказывается, операторы Nymaim скомпилировали его исходный код с частью исходного кода Gozi, создав комбинацию, которая сейчас активно используется в нападениях на американские и канадские банки. Конечный результат — новый банковский троян в дикой природе. Добавление функционала Gozi ISFB позволило расширить возможности банковского троянца для облегчения мошенничества с помощью зараженных интернет-браузеров, в том числе и новым Microsoft Edge. Троян поддерживает веб-инжекты для Chrome, IE, Firefox и имеет модули, похожие на известные банковские трояны Zeus и SpyEye. Всего за несколько дней было похищено $4 млн из 24, как минимум, банков.

    Согласно данным из файлов конфигурации деятельность гибрида GozNym в настоящее время ориентирована на США. 22 цели — это банки, кредитные союзы и популярные платформы электронной коммерции. В списке скомпрометированных 2 финансовых института, базирующихся в Канаде. Главная цель операторов GozNym — бизнес-счета.

    [​IMG]

    Троян Gozi уже известен нам по другому делу. Возможно кому-то будет также интересна подробная информация из другого источника.
     
    Охотник и lilia-5-0 нравится это.
  11. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    Операция PLUTO успешно завершена: ATM-мошенники задержаны

    На прошлой неделе итальянские правоохранители совместно с Европолом обезвредили международную криминальную группировку, ответственную за широкомасштабное мошенничество с банкоматами, подделку документов и отмывание денег. Операция проходила под кодовым названием «PLUTO».

    Преступники взламывали банкоматы в разных странах-членах ЕС (Италия, Дания и Великобритания) для считывания данных с банковских карт и их последующего клонирования. В свою очередь «клонированные» платежные карты использовались для снятия больших сумм денег в банкоматах стран за пределами Евросоюза (Индонезия и Белиз). «Клонированные» карты использовались преимущественно с поддельными документами для приобретения одежды и электронного оборудования (мобильных телефонов, компьютеров и т.д.) и их дальнейшей перепродажи на черном рынке.

    [​IMG] img_5068_2.jpg

    14 апреля официально объявлено об аресте группы мошенников из 16 человек. Преступники похитили около 1,2 млн евро. В ходе полицейской операции было большое количество оборудования, в том числе устройства с микрокамерами, устройства для считывания карт, считыватели магнитных полос, а также компьютеры, телефоны и флэш-накопители, и огромное количество пластиковых карт.

    Полученная в результате расследования информация была также направлена в другие правоохранительные органы Европы и мира.
     
    Охотник, lilia-5-0, orderman и ещё 1-му нравится это.
  12. lilia-5-0
    Оффлайн

    lilia-5-0 Новый пользователь

    Сообщения:
    13
    Симпатии:
    18
    SNS-amigo, спасибо, узнала много нового и полезного. Кстати мне тоже из банка звонили и предлагали проверить данные. Но я отказалась. Торопилась просто за ребенком в садик. Теперь знаю, что правильно сделала.
     
    Охотник, SNS-amigo и Theriollaria нравится это.
  13. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    lilia-5-0, заходите почаще, надо быть в курсе всех последних событий в мире защиты и безопасности.
     
    lilia-5-0, Охотник и Theriollaria нравится это.
  14. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    Российский хакер Александр Панин осуждён к 9,5 годам тюрьмы в США

    Окружной суд Атланты (штат Джорджия) приговорил российского хакера Александра Андреевича Панина к 9,5 годам лишения свободы за участие в создании вирусной программы SpyEye, которая поразила 1,4 миллиона компьютеров по всему миру. Сам обвиняемый признал себя виновным лишь по одному из 23 пунктов обвинительной части приговора. В январе 2014 года россиянин сознался в преступном сговоре с гражданином Алжира для кражи денег с использованием мошеннических схем. Подельник Панина, алжирец Хамза Бенделладж (бен Деладж) получил 15 лет лишения свободы.

