Спецпроекты

Специалисты Eset и Group-IB обнаружили новую угрозу для систем ДБО

Интернет Безопасность Пользователю Администратору

Специалисты Центра вирусных исследований и аналитики Eset обнаружили новую угрозу – Win32/Sheldor.NAD, которая представляет собой модифицированную версию программного обеспечения для удаленного администрирования компьютера – TeamViewer 5.0. Данные сведения были получены сотрудниками Центра при проведении экспертизы в рамках расследования компанией Group-IB инцидента, связанного с мошенничеством в системах дистанционного банковского обслуживания (ДБО), говорится в сообщении Eset.

Только за последние два месяца специалисты Group-IB зафиксировали 30% рост инцидентов, связанных с мошенничеством в системах ДБО. «Распространенными причинами подобных инцидентов является слабая политика информационной безопасности в малом и среднем бизнесе, – отметил Илья Сачков, генеральный директор компании Group IB. – Также тенденция последних инцидентов в этой сфере показывает рост профессионализма злоумышленников при разработке вредоносного ПО. Поэтому постоянный анализ новых видов мошеннических программ является залогом успешных расследований преступлений в системах ДБО».

В процессе расследования инцидента, произошедшего в одном из российских банков, была выявлена вредоносная программа Win32/Sheldor.NAD (по классификации Eset), модификация TeamViewer. При этом был модифицирован один из модулей легальной программы, который используется в процессе сетевого взаимодействия с серверами TeamViewer, сообщили в Eset. Модификация позволяла отправлять аутентификационные данные актуального сеанса TeamViewer на сервер злоумышленников, у которых появлялась возможность в любой момент получить доступ к активной сессии пользователя на зараженном ПК. Это означает, что мошенники имели не только доступ к конфиденциальным данным пользователя, но и могли выполнять ряд действий на инфицированном компьютере, в том числе осуществлять транзакции в системах ДБО, что вело к финансовым потерям пользователя, пояснили в компании.

Так как большинство компонентов модифицированной версии TeamViewer имели легальную цифровую подпись и являлись легальными компонентами, за исключением одного модуля, количество антивирусных продуктов, зафиксировавших угрозу на момент ее обнаружения, было невелико. По данным Eset, модифицированная версия TeamViewer устанавливалась в систему пользователя при помощи специально разработанной троянской программы-инсталлятора, которая создавала все необходимые ключи реестра для работы Win32/Sheldor.NAD: копировала компоненты TeamViewer в системную папку %WINDIR% и добавляла в автозапуск.

«Использование легальных программ удаленного администрирования для различного рода действий злоумышленников мы встречаем уже далеко не первый раз, – рассказал Александр Матросов, директор Центра вирусных исследований и аналитики компании Eset. – Однако в данном инциденте речь идет о модификации функционала популярной программы TeamViewer, что говорит о том, что злоумышленники явно преследовали цель максимальной схожести с легальным ПО. Это и позволило им оставаться незамеченными для большинства антивирусных решений».



Взгляд месяца

Государство должно получать данные напрямую из информсистем компаний

Савва Шипов

Замминистра Минэкономразвития

Профиль месяца

Нужно ли локализовывать иностранное ПО

Александр Шохин

президент Российского союза промышленников и предпринимателей