Вернуться   Форум сотрудников МВД > Правоохранительная деятельность вне МВД > СБ предприятий и банков > Частные кибер детективы
Забыли пароль?

Важная информация

Частные кибер детективы Кибер происшествия, расследования и другое

Ответ
 
Опции темы Опции просмотра
Старый 25.08.2017, 10:51   #1
Skyment
Бывший сотрудник МВД
 
Аватар для Skyment

Информация недоступна.
По умолчанию Ловушка для главбуха

Выделю в отдельную тему, т.к. данная проблема существует длительное время и только российский "пофуизм" и безалаберность даёт возможность киберпреступникам шиковать и развлекаться. ...между прочим - за Ваш счёт, господа бизнесмены!
Итак:
Цитата:
Киберпреступники взломали популярные сайты для бухгалтеров и юристов. Их используют для дальнейшего заражения пользователей и кражи денег со счетов.
Group-IB обнаружила масштабное заражение пользователей банковским трояном Buhtrap через популярные СМИ, сайты для бухгалтеров, юристов и директоров. Наша система Threat Intelligence фиксирует, как уже многие годы киберпреступники используют для заражения одни и те же ресурсы, но "дыры" так и не закрыты. Легкомысленное отношение к безопасности способствует распространению вирусов и кражам денег у пользователей. Ежедневно от подобных атак компании в прошлом году теряли 3,8 млн рублей.
В июне 2017 года у одной из столичных компаний похитили со счета деньги. Криминалисты Group-IB приехали в офис фирмы, взяли жесткий диск на экспертизу и провели криминалистическое исследование. Мы узнали, что в тот день сотрудник фирмы открыл браузер Internet Explorer и вбил запрос — "НДФЛ с доходов получаемых с иностранных компаний когда платить". Одна из ссылок вела на сайт www.glavbukh.ru. По хронологии видно, что в 03:16 пользователь открыл браузер, через какое-то время зашел на сайт glavbukh.ru, после чего, буквально через считанные секунды, в 03:29, уже сработал вредоносный скрипт, который в итоге загрузил на компьютер пользователя банковский троян Buhtrap. Преступники получили удаленный доступ к счету и вывели деньги.
...
Хищения в ДБО
Первые масштабные хищения в системах ДБО начались в России в 2007 году. В прошлом году ежедневно происходило до 8 успешных атак, в результате которых в среднем злоумышленники похищали 3,8 млн рублей.

Россия стала мировым тестовым полигоном: 16 из 19 троянов для ПК, активно использовавшихся в дальнейшем для хищений по всему миру, связаны с русскоязычными преступниками. Масштабировать криминальный бизнес помог метод автозалива. Он позволял автоматически и совершенно незаметно для пользователя интернет-банка подменять реквизиты и сумму платежа.

Сейчас объем хищений у компаний с помощью троянов для ПК снижается — наиболее профессиональные преступные группы, на которые приходилась большая часть атак, переориентировались на целевые атаки на банки. Другие — набравшись, опыта, стали искать жертв за пределами России.

Кто виноват и что делать?
Понять, что его сайт скомпрометирован зачастую не сможет даже опытный администратор, не говоря уже о простом пользователе. Безусловно, если владельцы ресурса уделяют достаточное внимание вопросам безопасности, своевременно обновляют CMS и плагины, то риск компрометации значительно снижается. Но полностью исключить ее проведением простых профилактических мероприятий, к сожалению, нельзя. Это специальная и достаточно специфическая область знаний информационной безопасности, которая постоянно видоизменяется, ведь преступники не стоят на месте, постоянно придумывая новые способы проведения атак.

Для того, чтобы минимизировать риски компрометации веб-сайта мы предлагаем следующий комплекс мероприятий:
...
Далее по ссылке: https://www.group-ib.ru/blog/buhtrap
Skyment вне форума   Цитировать выделенный текст Ответить с цитированием
Реклама Место СВОБОДНО для Вашей рекламы ;-)
Promotional Bot
 
Робот Форума
 
Регистрация: 06.02.2006
Реклама Реклама от Яндекса

Promotional Bot 
__________________
  Я очень хочу разместить здесь Вашу рекламу... 
Старый 25.08.2017, 10:51   #2
Skyment
Бывший сотрудник МВД
 
Аватар для Skyment

Информация недоступна.
По умолчанию Re: Ловушка для главбуха

Дополню из материала критически важный блок:
Цитата:
Как выглядит атака:
краткий технический анализ
Пользователь заходит на один из скомпрометированных сайтов: www.eurolab.ua, careerist.ru, www.smed.ru, lesstroy.net, www.klerk.ru, 1000.menu, www.nailclub.ru, medicus.ru, www.dobrota.ru, infored.ru, www.busiki-kolechki.ru, fastfwd.ru

В результате им отдается страница, которая содержит ссылку на JS скрипт с также скомпрометированного сайта (virtual-earth.de или tsitu.be) JS скрипт грузился с для сбора статистики.

