Компания «бифит» при участии одного из региональных банков обнаружила специализированную вредоносную программу (троян), котора



жүктеу 24.33 Kb.
Дата14.05.2019
өлшемі24.33 Kb.

Компания «БИФИТ» обнаружила специализированную вредоносную программу (троян), которая похищает у пользователей системы «iBank 2» файлы с секретными ключами ЭЦП и пароли, вводимые с клавиатуры.

Троян, проникнув на компьютер клиента через уязвимости в системном ПО, перехватывает управление, подменяет системные динамические библиотеки, после чего начинает отслеживать ввод с клавиатуры, файловый ввод-вывод с поиском файлов с секретными ключами ЭЦП клиента, а также вызовы динамических библиотек.

Далее троян через Web-браузер отсылает файл с секретным ключом ЭЦП клиента и введенный клиентом пароль на сайт злоумышленников по адресу www.i-bifit.com или www.i-bifit.in, после чего с заданной периодичностью обращается к этим сайтам в ожидании команды блокирования компьютера клиента.

При получении с сайта злоумышленника команды блокирования троян перенаправляя сетевой ввод-вывод, не позволяет клиенту соединиться с банковским сервером «iBank 2» и подменяя информационные сообщения, выдает клиенту диалоговое окно со следующим текстом: "System. Ошибка. Технические работы. Окончание xx.xx.xxxx в xx:xx".

Ниже представлен скриншот, снятый на компьютере клиента в момент блокирования трояном доступа к банковскому серверу «iBank 2».



Во время блокирования компьютера клиента злоумышленники, используя похищенный секретный ключ ЭЦП и пароль, подключаются банковскому серверу «iBank 2» и от имени клиента отправляют в банк платежное поручение с корректной ЭЦП клиента.

В дальнейшем при разборе конфликтных ситуаций анализ журналов банковских серверов системы «iBank 2» показывает, что практически все противоправные действия совершаются злоумышленниками с IP-адресов, расположенных вне России — Польша, Индонезия, Пакистан, Новая Зеландия и т.д.


Детальный анализ работы выявленного трояна показывает, что злоумышленники эксплуатируют фундаментальную проблему — неспособность пользователей обеспечивать доверенную среду исполнения на своем компьютере.
Троян представляет из себя файл setupapi.dll размером около 100 Кбайт, который устанавливается в каталог c:\Program Files\Internet Explorer\

Собственно setupapi.dll - это стандартная системная библиотека Windows которая в обычных условиях располагается в каталоге c:\windows\sysem32, выполняет много системных функций и имеет размер около 1 Мбайта.



В качестве действенной меры по борьбе с выявленным трояном клиентам рекомендуется:

  • На компьютере пользователя в настройках персонального межсетевого экрана запретить весь IP-трафик (входящий и исходящий, по всем типам протоколов) для IP-адресов 58.65.234.17 (www.i-bifit.com) и 69.50.160.212 (www.i-bifit.in) с уведомлением клиента о попытке соединения по указанным IP-адресам

  • На корпоративных межсетевых экранах и корпоративных прокси-серверах запретить IP-трафик (входящий и исходящий, по всем типам протоколов) для IP-адресов 58.65.234.17 (www.i-bifit.com) и 69.50.160.212 (www.i-bifit.in) с уведомлением системного администратора о попытке соединения по указанным IP-адресам

При подозрении на компрометацию ключей ЭЦП следует срочно сообщить в банк о блокировке ключей, провести тщательную проверку компьютера пользователя, провести работы по блокировке IP-адресов (см. выше) и только после этого провести создание новых ключей ЭЦП.

Для усиления мер безопасности в случае, если Вы работаете со счетом


постоянно с одних и тех же рабочих мест, мы предлагаем Вам включить
IP-фильтрацию доступа к Вашему счету (подробнее на сайте банка https://195.64.211.140/security.html).

По все вопросам – обращайтесь: телефоны техподдержки ПАО КБ "УБРиР" (343) 264-55-19 и 371-87-59, e-mail ibank@ubrr.ru

Достарыңызбен бөлісу:


©kzref.org 2019
әкімшілігінің қараңыз

    Басты бет