    [​IMG]

    Для справки:
    SpyEye представляет собой сложную вредоносную компьютерную программу, предназначенную для автоматизации процесса хищения конфиденциальной личной и финансовой информации, например, кражи учетных данных онлайн-банкинга, данных кредитных карт, имён пользователей, паролей, PIN-кодов и другой личной информации. По данным ФБР, программа нанесла ущерб не менее чем 250 финансовым организациям по всему миру.

    Панин был основным разработчиком и дистрибьютором вируса SpyEye. Действуя из России с 2009 по 2011, Панин вступил в сговор с другими злоумышленниками, в их числе соответчик по судебному делу Хамза Бенделладжи, из Алжира, также известный как "BX1". Вместе они развивали рынок, продавали в Интернете разные версии и составные части вируса SpyEye. Он продавал SpyEye за $ 1000 до $ 8500 по крайней мере 150 "клиентов", которые, в свою очередь, использовали их, чтобы настроить свои собственные серверы C2. Один из клиентов Панина, "Soldier" наработал более $ 3,2 млн в течение 6 месяцев использования вируса SpyEye.

    На след Панина агенты вышли после того, как в 2011 году конфисковали сервер у подельника россиянина. Бенделладжи был задержан в аэропорту Суварнабхуми в Бангкоке (Таиланд) 5 января 2013 года, когда он направлялся из Малайзии в Алжир. Экстрадирован из Таиланда в США 2 мая 2013 г. Затем сотрудники ФБР под видом покупателей произвели "контрольную покупку" SpyEye у Панина и подтвердили свои подозрения в причастности россиянина к киберпреступлению. Панин был задержан американскими властями 1 июля 2013 года в аэропорту Хартсфилд-Джексон г. Атланты, когда он направлялся Доминиканскую республику. Произведены аресты четырех клиентов и партнеров Панина SpyEye в Великобритании и Болгарии.

    Панина могли осудить на 150 лет, если бы ранее он не согласился помогать следствию.

     
    lilia-5-0, Охотник, orderman и ещё 1-му нравится это.
  15. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    Panda Banker: новый банковский троян

    Исследователи из Proofpoint сообщили о новом банковском трояне Panda Banker, разработанном на основе исходного кода Zeus. Этот банкер распространяется как через фишинговые письма, так и с помощью наборов эксплоитов.

    10 марта 2016 эксперты зафиксировали спам-кампанию, нацеленную на сотрудников СМИ и производственных предприятий. Фишинговые письма содержали вредоносный документ Microsoft Word, эксплуатирующий уязвимости CVE-2014-1761 и CVE-2012-0158 для загрузки Panda Banker с удаленного сервера, ранее использовавшегося для проведения других атак.

    19 марта исследователи обнаружили другую кампанию, на этот раз ориентированную на финансовые организации. Вредоносные документы содержали макрос-загрузчик Xbagging, загружающий дроппер Godzilla, который в свою очередь загружал Panda Banker.

    С марта этого года троян также распространялся тремя популярными наборами эксплоитов - Angler, Nuclear и Neutrino, нацеленными на организации в Австралии и Великобритании. Инфицировав систему, вредонос обращался к подконтрольному злоумышленникам C&C-серверу и передавал данные о инфицированном устройстве, в их числе данные об ОС, антивирусе и брандмауере, имени ботнета и его версии.

    В ходе анализа Panda Banker исследователи обнаружили множество общих черт с банковским трояном Zeus. Создаваемые вредоносом мьютексы, файлы, папки и ключи реестра оказались такими же, как у Zeus. Для сокрытия настоящих IP-адресов своих серверов стоящие за Panda Banker злоумышленники использовали метод flux DNS, также применявшийся в атаках с участием Zeus.
     
    lilia-5-0, Охотник и Theriollaria нравится это.
  16. Охотник
    Оффлайн

    Охотник Активный пользователь

    Сообщения:
    281
    Симпатии:
    344
    Задержаны участники преступной группы, похищавшей средства с банковских карт

    Следователи следственного комитета Республики Беларусь и Управления «К» МВД Республики Беларусь пресекли деятельность международной хакерской группировки, занимавшейся хищением средств с банковских счетов и финансовым мошенничеством.

