Арестована группировка, работавшая с вирусом LURK

AlexZir · 02.06.2016, 13:00

Цитата:

МВД и ФСБ России при экспертной поддержке «Лаборатории Касперского» и участии Сбербанка пресекли киберпреступную деятельность группировки, на протяжении пяти лет кравшей деньги со счетов пользователей в России и других странах СНГ с помощью банковского троянца. Выйти на след преступников помогло участие в операции специалистов «Лаборатории Касперского»: они провели тщательный анализ вредоносного ПО, в результате чего была выявлена сетевая инфраструктура группы атакующих, установлены их личности и собраны доказательства их причастности к киберпреступлениям. По данным МВД России, ущерб от деятельности группировки в общей сложности превысил 3 миллиарда рублей.
«Лаборатория Касперского» детектирует атаки с участием троянца Lurk с июля 2011 года. Конечная цель зловреда – доступ к системе дистанционного банковского обслуживания для непосредственной кражи денег. Однако помимо клиентов банков и самих финансовых организаций, злоумышленников, использовавших Lurk, интересовали также веб-ресурсы СМИ и новостных агрегаторов, поскольку размещение троянца на таких популярных страницах открывало им возможность широкого распространения зловреда. Заражение жертв обычно происходило либо через взломанные сайты, либо через программы-эксплойты, либо через проникновение в наименее защищенный компьютер внутри корпоративной сети организации.
Троянец Lurk отличается хорошей технической проработкой – на протяжении пяти лет вирусописатели постоянно совершенствовали его, используя современные технологии. К примеру, он оказался одним из чрезвычайно редких зловредов, чей вредоносный код не сохраняется на жестком диске зараженного компьютера, а функционирует исключительно в оперативной памяти. Помимо этого, разработчики всеми возможными средствами старались минимизировать риск детектирования троянца антивирусными программами. Киберпреступники использовали различные VPN-сервисы, анонимную сеть Tor, скомпрометированные или беспроводные точки доступа сторонних пользователей и даже серверы атакованных IT-организаций.
«Lurk отличает высокая таргетированность – его авторы всегда делали все возможное для того чтобы заразить максимальное количество интересных им жертв, не привлекая при этом внимания аналитиков и правоохранительных органов. В ходе анализа нам удалось выяснить, что за троянцем все-таки стояла одна группировка, и по всей видимости в нее входили профессиональные разработчики и тестировщики. Наши продукты всегда распознавали и успешно блокировали деятельность зловреда, а арест его создателей, надеемся, приведет к окончательному закату Lurk», – отметил Руслан Стоянов, руководитель отдела расследования компьютерных инцидентов «Лаборатории Касперского».
Источник

Странно, но почему-то размер ущерба с вчерашнего "почти 2 млрд" сегодня вырос уже до "3 млрд рублей". Создается впечатление, что на бедолаг сейчас повесят все висяки по хищениям.

highman · 02.06.2016, 13:10

как в анекдоте.
Директор ограбленного банка говорит репортёру:
- у нас украли 5 миллионов, напишите что 10.
- почему?
- а пусть грабителя жена мучает, где ещё 5 миллионов

AlexZir · 02.06.2016, 13:10

Один из способов заражения системы вирусом LURK:

Цитата:

