Группа злоумышленников использует новую версию трояна BlackEnergy для кражи
паролей к системам онлайн-банкинга ряда российских и украинских банков. О своём
исследовании этого вредоноса рассказал на конференции FIRST Джо Стюарт из
SecureWorks.
BlackEnergy в своё время был хорошо известен как DDoS-троян. Однако в августе
2008 года появился новый троянский инструментарий, который Стюарт называет
BlackEnergy 2. Он имеет много общего с предшественником и явно написан тем же
человеком, однако представляет собой значительно более сложную и гибкую
программу.
Одной из отличительных особенностей BlackEnergy 2 является система плагинов,
которая позволяет ему выполнять на заражённых компьютерах самые разные действия.
Более того, разработкой плагинов может заниматься кто угодно, имеющий в своём
распоряжении копию этого тулкита.
У Стюарта такой копии не было, он изучал лишь конечные исполняемые модули,
поэтому в некоторых случаях ему приходилось строить догадки. В частности, он
полагает, что набор плагинов "по умолчанию" включает три модуля для DDoS-атак,
совместный функционал которых соответствует возможностям первого BlackEnergy.
Однако в руки исследователя попали и другие, менее распространённые плагины.
Один из них предназначен для рассылки спама, а два других используются для кражи
денег со счетов "большого количества российских и украинских банков". О каких
именно банках идёт речь, Стюарт не уточняет, однако говорит, что всех этих
системах онлайн-банкинга используется Java-апплет, который загружает со съёмного
носителя пользовательский приватный ключ, необходимый для аутентификации.
Если ты работаешь со своим банком по такой схеме, проверь, не начинается ли
файл с твоим приватным ключом с последовательности символов "iBKS". Открытие
именно таких файлов очень интересует банковский плагин knab (модуль
"ibank.dll"). Кроме того, он следит за набираемыми пользователем заражённого
компьютера паролями, которые отсылает своим хозяевам вместе с URL-ом страницы с
формой логина. Стюарт отмечает, что этот плагин внедряется в процессы
iexplore.exe, firefox.exe, flock.exe, opera.exe и java.exe.
Второй плагин, kill, используется в паре с knab. Когда злоумышленники
получают необходимую им информацию (логин, пароль и приватный ключ) и собираются
использовать её для опустошения банковского счёта, они дают команду на порчу
всех разделов жёстких дисков компьютера жертвы с последующим выключением
системы, с тем чтобы пользователь не смог какое-то время подключиться к своему
счёту.