    По данным следствия, на протяжении последних нескольких лет злоумышленники применяли вредоносное ПО с целью получения доступа к реквизитам банковских счетов различных компаний. К примеру, одна из американских компаний лишилась $1,35 млн. Мошенники предполагали отмыть украденные средства через счета фиктивных компаний в Беларуси, Китае, Бангладеш и других странах.

    В Минске задержали двух активных участников преступной группировки, 1981 и 1974 годов рождения. В ходе обыска у задержанных были изъяты предметы и документы, подтверждающие причастность к деятельности группировки. Действия преступников квалифицированы по ч.4 ст.212 Уголовного кодекса Республики Беларусь.
     
    lilia-5-0, orderman и SNS-amigo нравится это.
  17. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    Задержаны участники преступной группы, похищавшей средства со счетов клиентов российского банка

    Сотрудники Управления «К» МВД России совместно с оперативниками отдела «К» БСТМ МВД по Республике Марий Эл и отдела «К» БСТМ МВД по Республике Татарстан пресекли деятельность межрегиональной преступной группы, которая похищала денежные средства со счетов клиентов одного из крупных банков России.

    В Управление «К» поступила информация о появлении на территории РФ нового вида вредоносного ПО для устройств, работающие на платформе «Android».

    После попадания на устройство вредоносная программа запрашивала баланс привязанной к номеру банковской карты, скрывала поступающие уведомления и начинала переводить денежные средства с банковского счета потерпевшего на счета, подконтрольные злоумышленникам.

    Оперативники установили, что преступная группа состояла из четырех человек, проживающих на территории Приволжского Федерального округа. Её организатором являлся ранее судимый 28-летний житель Йошкар-Олы. В криминальном бизнесе был задействован и его 24-летний брат, проживавший в Казани на съемной квартире.

    В результате слаженных мероприятий на территории двух регионов России злоумышленники были задержаны. При обысках были изъяты ноутбуки со следами распространения в сети Интернет вредоносного ПО, 12 мобильных телефонов, 15 USB-модемов, более 300 сим-карт, электронные носители информации и порядка 70 банковских карт, на счета которых производилось зачисление похищенных денежных средств.

    В отношении задержанных возбуждено уголовное дело о краже совершенной группой по предварительному сговору.
     
    Охотник и lilia-5-0 нравится это.
  18. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    Банковский вредонос GozNym: Покорение Европы началось

    Спустя неделю после масштабной кампании против североамериканских банков, вредоносное ПО добралось до Европы. Новая модификация трояна нацелена на 17 финансовых организаций в Польше и один банк в Португалии.

    В ходе атаки при попытке зайти на сайт банка жертва перенаправляется на подконтрольный злоумышленникам ресурс. Данный метод очень эффективен, поскольку позволяет успешно обходить реализованные банками механизмы защиты. Ничего не подозревающий пользователь сразу же перенаправляется на вредоносный ресурс, так и не попав на настоящий сайт финансовой организации.

    Подконтрольный злоумышленникам ресурс является точной копией банковского сайта, и жертва не заподозрит обман. Так злоумышленники выманивают у пользователя секретные коды авторизации. Эта тактика доказала свою эффективность в атаках с использованием банковских троянов Dyre и Dridex, и на ее основе создатели GozNym разработали собственную схему.

    Атака с применением GozNym осуществляется в два этапа. Когда жертва пытается зайти на один из банковских сайтов из списка трояна, GozNym сразу же перенаправляет ее на соответствующую поддельную страницу. Для того чтобы пользователь не заметил подмену, в адресной строке указывается URL-адрес настоящего сайта и SSL-сертификат. Как и в других подобных атаках для сохранения SSL-соединения банку отправляется запрос empty/idle, однако на этом схожесть заканчивается.

