Твитнуть
Для того, чтобы украсть более 200 миллионов рублей, киберпреступникам не обязательно заражать банкоматы, системы банк-клиент или взламывать платежные системы. Иногда они пользуются более простыми, но оттого не менее действенными методами. Как оказалось, даже в 2016 году можно украсть денежный перевод, просто отредактировав текстовый файл при помощи троянской программы. И не один раз, а проделать этот трюк с целым рядом серьезных организаций.
В конце 2016 года «Лаборатория Касперского» обнаружила зловред, подменяющий реквизиты в платежных поручениях. Такой подход нельзя назвать новым, например, несколько лет назад платежные поручения подменял троянец Carberp. Сейчас, из-за появления функции шифрования документов в большинстве финансовых систем, такая техника уже уступила место другим, более сложным методам атак.
Целью атакующих были типовые текстовые файлы, используемые для обмена данными между бухгалтерскими и банковскими системами. По умолчанию для этих файлов заданы стандартные имена, что позволяет легко найти их. Информация о денежных переводах попадает в эти файлы перед тем, как деньги уйдут по указанным реквизитам, и здесь у атакующих появляется возможность изменить получателя платежа. Благо, текстовый формат выгрузки данных прост, не защищен и может быть изменен зловредом.
Пример файла с банковской выпиской, который редактировали злоумышленники
Мы назвали эту кампанию TwoBee. Более ранние версии модулей TwoBee получали реквизиты от C&C-серверов. Позже злоумышленники стали указывать свои координаты для получения денег непосредственно в исполняемых файлах. Авторы финансового троянца используют десятки банковских счетов; сейчас нам известны около сорока реквизитов и более десятка контрольных серверов операции.
Распространение
Вредоносная программа TwoBee устанавливается на компьютеры с помощью других программ, таких как BuhTrap. Также известны случаи установки данной программы через средства удаленного администрирования, например, LiteManager.
Жертвы
Жертвы TwoBee за последние три месяца по индустриям
Число жертв TwoBee исчисляется десятками, большинство из них находится в России. Это легко объяснимо: специфика бухгалтерского учета не позволяет так просто пользоваться тем же ПО в других, даже соседних странах.
Большинство жертв TwoBee находятся в Москве. Вслед за столицей России по числу заражений идут Екатеринбург и Краснодар
Заключение
Техника подмены реквизитов в платежных поручениях, казалось бы, ушедшая в прошлое, снова на время нашла свою нишу в выгрузках из бухгалтерских систем в банк-клиент. Борьбе с такими зловредами очень помогло массовое появление в большинстве финансовых систем шифрования документов, после чего подменять их содержимое стало заметно сложнее. Вероятно, проще всего так же бороться и с TwoBee: защищенные выгрузки не позволят троянским программам так просто менять реквизиты получателя на реквизиты атакующих.
Полный отчет компании ESET
В конце 2016 года «Лаборатория Касперского» обнаружила зловред, подменяющий реквизиты в платежных поручениях. Такой подход нельзя назвать новым, например, несколько лет назад платежные поручения подменял троянец Carberp. Сейчас, из-за появления функции шифрования документов в большинстве финансовых систем, такая техника уже уступила место другим, более сложным методам атак.
Целью атакующих были типовые текстовые файлы, используемые для обмена данными между бухгалтерскими и банковскими системами. По умолчанию для этих файлов заданы стандартные имена, что позволяет легко найти их. Информация о денежных переводах попадает в эти файлы перед тем, как деньги уйдут по указанным реквизитам, и здесь у атакующих появляется возможность изменить получателя платежа. Благо, текстовый формат выгрузки данных прост, не защищен и может быть изменен зловредом.
Пример файла с банковской выпиской, который редактировали злоумышленники
Мы назвали эту кампанию TwoBee. Более ранние версии модулей TwoBee получали реквизиты от C&C-серверов. Позже злоумышленники стали указывать свои координаты для получения денег непосредственно в исполняемых файлах. Авторы финансового троянца используют десятки банковских счетов; сейчас нам известны около сорока реквизитов и более десятка контрольных серверов операции.
Распространение
Вредоносная программа TwoBee устанавливается на компьютеры с помощью других программ, таких как BuhTrap. Также известны случаи установки данной программы через средства удаленного администрирования, например, LiteManager.
Жертвы
Жертвы TwoBee за последние три месяца по индустриям
Число жертв TwoBee исчисляется десятками, большинство из них находится в России. Это легко объяснимо: специфика бухгалтерского учета не позволяет так просто пользоваться тем же ПО в других, даже соседних странах.
Большинство жертв TwoBee находятся в Москве. Вслед за столицей России по числу заражений идут Екатеринбург и Краснодар
Заключение
Техника подмены реквизитов в платежных поручениях, казалось бы, ушедшая в прошлое, снова на время нашла свою нишу в выгрузках из бухгалтерских систем в банк-клиент. Борьбе с такими зловредами очень помогло массовое появление в большинстве финансовых систем шифрования документов, после чего подменять их содержимое стало заметно сложнее. Вероятно, проще всего так же бороться и с TwoBee: защищенные выгрузки не позволят троянским программам так просто менять реквизиты получателя на реквизиты атакующих.
Полный отчет компании ESET
Комментарий