Эксперты «Лаборатории Касперского» обнаружили уникальную атаку, в ходе которой злоумышленники использовали вредоносную программу, способную функционировать без создания файлов на зараженной системе. Для распространения вредоносного кода была задействована тизерная сеть, включающая в себя ряд популярных российских новостных ресурсов.
В ходе проведенного экспертами «Лаборатории Касперского» исследования было установлено, что заражению подвергались посетители сайтов некоторых российских онлайн-СМИ, использующих на своих страницах тизеры сети, организованной при помощи технологий AdFox. При загрузке одного из тизеров новостей браузер пользователя скрытно перенаправлялся на вредоносный сайт, содержащий Java-эксплойт. Однако в отличие от стандартных drive-by атак вредоносная программа не загружалась на жесткий диск, а функционировала исключительно в оперативной памяти компьютера.
Действуя как бот, зловред посылал на сервер злоумышленников запросы и данные об истории посещения сайтов из браузера пользователя. Если в переданных данных содержалась информация об использовании системы дистанционного банковского обслуживания, на зараженный компьютер устанавливался троянец Lurk, предназначенный для хищения конфиденциальной информации пользователей для доступа к системам онлайн-банкинга ряда крупных российских банков.
Однако в ходе расследования было установлено, что сама сеть AdFox не является источником заражения. Изменения в код баннеров анонсов новостей путем добавления к ним ссылки на вредоносный сайт были внесены злоумышленниками с аккаунта одного из клиентов AdFox. Таким образом, они получили возможность атаковать посетителей не только одного новостного сайта, но и прочих ресурсов, которые используют у себя аналогичную систему. В результате, количество потенциально атакованных пользователей может достигать десятков тысяч.
«Мы имеем дело с уникальной атакой. Использование злоумышленниками тизерной сети, является одним из самых эффективных способов установки вредоносного кода, ввиду наличия на него ссылок с большого количества популярных ресурсов, — комментирует Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского». — Кроме того, мы впервые за несколько последних лет столкнулись с редкой разновидностью зловредов — так называемыми «бестелесными» вредоносными программами, которые не существуют в виде файла на диске, а функционируют исключительно в оперативной памяти зараженного компьютера, что значительно усложняет процесс его обнаружения с помощью антивируса».
Несмотря на то, что «бестелесные» программы способны работать только до перезагрузки операционной системы, вероятность того, что пользователь вновь попадет на зараженный новостной сайт, достаточно высока. Эксперты «Лаборатории Касперского» предупреждают, что единственным надежным способом защиты от вредоносных программ, использующих уязвимости, является своевременная установка обновлений. В данном случае для устранения уязвимости CVE-2011-3544 в Java рекомендуется установка патча от Oracle, который можно скачать по ссылке www.oracle.com/technetwork/topics/security/javacpuoct2011-443431.html.

Источник

Если у вас старый софт с незакрытыми дырками и нет нормального антивирусника - нехрен пользоваться интернет-банкингом на компьютере. Хочешь иметь доступ к современным информационным услугам - будь готов платить.

AlexZir · 02.06.2016, 13:13

А тут я немного запутался в суммах ущерба

Цитата:

Списание денег происходило со счетов клиентов банков: троянец заражал саму компанию-клиента некоего банка, после чего, как только хакеры брали компьютер под контроль, они перечисляли деньги в адрес подставных фирм, рассказал Стоянов. По его словам, атаки были направлены в том числе на клиентов Сбербанка. У Сбербанка сильная служба безопасности, и все посягательства на сам банк были предотвращены, подчеркнул эксперт. «Когда подключились банковские структуры безопасности, в частности Сбербанка, стало понятнее, насколько большой ущерб наносит это программное обеспечение», — вспоминает Стоянов.

В общей сложности за все время деятельности группа из 50 хакеров смогла похитить более 3 млрд руб., сообщила РБК представитель «Лаборатории Касперского» Юлия Кривошеина со ссылкой на данные МВД. По данным «Лаборатории Касперского», хакеры похищали деньги на протяжении последних пяти лет. При этом данные о том, какой ущерб нанесли хакеры, разнятся. По данным МВД, ущерб от 18 целевых атак на компьютеры организаций превысил 3 млрд руб. с середины 2015 года по настоящее время. Также полиция смогла предотвратить возможный ущерб на сумму 2,2 млрд руб. По информации ФСБ, с помощью вирусной программы хакеры похитили 1,7 млрд руб.

Подробнее на РБК:
«Касперский» рассказал о*похитившем у банков 3 млрд*руб. вирусе :: Технологии и медиа :: РБК

AlexZir · 02.06.2016, 13:28

Еще немного информации о способах заражения вирусом LURK:

Цитата:

