Новый троян угрожает пользователям SAP
Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — предупредила о распространении вредоносной программы, угрожающей пользователям SAP — комплекса программных решений для бизнеса. Данное вредоносное приложение является представителем широко распространенного семейства банковских троянов Trojan.PWS.Ibank, способных похищать вводимые пользователем пароли и другую конфиденциальную информацию, сообщили CNews в компании.
Специалисты «Доктор Веб» провели комплексное исследование этой угрозы. От других вредоносных программ семейства Trojan.PWS.Ibank данный образец отличается видоизмененной архитектурой бота. Также были внесены изменения в механизмы межпроцессорного взаимодействия (IPC), упразднена подсистема SOCKS5. Вместе с тем, практически неизменным остался используемый трояном внутренний алгоритм шифрования, реализация полезной нагрузки в виде отдельной динамической библиотеки, а также протокол общения с командным центром злоумышленников, отметили в «Доктор Веб».
Модуль установки трояна обладает функционалом, позволяющим определить попытку запуска вредоносной программы в отладочной среде или виртуальной машине, чтобы затруднить её исследование специалистами. Также выполняется проверка на выполнение в изолированной среде «песочницы» Sandboxie — утилиты для контроля за работой различных программ. При этом троян способен действовать как в 32-битных, так и в 64-битных версиях Microsoft Windows, используя различные способы внедрения в операционную систему. Основной модуль трояна способен выполнять две новые команды (по сравнению с предыдущими версиями Trojan.PWS.Ibank) — одна из них активирует/дезактивирует блокировку банковских клиентов, другая — позволяет получить от управляющего сервера конфигурационный файл.
Еще одной важной отличительной особенностью трояна Trojan.PWS.Ibank является его способность встраиваться в различные работающие процессы. А обновленная версия получила дополнительный функционал, позволяющий проверять имена запущенных программ, в том числе клиента SAP — комплекса бизнес-приложений, предназначенных для управления предприятием. Данный программный комплекс включает множество модулей, в том числе компоненты управления налогообложением, сбытом, товарооборотом, и потому оперирует конфиденциальной информацией, весьма чувствительной для коммерческих предприятий. Первая версия трояна, проверявшего наличие SAP в инфицированной системе, получила распространение еще в июне: она была добавлена в базы Dr.Web под именем Trojan.PWS.Ibank.690. Текущая же имеет обозначение Trojan.PWS.Ibank.752.
В целом трояны семейства Trojan.PWS.Ibank обладают весьма широким набором вредоносных функций, среди которых в «Доктор Веб» выделяют следующие: похищение и передача злоумышленникам вводимых пользователем паролей; воспрепятствование доступу к сайтам антивирусных компаний; выполнение команд, поступающих от удаленного командного сервера; организация на инфицированном компьютере прокси-сервера и VNC-сервера; уничтожение по команде операционной системы и загрузочных областей диска.
Как отметили в компании, возросший интерес вирусописателей к программным комплексам SAP и ERP-системам не может не беспокоить специалистов по информационной безопасности: с использованием подобных технологий злоумышленники могут попытаться похитить критическую для коммерческих предприятий информацию, обработка которой осуществляется с применением данных систем. Однако на сегодняшний день трояны семейства Trojan.PWS.Ibank не предпринимают никаких деструктивных действий в отношении программного комплекса SAP, но проверяют факт его наличия в инфицированной системе и пытаются встроиться в соответствующий процесс, если он запущен в Windows. Вполне возможно, что таким образом вирусописатели создают для себя некий «задел на будущее», полагают в «Доктор Веб».
Специалисты «Доктор Веб» провели комплексное исследование этой угрозы. От других вредоносных программ семейства Trojan.PWS.Ibank данный образец отличается видоизмененной архитектурой бота. Также были внесены изменения в механизмы межпроцессорного взаимодействия (IPC), упразднена подсистема SOCKS5. Вместе с тем, практически неизменным остался используемый трояном внутренний алгоритм шифрования, реализация полезной нагрузки в виде отдельной динамической библиотеки, а также протокол общения с командным центром злоумышленников, отметили в «Доктор Веб».
Модуль установки трояна обладает функционалом, позволяющим определить попытку запуска вредоносной программы в отладочной среде или виртуальной машине, чтобы затруднить её исследование специалистами. Также выполняется проверка на выполнение в изолированной среде «песочницы» Sandboxie — утилиты для контроля за работой различных программ. При этом троян способен действовать как в 32-битных, так и в 64-битных версиях Microsoft Windows, используя различные способы внедрения в операционную систему. Основной модуль трояна способен выполнять две новые команды (по сравнению с предыдущими версиями Trojan.PWS.Ibank) — одна из них активирует/дезактивирует блокировку банковских клиентов, другая — позволяет получить от управляющего сервера конфигурационный файл.
Еще одной важной отличительной особенностью трояна Trojan.PWS.Ibank является его способность встраиваться в различные работающие процессы. А обновленная версия получила дополнительный функционал, позволяющий проверять имена запущенных программ, в том числе клиента SAP — комплекса бизнес-приложений, предназначенных для управления предприятием. Данный программный комплекс включает множество модулей, в том числе компоненты управления налогообложением, сбытом, товарооборотом, и потому оперирует конфиденциальной информацией, весьма чувствительной для коммерческих предприятий. Первая версия трояна, проверявшего наличие SAP в инфицированной системе, получила распространение еще в июне: она была добавлена в базы Dr.Web под именем Trojan.PWS.Ibank.690. Текущая же имеет обозначение Trojan.PWS.Ibank.752.
В целом трояны семейства Trojan.PWS.Ibank обладают весьма широким набором вредоносных функций, среди которых в «Доктор Веб» выделяют следующие: похищение и передача злоумышленникам вводимых пользователем паролей; воспрепятствование доступу к сайтам антивирусных компаний; выполнение команд, поступающих от удаленного командного сервера; организация на инфицированном компьютере прокси-сервера и VNC-сервера; уничтожение по команде операционной системы и загрузочных областей диска.
Как отметили в компании, возросший интерес вирусописателей к программным комплексам SAP и ERP-системам не может не беспокоить специалистов по информационной безопасности: с использованием подобных технологий злоумышленники могут попытаться похитить критическую для коммерческих предприятий информацию, обработка которой осуществляется с применением данных систем. Однако на сегодняшний день трояны семейства Trojan.PWS.Ibank не предпринимают никаких деструктивных действий в отношении программного комплекса SAP, но проверяют факт его наличия в инфицированной системе и пытаются встроиться в соответствующий процесс, если он запущен в Windows. Вполне возможно, что таким образом вирусописатели создают для себя некий «задел на будущее», полагают в «Доктор Веб».
Ещё новости по теме:
18:20