Security Week 11: сомнительные новости банковской направленности, убийца майнеров, имитация банка

Новость ^[1]
[2]А вот любопытная свеженькая находка наших коллег. Некие предприимчивые товарищи решили снабдить публику необычными новостями. Впрочем, новости были так себе: не очень свежий эксплойт IE да троян Buhtrap, известный с 2014 года. И все это добро вывесили на ряд российских новостных сайтов, откуда и раздавали читателям. Незаметно, разумеется.

Эксплойт для Internet Explorer (CVE-2016-0189), также известный как VBScript Godmode, злоумышленники писали не сами — попятили из открытого источника. Троян, по сути, тоже лишь слегка модифицировали. Он, кстати, всегда использовался для воровства денег со счетов юридических лиц. Так что, по всей видимости, и тут была попытка добраться до компьютеров финансистов.

Некоторое сомнение вызывает эффективность всего этого мероприятия. Много ли людей читает новости не на мобильных устройствах, а со стационарных компьютеров? Сколько из них до сих пор используют Internet Explorer, который не патчился с 2016 года? А среди них много ли было финансистов? Ну, впрочем, пусть анализом занимаются авторы этой малварной кампании.

Майнер против майнеров

Новость ^[3]

Некий злоумышленник разработал чуть ли не первый в своем роде бесфайловый «черный майнер», подошел к задаче ответственно и дотошно… и за три недели кампании заработал всего ничего, долларов двести. Зато его код неожиданно помог создать инструмент против других майнеров.

Для того чтобы успешно функционировать без необходимости иметь в зараженной системе файл, это вредонос использует PowerShell. За умение не оставлять следов находку обозвали GhostMiner.

Как показало вскрытие, зловред потенциально способен заражать серверы под управлением MSSQL, phpMyAdmin и OracleWebLogic. Однако захваченные в дикой природе экземпляры искали в сети лишь случайные серверы WebLogic, проникая на них через уязвимость, описанную еще в прошлом октябре.

Попав в желанную кормушку, зловред запускал два скрипта PowerShell, которые подгружали в память два компонента. Один из них, слегка модифицированный XMRig, занимался собственно добычей Monero, другой отвечал за размножение заразы почкованием. Но самое интересное: майнер начинал работать только после того, как зловред устранял потенциальных конкурентов — всех прочих добытчиков криптовалюты, которые могли оказаться на сервере. При этом создатели GhostMiner проявили исключительное знание своего дела: они вшили в скрипт не только возможность удалять майнинговые процессы, пользуясь черными списками известных угроз, но и научили свое детище искать конкурентов по аргументам командной строки и TCP-портам, к которым подозрительные процессы подключались.

Решение в самом деле оказалось таким простым и удачным, что исследователи из Menerva Labs даже решили превратить его в инструмент, который они назвали MinerKiller и выложили на GitHub с минимальными изменениями. Своего рода признание невольных заслуг авторов зловреда на поприще кибербезопасности.

Не звоните, мы вам сами позвоним

Новость ^[4]

Давно известный экспертам безопасности зловред FakeBank, который распространяется через социальные сети и сторонние магазины приложений (не Google Play), стал еще зловреднее. Раньше он только воровал финансовые и околофинансовые данные, а также перехватывал приходящие из банков SMS и мешал открывать легитимные банковские приложения.

Теперь же FakeBank научился перенаправлять звонки в банк на другие номера и, наоборот, маскировать номер телефона мошенников во время входящих вызовов, чтобы у пользователя складывалось впечатление, будто ему звонят из банка. Делается это за счет мухлежа с пользовательским интерфейсом.

Притворяясь сотрудниками банка, преступники выманивают ценные сведения: реквизиты карты и даже CVV-код. К счастью, в Android 8.0 Oreo приложениям уже не разрешается управлять интерфейсом, а потому владельцам телефонов с этой ОС новая версия зловреда не опасна.

Пока все атаки FakeBank 2.0 имели место только в Южной Корее, но и нам расслабляться не стоит: первая версия FakeBank целилась именно в российские банки.

Гороскоп

Вместо традиционных преданий старины глубокой, в этом выпуске мы решили рассказать о гороскопе, который поможет выжить в мире киберугроз. Кто вы по знаку зодиака — Набор торцевых головок или Камерный духовой оркестр? Малоадекватные практические советы вы можете найти вот тут ^[5].

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.

Автор: Kaspersky_Lab

Источник ^[6]