Как правило, в ходе работы подобных эксплойтов на жесткий диск устанавливается какой-либо вредоносный файл, чаще всего дроппер или загрузчик. Но в рассматриваемом инциденте нас поджидал сюрприз — файлы на диске не появлялись.
Получив все необходимые привилегии на компьютере жертвы, эксплойт не устанавливает на диск вредоносную программу средствами Java, а использует полезную нагрузку для загрузки зашифрованной динамической библиотеки dll из Сети прямо в память процесса javaw.exe. При этом адрес для загрузки данной библиотеки указан в зашифрованном виде в iframe в JS скрипте с AdFox.
....
После успешного инжекта и запуска вредоносного кода (dll) Java начинает отправлять на сторонние ресурсы запросы, имитирующие запросы к поисковой системе Google, вида «search?hl=us&source=hp&q=%s&aq=f&aqi=&aql=&oq =»…
В данных запросах содержатся данные об истории посещения сайтов из браузера пользователя и ряд дополнительной служебной информации с зараженной системы.
......
Во-первых, «бестелесная» вредоносная программа функционирует как бот: после серии запросов к серверу управления и полученных с сервера ответов эксплойт отключает несколькими способами UAC (User Account Control), и бот может установить на зараженный компьютер троянскую программу Lurk. При этом решение, устанавливать ли в систему Lurk, принимается на стороне сервера злоумышленников.
Во-вторых, вероятность того, что пользователь после перезагрузки системы вновь попадет на зараженный новостной сайт, достаточно высока. А это приведет к повторному заражению, и бот вновь окажется в оперативной памяти.
Отсутствие файла на диске значительно осложняет возможности для обнаружения заражения при помощи антивирусных программ. При отсутствии детектирования эксплойта бот будет успешно загружен в память доверенного процесса и станет практически невидимым.
......
Вредоносная программа Trojan-Spy.Win32.Lurk может быть установлена в систему или с помощью команд «regsrv32» и «netsh add helper dll», или через реестр, с помощью ветки ShellIconOverlayIdentifiers. Lurk устанавливает в систему свои дополнительные модули в виде зашифрованных dll файлов.
.....
Анализ дополнительных модулей Lurk выявил главный функционал этой вредоносной программы: хищение конфиденциальной информации пользователей для доступа к системам онлайн-банкинга ряда крупных российских банков. ЛК детектирует данную программу c июля 2011 года. Анализируя протокол взаимодействия Lurk с серверами управления, мы выяснили, что в течение несколько месяцев данные сервера обслужили до 300 000 зараженных компьютеров.
......
Данная атака является уникальной, поскольку злоумышленники использовали собственный загрузчик PE файлов (полезная нагрузка), способный функционировать без создания вредоносных файлов на зараженной системе, работая только в рамках доверенного процесса Java.
Использование злоумышленниками тизерной сети является одним из самых эффективных способов установки вредоносного кода ввиду наличия на него ссылок с большого количества популярных ресурсов.
Данная атака была нацелена на российских пользователей. Однако мы не исключаем, что тот же эксплойт и тот же «бестелесный» бот могут быть использованы и против жителей других стран — распространяться они могут при помощи аналогичных зарубежных баннерных или тизерных сетей. При этом вероятно использование других вредоносных программ, а не только Trojan-Spy.Win32.Lurk.
Источник

AlexZir · 02.06.2016, 13:36

Ну и непосредственно про сам вирус LURK^

Цитата:

Особенности троянца Банковский троянец Lurk стоит особняком среди вредоносного ПО, предназначенного для хищения денежных средств у клиентов банков:

Lurk существует и активно развивается более 5 лет, но действует избирательно только на тех компьютерах, где он может украсть деньги. За более чем пятилетнюю историю этого банковского троянца в C&C было зарегистрировано около 60 000 ботов, что не слишком много.
Lurk – это универсальный банковский троянец, он способен похищать деньги не только из системы «iBank 2», которая используется многими российскими банками, но и из уникальных интернет-систем ДБО некоторых крупных российских банков.
Lurk активно противодействует обнаружению – разработчики прикладывают много усилий, чтобы минимизировать детектирование своего троянца, а таргетированные атаки делают затруднительным оперативное получение новых самплов.
По использованным методам внутренней организации зловреда, объему функционала и частоте вносимых изменений можно сделать вывод, что над проектом работает команда профессиональных разработчиков и тестировщиков.

Мы не утверждаем, что этот троянец хорошо написан – мы видели и анализировали банковские троянцы, которых отличало гораздо более высокое качество кода. Более того, анализ Lurk показал, что над кодом работало несколько программистов, и их квалификация была различной. Местами в коде встречаются откровенно неудачные решения, которые авторы не исправляют годами (мы, разумеется, не будем указывать авторам на их ошибки). Отметим, что вирусописатели развивают свой продукт – мы видим повышение качества кода с течением времени и улучшение используемых авторами решений. Lurk отличает высокая таргетированность – авторы делают все, чтобы заразить максимальное количество интересных им жертв, не привлекая при этом внимания аналитиков и исследователей. Инциденты, о которых известно нам, убеждают в том, что Lurk со своей задачей справляется – периодически приходят сообщения о хищениях в системе ДБО, а криминалистические исследования после инцидентов показывают следы Lurk на машине.
Жертвы

В качестве жертв злоумышленников интересуют:

IT-организации в сфере телеком;
СМИ и новостные агрегаторы;
банки и финансовые организации.