    Поддельная страница содержит верхний пустой слой. Пустая страница представляет собой простой CSS-трюк, когда пустой div-элемент накладывается поверх всего экрана. Подобная «завеса» ничего не удаляет из исходного кода страницы, но скрывает ее вредоносный контент от глаз пользователя. В ходе второй фазы атаки верхний слой страницы удаляется, и жертве открывается вредоносный контент.
    Как сообщают в IBM X-Force, GozNym связывается с двумя C&C-серверами, один из которых находится в Москве.
     
    Охотник нравится это.
  19. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    Защити свой банкомат!!!

    Практически любой банкомат в мире уязвим к атакам – как с помощью вредоносного ПО, так и без него, показало новое исследование компании «Лаборатория Касперского». В основном причина заключается в использовании устаревшего программного обеспечения, наличии ошибок в конфигурации сети, а также отсутствии защиты многих компонентов системы от проникновения извне.

    К примеру, в большинстве банкоматов нередко используется операционная система Windows XP, с апреля 2014 года не поддерживаемая Microsoft. К тому же, программное обеспечение, предназначенное для взаимодействия системного блока банкомата с инфраструктурой банка и аппаратными модулями обработки транзакций, базируется на устаревшем незащищенном стандарте XFS. В XFS отсутствует авторизация команд, благодаря чему преступники могут инфицировать ОС банкомата и отправить свою команду в кардридер или диспенсер банкнот, а затем просто забрать все деньги, хранящиеся в устройстве.

    Как показало исследование, злоумышленникам вовсе не обязательно использовать вредоносы для заражения ПО банкомата или сеть банка, к которой он подключен. Очень часто в банкоматах отсутствует адекватная физическая защита, что позволяет преступникам получить доступ к блоку, где располагается компьютер, или к интернет-кабелю. Имея даже частичный физический доступ к устройству, злоумышленник может установить управляемый удаленно микрокомпьютер. Это позволит мошеннику перенаправить трафик с банкомата на поддельный процессинговый центр, с которого могут поступать любые команды.

    Соединение между банкоматом и процессинговым центром можно защитить различными методами, в частности, при помощи реализации VPN, SSL/TLS, межсетевого экрана или MAC-аутентификации. Однако в действительности банки часто пренебрегают подобными мерами безопасности.


    Просто удивительно, что это они только сейчас дотукали, тогда как мы уже 10 лет, как минимум, говорим о том же.

    7.png 73.PNG
     
    Охотник нравится это.
  20. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    Создатель банковского трояна Gozi отсидел свой срок и был освобожден

    Федеральный окружной суд южного округа Нью-Йорка приговорил к 37 месяцам тюремного заключения российского программиста Никиту Кузьмина – автора вредоносного ПО Gozi, применяемого для хищения средств с банковских счетов крупных компаний и финансовых организаций в США и Европе. Однако Кузьмин, задержанный в США в 2010 году, уже не будет находиться в тюрьме, т.к. этот срок он уже с лихвой отбыл, пока ожидал приговора. Также суд обязал россиянина выплатить штраф в размере $6.934.979 в качестве возмещения ущерба, причиненного деятельностью трояна.
    gozi-virus.png str1.jpg (кликни на картинку)
    Рис.1 Схема передачи вируса Gozi

    По данным следствия, вредоносом Gozi было инфицировано более 1 млн компьютеров в США, Германии, Великобритании, Польше, Франции, Финляндии, Италии, Турции и других странах. В США пострадали частные лица, компании и другие структуры, включая систему NASA. В ходе расследования эксперты по кибербезопасности обнаружили сервер, на котором хранилась похищенная трояном информация, в том числе данные о 10 тыс. счетов, принадлежащих более чем 5200 пользователей персональных компьютеров. Записи также содержали учетные данные к счетам более 300 компаний, включая крупные мировые банки.

     
    lilia-5-0 и Охотник нравится это.