Недавно появились сообщения о том, что «облачные» сервисы компании Amazon были успешно использованы злоумышленниками для атак на Sony. А на днях я обнаружил, что с помощью Amazon Web Services (того самого «облака») распространяются зловреды, крадущие финансовые данные.
Есть все основания полагать, что за этими атаками стоят киберпреступники из Бразилии. Для распространения вредоносных программ они использовали несколько заранее зарегистрированных аккаунтов. Я официально уведомил Amazon о происходящем. Увы, спустя более 12 часов все вредоносные ссылки по-прежнему были активными. Стоит отметить, что киберпреступники все чаще используют возможности легитимных «облачных» сервисов в криминальных целях.
Теперь несколько слов о зловредах, размещенных на Amazon Web Services. Все они загружаются на компьютеры пользователей, а затем выполняют различные вредоносные функции:
- Руткит-функционал: ищут четыре антивирусных программы, а также специализированное приложение GBPlugin, используемое многими бразильскими банками для обеспечения безопасности банковских операций онлайн, и препятствуют их нормальной работе
- Крадут финансовые данные клиентов 9 бразильских и 2 международных банков
- Крадут регистрационные данные пользователей Microsoft Live Messenger
- Крадут цифровые сертификаты, используемые для eToken-аутентификации
- Крадут информацию о процессоре, серийный номер жесткого диска, имя компьютера и т.д. (некоторые латиноамериканские банки запрашивают эти данные в процессе аутентификации пользователя)
- Передают украденные данные киберпреступникам двумя способами: по электронной почте на адрес в Gmail, а также с помощью специального php-кода, помещающего данные в удаленную базу
Вредоносные образцы защищены легитимным противопиратским ПО под названием Enigma Protector. Злоумышленники использовали его, чтобы усложнить для аналитиков процесс обратного инжиниринга.
Все образцы детектируются «Лабораторией Касперского» под следующими названиями:
Trojan-Downloader.Win32.Murlo.lib
Trojan-PSW.Win32.MSNer.a
Trojan-Banker.Win32.Banz.iok
Trojan-Banker.Win32.Banker.blpm
Trojan-Downloader.Win32.Homa.fgx
Trojan-Banker.Win32.Banker.blbt
Надеюсь, что в ближайшее время Amazon деактивирует все вредоносные ссылки. Не вызывает сомнения, что злоумышленники и дальше будут использовать легитимные «облачные» сервисы для проведения кибератак. Администраторам «облачных» систем следует заняться совершенствованием систем мониторинга и расширить штат специалистов по IT-безопасности, чтобы сократить количество вредоносных атак, проводимых с использованием их сервисов.