Скомпрометированные компьютеры IT- и телеком-компаний дают хозяевам Lurk возможность создания новых перевалочных серверов, через которые идет трафик к серверам злоумышленников. Сайты СМИ и новостные агрегаторы, особенно те, которые посещают бухгалтеры, используются для заражения большого числа компьютеров пользователей из «целевой аудитории» Lurk. Банки и финансовые организации интересуют злоумышленников для достижения их основной цели – кражи денег.
Желание авторов зловреда закрепиться на машинах силовых структур (эти организации также есть в списке атакованных) оставим без комментариев.
В число атакованных троянцем мишеней вошли, пожалуй, все крупные российские банки, в том числе четыре крупнейших.
Распространение

Для распространения банковского троянца Lurk применяется широко известная техника drive-by. Кроме нее, авторы также распространяют троянца через взломанные сайты легитимного ПО и внутри сетей организации – при помощи утилиты psexec.
Заражение через эксплойт-пак

Lurk распространяется главным образом при помощи знаменитого эксплойт-пака Angler (авторское название – XXX).При таком способе распространения для заражения компьютера жертвы не требуется никаких специальных действий пользователя.
Angler по праву считается флагманом среди эксплойт-паков: эксплойты для новых уязвимостей почти всегда реализуются сначала в Angler, а уже потом расползаются по остальным пакам (не исключено, что просто «заимствуются»). Нередки случаи реализации в Angler эксплойтов к уязвимостям «нулевого дня», что делает его особенно опасным.
Вот как обычно происходит подготовка к заражению Lurk новых жертв:

Выбирается сайт, интересный ЦА: бухгалтерский форум, новостной портал и т.п. Заражение сайта осуществляется при помощи скрытного размещения на нем ссылки на лендинг эксплойт-пака. Если заражение сайта невозможно, вредоносная ссылка размещается в материалах какой-либо «партнерки», которые демонстрируются на сайте.
Зашедшие на сайт пользователи скрытно отправляются на лендинг эксплойт-пака. Angler пытается произвести эксплуатацию какой-либо уязвимости в ПО пользователя, что должно привести к запуску загрузчика Lurk – mini.

Отметим, что ссылка на лендинг эксплойт-пака либо ставится на короткое время, либо появляется и исчезает периодически. Например, мы наблюдали заражение форума одного известного журнала для бухгалтеров, на котором вредоносная ссылка появлялась в рабочие дни ровно на два часа в обеденное время. Мы, разумеется, замечали аномальную активность и оповещали владельцев ресурса. Однако к моменту, когда они читали наше письмо, ресурс уже был чист, и они не видели заражения. А между тем владельцы Lurk за время наличия вредоносной ссылки на форуме получали несколько новых зараженных вредоносным ПО компьютеров.
Заражение через взломанные сайты

Второй вариант заражения, который злоумышленники активно использовали, — это распространение вредоносного кода с легитимных сайтов. Судя по всему, при таком способе распространения зараженные файлы отдаются только пользователям из RU-зоны, остальные получают чистые файлы.
Заражение машин внутри сети организации

Для злоумышленников очень интересна схема, при которой при первоначальной атаке заражается один из компьютеров организации. Даже если на зараженной машине нет ничего, что представляет интерес для злоумышленников, такой компьютер находится в одной сети, в одном домене с другими компьютерами, которые обладают интересующей хозяев троянца информацией. В таких случаях для распространения внутри сети используется утилита Марка Руссиновича psexec, а для запуска основных модулей троянца на других компьютерах в сети – специальный дроппер mini. Такой способ может привести к крайне печальным последствиям, т.к. безопасность компьютера с интересующими злоумышленников данными по сути определяется безопасностью самого слабозащищенного компьютера в атакованной сети.

Источник

Кот_Абибок · 30.01.2017, 19:57

Ну что ж, сколько верёвочке на виться а.. таки поймали.

Опции темы
Версия для печати Отправить по электронной почте
Опции просмотра
Линейный вид Комбинированный вид Древовидный вид

02.06.2016, 13:00
Helpmaster Member Регистрация: 08.03.2016 Сообщений: 0	Некоторые похожие темы уже обсуждались Группировка по выражению Проблема с вирусом. помогите с Вирусом.

02.06.2016, 13:10	#2 (permalink)
highman Banned Регистрация: 30.05.2013 Адрес: Кишинёв Сообщений: 8,791 Записей в дневнике: 1 Сказал(а) спасибо: 13 Поблагодарили 201 раз(а) в 87 сообщениях Репутация: 52995	как в анекдоте. Директор ограбленного банка говорит репортёру: - у нас украли 5 миллионов, напишите что 10. - почему? - а пусть грабителя жена мучает, где ещё 5 миллионов

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070

30.01.2017, 19:57	#7 (permalink)
Кот_Абибок Member Регистрация: 04.12.2016 Сообщений: 16 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: -147	Ну что ж, сколько верёвочке на виться а.. таки поймали.