«Доктор Веб» предупреждает о появлении новой вредоносной программы, способной инфицировать устройства под управлением операционных систем на ядре Linux.

Зловред-майнер получил название Linux.BtcMine.174. Он представляет собой большой сценарий, написанный на языке командной оболочки sh и содержащий более 1000 строк кода.

В процессе работы вредоносная программа использует несколько различных компонентов. В частности, в случае успешного проникновения в систему жертвы загружается одна из версий трояна Linux.BackDoor.Gates.9. Бэкдоры этого семейства позволяют выполнять поступающие от злоумышленников команды и проводить DDoS-атаки.

Кроме того, зловред может использовать набор эксплойтов для повышения уровня своих привилегий. Наконец, подгружается руткит-модуль, который способен выполнять такие функции, как кража вводимых пользователем паролей команды su, сокрытие файлов в файловой системе, сетевых соединений и запускаемых процессов.

Linux.BtcMine.174 способен завершать процессы антивирусов, а также с помощью пакетных менеджеров удалять файлы и директории соответствующих защитных продуктов.

Наконец, вредоносная программа осуществляет скрытую добычу криптовалюты Monero (XMR), что приводит к излишнему расходованию аппаратных ресурсов компьютера и увеличению счетов за электроэнергию.

Компания Group-IB сообщает о том, что злоумышленники, использующие вредоносную программу Buhtrap, вновь проявляют активность.

Киберкампания «Операция Buhtrap» («ловушка для бухгалтера»), нацеленная на российский бизнес, была раскрыта весной 2015 года. Злоумышленники распространяли банковское шпионское ПО, используя фишинговую рассылку и набор вредоносных программ для контроля над заражённым ПК.

Как теперь сообщается, киберпреступники взломали популярные сайты для бухгалтеров и юристов с целью распространения через них вредоносной программы. Главная цель злоумышленников — кража денег.

Схема атаки выглядит следующим образом. При посещении одного из взломанных легальных ресурсов пользователь в скрытом режиме перенаправляется на сервер с набором эксплойтов. Если в веб-браузере потенциальной жертвы удаётся найти уязвимость, происходит исполнение PowerShell-скрипта. Затем при помощи специального загрузчика в систему проникает банковский троян.

Любопытно, что Buhtrap загружается только на те компьютеры, с которых осуществляется работа с системами дистанционного банковского обслуживания.

Нужно отметить, что троян Buhtrap в последние годы использовался разными преступными группами для кражи денег у компаний и банков. С августа 2015 по февраль 2016 группа Buhtrap совершила 13 успешных атак на российские банки, похитив 1,8 миллиарда рублей ($25 млн). В двух случаях сумма хищений в 2,5 раза превзошла уставной капитал банка.

Более подробно о расследовании Group-IB можно узнать здесь. 

Как известно, двухфакторная аутентификация в дополнение к обычному логину и паролю использует код из нескольких цифр, генерируемый отдельным устройством (токеном) или, что бывает чаще в последнее время, специальным приложением в мобильном телефоне. Это надежный способ защиты, однако опытная группа киберпреступников, которая работает в Европе, нашла способ обойти его, организовав согласованную атаку на оба устройства пользователя.

"Получив фишинговое письмо или попав на поддельный сайт, пользователь нажимает на привлекательную ссылку, с которой загружается внешне безобидный контент, инфицированный Eurograbber, одной из версий троянской программы Zeus, ориентированной на банковские онлайн-инструменты, - пояснил Даррел Баркей (Darrell Burkey), директор подразделения IPS (Intrusion Prevention System) Checkpoint Software, одной из двух компаний, исследовавших эксплойт, с помощью которого у примерно 30000 европейских клиентов банков было похищено более €36 миллионов. - После инфицирования он будет сидеть тихо, пока человек не обратится в следующий раз к своему банковскому счету. Тогда троян предлагает обновить программное обеспечение, в ходе которого необходимо будет ввести номер мобильного телефона пользователя. Затем он попросит перейти на мобильный телефон и следовать инструкциям там".

Эти инструкции содержат ссылку на мобильную версию трояна, после загрузки которого оба устройства будут эффективно контролироваться преступниками. И каждый раз при обращении пользователя к своему банковскому счету, вредоносная программа будет инициировать транзакцию перевода денег участнику группы, ответственному за обналичивание. "Клиенты понятия не имели, что деньги перемещаются с их счетов", - сказал Баркей. Тем не менее, двухфакторная аутентификация остается жизнеспособным компонентом безопасности, особенно с использованием токена. Ведь главное оружие киберпреступников - вовсе не изощрённые вредоносные программы, а хорошее знание человеческой психологии.

Материалы по теме:

• Настоящее и будущее российского серверного рынка: мнение экспертов;
• Технологии виртуализации: тенденции и перспективы развития в корпоративном секторе рынка;
• Готовность IT-инфраструктуры к аварийному восстановлению: исследование Acronis.

Источник:

• crn.com