Компания «Доктор Веб» — российский производитель
антивирусных средств защиты информации — предупреждает о распространении
вредоносной программы, угрожающей пользователям SAP — комплекса
программных решений для бизнеса. Данное вредоносное приложение является
представителем широко распространенного семейства банковских троянцев Trojan.PWS.Ibank, способных похищать вводимые пользователем пароли и другую конфиденциальную информацию.
Специалисты компании «Доктор Веб» провели комплексное исследование
этой угрозы. По сравнению с другими вредоносными программами семейства
Trojan.PWS.Ibank, данный образец отличается видоизмененной архитектурой
бота, также были внесены изменения в механизмы межпроцессорного
взаимодействия (IPC), упразднена подсистема SOCKS5. Вместе с тем,
практически неизменным остался используемый троянцем внутренний алгоритм
шифрования, реализация полезной нагрузки в виде отдельной динамической
библиотеки, а также протокол общения с командным центром
злоумышленников.
Модуль установки троянца обладает функционалом, позволяющим
определить попытку запуска вредоносной программы в отладочной среде или
виртуальной машине, чтобы затруднить её исследование специалистами.
Также выполняется проверка на выполнение в изолированной среде
«песочницы» Sandboxie — утилиты для контроля за работой различных
программ. При этом троянец способен действовать как в 32-битных, так и в
64-битных версиях Microsoft Windows, используя различные способы
внедрения в операционную систему. Основной модуль троянца, способен
выполнять две новые команды (по сравнению с предыдущими версиями
Trojan.PWS.Ibank) — одна из них активирует/дезактивирует блокировку
банковских клиентов, другая — позволяет получить от управляющего сервера
конфигурационный файл.
Еще одной важной отличительной особенностью троянца Trojan.PWS.Ibank
является его способность встраиваться в различные работающие процессы, а
обновленная версия получила дополнительный функционал, позволяющий
проверять имена запущенных программ, в том числе клиента SAP —
комплекса бизнес-приложений, предназначенных для управления
предприятием. Данный программный комплекс включает множество модулей, в
том числе, компоненты управления налогообложением, сбытом,
товарооборотом, и потому оперирует конфиденциальной информацией, весьма
чувствительной для коммерческих предприятий. Первая версия троянца,
проверявшего наличие SAP в инфицированной системе, получила
распространение еще в июне: она была добавлена в базы Dr.Web под именем
Trojan.PWS.Ibank.690, текущая же имеет обозначение
Trojan.PWS.Ibank.752. Напомним, что троянцы Trojan.PWS.Ibank обладают
весьма широким набором вредоносных функций, среди которых можно отметить
следующие:
- похищение и передача злоумышленникам вводимых пользователем паролей;
- воспрепятствование доступу к сайтам антивирусных компаний;
- выполнение команд, поступающих от удаленного командного сервера;
- организация на инфицированном компьютере прокси-сервера и VNC-сервера;
- уничтожение по команде операционной системы и загрузочных областей диска.
Возросший интерес вирусописателей к программным комплексам SAP и
ERP-системам не может не беспокоить специалистов по информационной
безопасности: с использованием подобных технологий злоумышленники могут
попытаться похитить критическую для коммерческих предприятий информацию,
обработка которой осуществляется с применением данных систем. Однако
стоит отметить, что на сегодняшний день троянцы семейства
Trojan.PWS.Ibank не предпринимают никаких деструктивных действий в
отношении программного комплекса SAP, но проверяют факт его наличия в
инфицированной системе и пытаются встроиться в соответствующий процесс,
если он запущен в Windows. Вполне возможно, что таким образом
вирусописатели создают для себя некий «задел на будущее». Возросший
интерес вирусописателей к программным комплексам SAP и ERP-системам не
может не беспокоить специалистов по информационной безопасности: с
использованием подобных технологий злоумышленники могут попытаться
похитить критическую для коммерческих предприятий информацию, обработка
которой осуществляется с применением данных систем.
На сегодняшний день троянцы семейства Trojan.PWS.Ibank
не предпринимают никаких деструктивных действий в отношении
программного комплекса SAP, но проверяют факт его наличия в
инфицированной системе и пытаются встроиться в соответствующий процесс,
если он запущен в Windows. Вполне возможно, что таким образом
вирусописатели создают для себя некий «задел на будущее».
|