Предотвращение и расследование киберпреступлений

Специалисты ESET и Group-IB обнаружили новую угрозу для систем ДБО

Компания ESET, международный разработчик антивирусного ПО и решений в области компьютерной безопасности, сообщает о том, что специалисты Центра вирусных исследований и аналитики ESET обнаружили новую угрозу — Win32/Sheldor.NAD, которая является модификацией популярной программы для удаленного администрирования компьютера — TeamViewer.
Данные сведения были получены сотрудниками Центра при проведении экспертизы в рамках расследования компанией Group-IB инцидента, связанного с мошенничеством в системах дистанционного банковского обслуживания (ДБО).

Только за последние два месяца специалисты компании Group-IB зафиксировали 30% рост инцидентов, связанных с мошенничеством в системах ДБО. «Распространенными причинами подобных инцидентов является слабая политика информационной безопасности в малом и среднем бизнесе, — комментирует Илья Сачков, генеральный директор компании Group IB. — Также тенденция последних инцидентов в этой сфере показывает рост профессионализма злоумышленников при разработке вредоносного ПО. Поэтому постоянный анализ новых видов мошеннических программ является залогом успешных расследований преступлений в системах ДБО».

В процессе расследования инцидента, произошедшего в одном из российских банков, была выявлена вредоносная программа Win32/Sheldor.NAD (по классификации ESET), которая представляет собой модифицированную версию программного обеспечения для удаленного администрирования компьютера — TeamViewer 5.0. При этом был модифицирован один из модулей легальной программы, который используется в процессе сетевого взаимодействия с серверами TeamViewer. Модификация позволяла отправлять аутентификационные данные актуального сеанса TeamViewer на сервер злоумышленников, у которых появлялась возможность в любой момент получить доступ к активной сессии пользователя на зараженном ПК. Это означает, что мошенники имели не только доступ к конфиденциальным данным пользователя, но и могли выполнять ряд действий на инфицированном компьютере, в том числе осуществлять транзакции в системах ДБО, что вело к финансовым потерям пользователя.

Так как большинство компонентов модифицированной версии TeamViewer имели легальную цифровую подпись и являлись легальными компонентами, за исключением одного модуля, количество антивирусных продуктов, зафиксировавших угрозу на момент ее обнаружения, было мало. Стоит также отметить, что модифицированная версия TeamViewer устанавливалась в систему пользователя при помощи специально разработанной троянской программы-инсталлятора, которая создавала все необходимые ключи реестра для работы Win32/Sheldor.NAD: копировала компоненты TeamViewer в системную папку %WINDIR% и добавляла в автозапуск.

«Использование легальных программ удаленного администрирования для различного рода действий злоумышленников мы встречаем уже далеко не первый раз, — отмечает Александр Матросов, директор Центра вирусных исследований и аналитики компании ESET. — Однако в данном инциденте речь идет о модификации функционала популярной программы TeamViewer, что говорит о том, что злоумышленники явно преследовали цель максимальной схожести с легальным ПО. Это и позволило им оставаться незамеченными для большинства антивирусных решений».
Антивирусные решения ESET NOD32 надежно защищают пользователей от вредоносной программы Win32/Sheldor.NAD. Благодаря технологии раннего обнаружения ThreatSense.Net продукты ESET предотвращают заражение компьютера от новых версий данного злонамеренного ПО.

За дополнительной информацией обращайтесь:

Богдан Вовченко
PR-менеджер
Телефон: +7 (495) 984-33-64 доб. 151
E-mail: vovchenko@group-ib.ru

Компания Group-IB является первой в России и в странах СНГ компанией, профессионально занявшейся расследованиями компьютерных инцидентов и преступлений. Group-IB разрабатывает методики расследования современных компьютерных преступлений, например, таких как DDoS атаки, мошенничество в ДБО. В составе компании Group-IB работает лаборатория компьютерной криминалистики. Входит в LETA Group.

Оставайтесь на связи!
Читайте наши новости в социальных сетях
×

Свяжитесь с нами:

+7 495 984-33-64
help@group-ib.ru

Подробнее