Security Week 11: сомнительные новости банковской направленности, убийца майнеров, имитация банка

    Новость
    А вот любопытная свеженькая находка наших коллег. Некие предприимчивые товарищи решили снабдить публику необычными новостями. Впрочем, новости были так себе: не очень свежий эксплойт IE да троян Buhtrap, известный с 2014 года. И все это добро вывесили на ряд российских новостных сайтов, откуда и раздавали читателям. Незаметно, разумеется.

    Эксплойт для Internet Explorer (CVE-2016-0189), также известный как VBScript Godmode, злоумышленники писали не сами — попятили из открытого источника. Троян, по сути, тоже лишь слегка модифицировали. Он, кстати, всегда использовался для воровства денег со счетов юридических лиц. Так что, по всей видимости, и тут была попытка добраться до компьютеров финансистов.

    Некоторое сомнение вызывает эффективность всего этого мероприятия. Много ли людей читает новости не на мобильных устройствах, а со стационарных компьютеров? Сколько из них до сих пор используют Internet Explorer, который не патчился с 2016 года? А среди них много ли было финансистов? Ну, впрочем, пусть анализом занимаются авторы этой малварной кампании.

    Майнер против майнеров


    Новость

    Некий злоумышленник разработал чуть ли не первый в своем роде бесфайловый «черный майнер», подошел к задаче ответственно и дотошно… и за три недели кампании заработал всего ничего, долларов двести. Зато его код неожиданно помог создать инструмент против других майнеров.

    Для того чтобы успешно функционировать без необходимости иметь в зараженной системе файл, это вредонос использует PowerShell. За умение не оставлять следов находку обозвали GhostMiner.

    Как показало вскрытие, зловред потенциально способен заражать серверы под управлением MSSQL, phpMyAdmin и OracleWebLogic. Однако захваченные в дикой природе экземпляры искали в сети лишь случайные серверы WebLogic, проникая на них через уязвимость, описанную еще в прошлом октябре.

    Попав в желанную кормушку, зловред запускал два скрипта PowerShell, которые подгружали в память два компонента. Один из них, слегка модифицированный XMRig, занимался собственно добычей Monero, другой отвечал за размножение заразы почкованием. Но самое интересное: майнер начинал работать только после того, как зловред устранял потенциальных конкурентов — всех прочих добытчиков криптовалюты, которые могли оказаться на сервере. При этом создатели GhostMiner проявили исключительное знание своего дела: они вшили в скрипт не только возможность удалять майнинговые процессы, пользуясь черными списками известных угроз, но и научили свое детище искать конкурентов по аргументам командной строки и TCP-портам, к которым подозрительные процессы подключались.

    Решение в самом деле оказалось таким простым и удачным, что исследователи из Menerva Labs даже решили превратить его в инструмент, который они назвали MinerKiller и выложили на GitHub с минимальными изменениями. Своего рода признание невольных заслуг авторов зловреда на поприще кибербезопасности.

    Не звоните, мы вам сами позвоним


    Новость

    Давно известный экспертам безопасности зловред FakeBank, который распространяется через социальные сети и сторонние магазины приложений (не Google Play), стал еще зловреднее. Раньше он только воровал финансовые и околофинансовые данные, а также перехватывал приходящие из банков SMS и мешал открывать легитимные банковские приложения.

    Теперь же FakeBank научился перенаправлять звонки в банк на другие номера и, наоборот, маскировать номер телефона мошенников во время входящих вызовов, чтобы у пользователя складывалось впечатление, будто ему звонят из банка. Делается это за счет мухлежа с пользовательским интерфейсом.

    Притворяясь сотрудниками банка, преступники выманивают ценные сведения: реквизиты карты и даже CVV-код. К счастью, в Android 8.0 Oreo приложениям уже не разрешается управлять интерфейсом, а потому владельцам телефонов с этой ОС новая версия зловреда не опасна.

    Пока все атаки FakeBank 2.0 имели место только в Южной Корее, но и нам расслабляться не стоит: первая версия FakeBank целилась именно в российские банки.

    Гороскоп


    Вместо традиционных преданий старины глубокой, в этом выпуске мы решили рассказать о гороскопе, который поможет выжить в мире киберугроз. Кто вы по знаку зодиака — Набор торцевых головок или Камерный духовой оркестр? Малоадекватные практические советы вы можете найти вот тут.

    Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.
    «Лаборатория Касперского» 330,81
    Ловим вирусы, исследуем угрозы, спасаем мир
    Поделиться публикацией
    Комментарии 2
    • 0
      назвали MinerKiller и выложили на GitHub с минимальными изменениями

      Не хватает ссылки github.com/MinervaLabsResearch/BlogPosts/tree/master/MinerKiller
      • 0
        По поводу IE, может на российском сегменте они просто тренировались, а нацелились в будущем на корейский, где все сейты сделаны и работают строго под этот браузер?! :)

        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

        Самое читаемое