Далее проверит, что зараженная машина интересна для дальнейшей эксплуатации (будет осуществлена проверка на работу с ДБО):

1) будет осуществлен поиск исполняемых файлов:

ipclient.exe,prclient.exe,rclient.exe,saclient.exe ,SRCLBClient.exe,twawebclient.exe,
vegaClient.exe,dsstart.exe,dtpaydesk.exe,eelclnt.e xe,elbank.exe,etprops.exe,eTSrv.exe,ibconsole.exe,
kb_cli.exe,
KLBS.exe,KlientBnk.exe,lfcpaymentais.exe,loadmain. exe,lpbos.exe,mebiusbankxp.exe,mmbank.exe,
pcbank.exe,pinpayr.exe,Pionner.exe,pkimonitor.exe, pmodule.exe,pn.exe,postmove.exe,
productprototype.exe,
quickpay.exe,rclaunch.exe,retail.exe,retail32.exe, translink.exe,unistream.exe,uralprom.exe,
w32mkde.exe,wclnt.exe,wfinist.exe,winpost.exe,wupo stagent.exe,Zvit1DF.exe,BC_Loader.exe,
Client2008.exe,IbcRemote31.exe,_ftcgpk.exe,scardsv r.exe,CL_1070002.exe,intpro.exe,
UpMaster.exe,SGBClient.exe,el_cli.exe,MWClient32.e xe,ADirect.exe,BClient.exe,bc.exe,ant.exe,
arm.exe,arm_mt.exe,ARMSH95.EXE,asbank_lite.exe,ban k.exe,bank32.exe,bbms.exe,bk.exe,
BK_KW32.EXE,bnk.exe,CB.exe,cb193w.exe,cbank.exe,cb main.ex,CBSMAIN.exe,CbShell.exe,clb.exe,
CliBank.exe,CliBankOnlineEn.exe,CliBankOnlineRu.ex e,CliBankOnlineUa.exe,client2.exe,client6.exe,
clientbk.exe,clntstr.exe,clntw32.exe,contactng.exe ,Core.exe,cshell.exe,cyberterm.exe,client.exe,
cncclient.exe,bbclient.exe,EximClient.exe,fcclient .exe,iscc.exe,kabinet.exe,SrCLBStart.exe,
srcbclient.exe,Upp_4.exe,Bankline.EXE,GeminiClient Station.exe,_ClientBank.exe,ISClient.exe,cws.exe,
CLBANK.EXE,IMBLink32.exe,cbsmain.dll,GpbClientSftc ws.exe,Run.exe,SGBClient.ex,sx_Doc_ni.exe,
icb_c.exe,Client32.exe,BankCl.exe,ICLTransportSyst em.exe,GPBClient.exe,CLMAIN.exe,ONCBCLI.exe,
CLBank3.exe,rmclient.exe,FColseOW.exe,RkcLoader.ex e

2) будет осуществлен поиск директорий и файлов по регулярным выражениям:

*SFT,*Agava,*Clnt,*CLUNION.0QT,*5NT,*BS,*ELBA,*Ban k,ICB_C,*sped,*gpb amicon,bifit,*bss,*ibank

3)будет осуществлен поиск в истории веб браузеров по регулярным выражениям:

*ICPortalSSL*,*isfront.priovtb.com*,*ISAPIgate.dll *,*bsi.dll*,*PortalSSL*,*IIS-Gate.dll*,*beta.mcb.ru*,*ibank*,*ibrs*,*iclient*,* eplat.mdmbank.com*,*sberweb.zubsb.ru*,*ibc*,
*elbrus*,*i-elba*,*clbank.minbank.ru*,*chelindbank.ru/online/*,*uwagb*,*wwwbank*,*dbo*,*ib.*

Если хотя бы на одном из пунктов будет найдено вхождение, то с http://tsitu.be/forum/attachment.php?id= https://virtual-earth.de/forum/attachment.php?atta... будет загружен buhtrap Также известно, что используются объекты: https://virtual-earth.de/forum/authorize.php https://tsitu.be/forum/viewtopic.php?t= https://virtual-earth.de/forum/viewtopic.php?t=

CnC buhtrap:
vremyadeneg.info/viewtopic.php
mbizness.info/viewforum.php
talk.tula.su/viewtopic.php
talk.penza.su/viewforum.php
aleksin.ru.com/viewforum.php
akhtubinsk.ru.com/viewtopic.php
mbizness.info
moslenta.info
buhguru.info
cataloxy.info
plus-forum.info
regberry.info
gazeta-unp.info
UPD В настоящее время ресурс glavbukh.ru и компания Group-IB проводят совместную работу для устранения обозначенной в данной статье проблемы.
Skyment вне форума   Цитировать выделенный текст Ответить с цитированием
Ответ

Метки
intelligence, антивирус, банкомат, вирус, ДБО, защита информации, защита компьютера, кибератака, кибермошенничество, киберразведка, малвари, мошенничество, фишинг

Опции темы
Опции просмотра

Ваши права в разделе
Быстрый переход


Часовой пояс GMT +3, время: 16:53.

Rambler's Top100 Рейтинг@Mail.ru Яндекс цитирования

Работает на vBulletin® версия 3.8.3.
Copyright ©2000 - 2017, Jelsoft Enterprises Ltd. Перевод: zCarot