Mail.RuПочтаМой МирОдноклассникиИгрыЗнакомстваНовостиПоискВсе проекты
17 февраля 2017

Опасный вирус угрожает российским компаниям

Специалисты «Лаборатории Касперского» рассказали о новой технологии хакерских атак, которая угрожает, в первую очередь, мелкому и среднему бизнесу. Хакеры изменяли данные в документах, которыми обмениваются банковские и бухгалтерские системы, это позволило украсть около 200 млн рублей.

Как работает мошенническая схема

Хакеры использовали троянскую программу Trojan-Banker.Win32.TwoBee.gen, чтобы редактировать текстовые документы. Эксперты по безопасности обнаружили ее в конце 2016 года и утверждают, что атакам подверглось множество серьезных организаций.

Пример формата текстового документа

Ранее подход уже использовали – данные подменял троян Carberp. С приходом в системы функций шифрования процесс усложнился, однако методика часто срабатывает.

Для файлов обычно задаются стандартные имена, и найти их очень легко, к тому же данные имеют простой формат выгрузки. До того, как деньги отправятся по указанным реквизитам, информация о переводах сохраняется в этих файлах. Троянская программа TwoBee изменяет получателя платежа – это несложно, так как формат не защищен.

TwoBee, как правило, устанавливается с помощью BuhTrap или других программ, а  также с помощью средств удаленного администрирования – LiteManager и пр. Используется три блока: один запускает троян, второй подменяет реквизиты, третий удаляет вредоносное ПО. Для подмены реквизитов уже написаны десятки модулей.

Атаке подверглись преимущественно российские компании:

Эксперты утверждают, что для борьбы с мошеннической схемой необходимо внедрять системы шифрования документов в финансовых программах. Защищенные выгрузки серьезно усложнят процесс подмены реквизитов.

Расскажите о новом способе кражи денег друзьям — нажмите на кнопки ниже
Обзоры новинок
Подробности о главных премьерах
Комментарии
29
S.K.
В ответ на комментарий от Xenos WIGHT История переписки7
Xenos WIGHT
Браузер открыл. А что в браузере запущено?
СсылкаПожаловаться
Это все элементарно получается. Короче, я не собираюсь читать тут курс. Если интересно - изучайте безопасность. Вас ждет много удивительных открытий. А что касается проверки, с которой все началось, то она может сработать в недоверенной среде только при условии ГАРАНТИИ неизменности данных. Такую гарантию дает, в частности, шифрование и/или подпись данных. Т.е. из бухгалтерской программы должен выходить пакет данных зашифрованным и/или снабженный ЭП. Вот только тогда есть смысл грузить его обратно в бухпрограмму и проверять целостность. Ибо если у трояна нет полной ключевой пары, то он ничего не сможет подделать - это будет немедленно обнаружено. Справедливо только для асимметричной криптографии.
СсылкаПожаловаться
S.K.
..
СсылкаПожаловаться
Xenos WIGHT
В ответ на комментарий от S.K. История переписки6
S.K.
Уж узнать кто открыл файл в Windows - это элементарно
СсылкаПожаловаться
Браузер открыл. А что в браузере запущено?
СсылкаПожаловаться
Чтобы оставить комментарий, вам нужно авторизоваться.
Обнаружили ошибку? Выделите ее и нажмите Ctrl+Enter.
Подпишитесь на нас
Новости Hi-Tech Mail.Ru