ESET: Обнаружена новая модификация банковского трояна Carberp


ESET NOD32Специалисты по безопасности компании ESET обнаружили новую модификацию троянской программы Carberp, использующую легальное ПО для хищения денежных средств. Также троян способен обходить механизм двухфакторной аутентификации с применением одноразовых паролей.

В результате детального изучения новой версии трояна Carberp было установлено, что новый вредоносный код трояна начал использовать специальную Java-библиотеку с открытым исходным кодом (так называемую Javassist). С помощью данной библиотеки Carberp модифицирует банковское ПО, основанное на языке программирования Java.

Одной из первых кибер группировок, использовавших вредоносные программы для массового заражения систем удаленного банковского обслуживания, была хакерская группа Carberp. Летом 2012 года многие члены данной группы были арестованы, однако семейство этих вредоносных программ все же сохраняет высокую активность, особенно на территории России и Украине.

Основная цель новой версии Carberp - модификация программного комплекса iBank 2 компании БИФИТ, широко применяемая для дистанционного банковского обслуживания пользователей в России и на Украине. Для достижения этой цели Carberp использует вредоносный java-модуль, детектируемый продуктами ESET, как Java/Spy.Banker.AB. Функционал данного модуля позволяет обходить системы двухфакторной аутентификации с использованием одноразовых паролей.

Еще одна особенность вредоносного модуля Java/Spy.Banker - применение легитимной библиотеки для модификации кода банковского ПО. Такая методика позволяет Carberp лучше скрываться в системе и усложняет распознавание угрозы антивирусными продуктами.

Ущерб, нанесенный киберпреступниками с применением данного трояна исчисляется миллиардами рублей. Недавно зафиксированный новый вредоносный компонент, целенаправленно атакующий системы ДБО iBank2, построенные на базе программного обеспечения компании БИФИТ. Этот вредоносный компонент (Java/Spy.Banker.AB), на момент своего обнаружения компанией ESET, имел крайне низкий уровень обнаружения со стороны других поставщиков антивирусного ПО. Это связано, прежде всего, с технологическими особенностями вредоноса и использования им легальной библиотеки для модификации Java байт-кода в процессе активности iBank2-клиента.

После заражения ПК и внедрения в клиент ДБО, злоумышленники получают возможность контролировать все платежи, которые осуществляет пользователь при помощи этого банковского ПО. Комплекс iBank2 не проверяет целостность своего кода и может осуществлять денежные транзакции даже после модификации.


Обновлено (26.03.2013 17:13)