Бывший сотрудник МВД
Информация недоступна.
|
Re: Ловушка для главбуха
Дополню из материала критически важный блок:
Цитата:
Как выглядит атака:
краткий технический анализ
Пользователь заходит на один из скомпрометированных сайтов: www.eurolab.ua, careerist.ru, www.smed.ru, lesstroy.net, www.klerk.ru, 1000.menu, www.nailclub.ru, medicus.ru, www.dobrota.ru, infored.ru, www.busiki-kolechki.ru, fastfwd.ru
В результате им отдается страница, которая содержит ссылку на JS скрипт с также скомпрометированного сайта (virtual-earth.de или tsitu.be) JS скрипт грузился с для сбора статистики.
Далее проверит, что зараженная машина интересна для дальнейшей эксплуатации (будет осуществлена проверка на работу с ДБО):
1) будет осуществлен поиск исполняемых файлов:
ipclient.exe,prclient.exe,rclient.exe,saclient.exe ,SRCLBClient.exe,twawebclient.exe,
vegaClient.exe,dsstart.exe,dtpaydesk.exe,eelclnt.e xe,elbank.exe,etprops.exe,eTSrv.exe,ibconsole.exe,
kb_cli.exe,
KLBS.exe,KlientBnk.exe,lfcpaymentais.exe,loadmain. exe,lpbos.exe,mebiusbankxp.exe,mmbank.exe,
pcbank.exe,pinpayr.exe,Pionner.exe,pkimonitor.exe, pmodule.exe,pn.exe,postmove.exe,
productprototype.exe,
quickpay.exe,rclaunch.exe,retail.exe,retail32.exe, translink.exe,unistream.exe,uralprom.exe,
w32mkde.exe,wclnt.exe,wfinist.exe,winpost.exe,wupo stagent.exe,Zvit1DF.exe,BC_Loader.exe,
Client2008.exe,IbcRemote31.exe,_ftcgpk.exe,scardsv r.exe,CL_1070002.exe,intpro.exe,
UpMaster.exe,SGBClient.exe,el_cli.exe,MWClient32.e xe,ADirect.exe,BClient.exe,bc.exe,ant.exe,
arm.exe,arm_mt.exe,ARMSH95.EXE,asbank_lite.exe,ban k.exe,bank32.exe,bbms.exe,bk.exe,
BK_KW32.EXE,bnk.exe,CB.exe,cb193w.exe,cbank.exe,cb main.ex,CBSMAIN.exe,CbShell.exe,clb.exe,
CliBank.exe,CliBankOnlineEn.exe,CliBankOnlineRu.ex e,CliBankOnlineUa.exe,client2.exe,client6.exe,
clientbk.exe,clntstr.exe,clntw32.exe,contactng.exe ,Core.exe,cshell.exe,cyberterm.exe,client.exe,
cncclient.exe,bbclient.exe,EximClient.exe,fcclient .exe,iscc.exe,kabinet.exe,SrCLBStart.exe,
srcbclient.exe,Upp_4.exe,Bankline.EXE,GeminiClient Station.exe,_ClientBank.exe,ISClient.exe,cws.exe,
CLBANK.EXE,IMBLink32.exe,cbsmain.dll,GpbClientSftc ws.exe,Run.exe,SGBClient.ex,sx_Doc_ni.exe,
icb_c.exe,Client32.exe,BankCl.exe,ICLTransportSyst em.exe,GPBClient.exe,CLMAIN.exe,ONCBCLI.exe,
CLBank3.exe,rmclient.exe,FColseOW.exe,RkcLoader.ex e
2) будет осуществлен поиск директорий и файлов по регулярным выражениям:
*SFT,*Agava,*Clnt,*CLUNION.0QT,*5NT,*BS,*ELBA,*Ban k,ICB_C,*sped,*gpb amicon,bifit,*bss,*ibank
3)будет осуществлен поиск в истории веб браузеров по регулярным выражениям:
*ICPortalSSL*,*isfront.priovtb.com*,*ISAPIgate.dll *,*bsi.dll*,*PortalSSL*,*IIS-Gate.dll*,*beta.mcb.ru*,*ibank*,*ibrs*,*iclient*,* eplat.mdmbank.com*,*sberweb.zubsb.ru*,*ibc*,
*elbrus*,*i-elba*,*clbank.minbank.ru*,*chelindbank.ru/online/*,*uwagb*,*wwwbank*,*dbo*,*ib.*
Если хотя бы на одном из пунктов будет найдено вхождение, то с http://tsitu.be/forum/attachment.php?id= https://virtual-earth.de/forum/attachment.php?atta... будет загружен buhtrap Также известно, что используются объекты: https://virtual-earth.de/forum/authorize.php https://tsitu.be/forum/viewtopic.php?t= https://virtual-earth.de/forum/viewtopic.php?t=
CnC buhtrap:
vremyadeneg.info/viewtopic.php
mbizness.info/viewforum.php
talk.tula.su/viewtopic.php
talk.penza.su/viewforum.php
aleksin.ru.com/viewforum.php
akhtubinsk.ru.com/viewtopic.php
mbizness.info
moslenta.info
buhguru.info
cataloxy.info
plus-forum.info
regberry.info
gazeta-unp.info
UPD В настоящее время ресурс glavbukh.ru и компания Group-IB проводят совместную работу для устранения обозначенной в данной статье проблемы.
|
|