Специалисты компании Symantec предупреждают, что банки-клиенты международной системы SWIFT вновь стали мишенью для злоумышленников. При этом новая малварь, судя по всему, связана с известной хакерской группой Carbanak, похитившей более миллиарда долларов у различных финансовых организаций (преимущественно – российских банков) в 2014-2015 годы.
Впервые Trojan.Odinaff был обнаружен еще в январе 2016 года. Тогда малварь атаковала преимущественно финансовые организации и банковский сектор, однако встречалась и в сетях других компаний по всему миру. Специалисты Symantec пишут, что неизменным всегда оставалось лишь одно: в любой организации Trojan.Odinaff в первую очередь стремился добраться до машин, на которых установлено финансовое ПО. То есть главной целью злоумышленников все же были именно деньги.
Trojan.Odinaff распространяется посредством направленного фишинга. Хакеры атакуют тщательно отобранных индивидов, упаковывая малварь в специально созданные документы Word или архивы .RAR.
Как только жертва открыла вредоносный файл, и малварь проникла в систему, злоумышленники получают идеальный бэкдор, а также практически полный контроль над зараженной машиной. Trojan.Odinaff способен делать снимки экрана и собирать другие данные о системе, постоянно передавая их на управляющий сервер, также он может выполнять shell-команды, скачивать и устанавливать на машину дополнительное вредоносное ПО и так далее. Эксперты Symantec пишут, что в числе инструментов, которые устанавливает вредонос, числятся сборщик паролей Mimikatz, тулкит PsExec, сетевой сканер Netscan, приложение для удаленного администрирования Ammyy Admin, а также Runas для запуска процессов от имени другого пользователя.
Однако в данном случае интересна даже не сама функциональность вредоноса. Исследователи обратили внимание, что в некоторых случаях Trojan.Odinaff скачивает и устанавливает на зараженную машину бэкдор Batel. Данный инструмент ранее применяли в ходе своих вредоносных кампаний хакеры из известной группировки Carbanak. Также в ходе наблюдений эксперты выявили три IP-адреса управляющих серверов, которые ранее тоже использовались Carbanak. Более того, один из этих адресов «засветился» в ходе атаки на PoS-подразделение компании Oracle, произошедшей летом 2016 года.
Эксперты пишут, что Trojan.Odinaff, похоже, атакует и межбансковскую систему SWIFT:
«Компания Symantec обнаружила доказательства того, что группа, стоящая за Odinaff, осуществляет атаки на клиентов SWIFT и используя вредоносное ПО для сокрытия SWIFT-сообщений о мошеннических транзакциях. Хакеры используют инструмент для мониторинга клиентских локальных логов сообщений, который по ключевым словам ищет там определенные транзакции. Затем такие логи перемещаются за пределы локального окружения SWIFT», — пишут исследователи Symantec.
Хотя Trojan.Odinaff имеет специальный, написанный на C, модуль для сокрытия мошеннических транзакций от SWIFT, эксперты убеждены, что недавняя волна атак на SWIFT была делом рук другой хакерской группы. Напомню, что ответственность за атаки, о которых стало известно в начале 2016 года, приписывают группировке Lazarus, которая применяла малварь под названием Banswift. Никакого сходства в коде и поведении Banswift и Trojan.Odinaff специалисты не обнаружили.
Фото: Depositphotos
