В прошлые выходные эксперты «Лаборатории Касперского» обнаружили и остановили атаку банковского трояна Panda. Для распространения вредоносного ПО злоумышленники использовали скомпрометированный сайт Московской кольцевой железной дороги (МКЖД). Аналитики «Лаборатории Касперского» сообщили об угрозе в московский Департамент информационных технологий (ДИТ).

По словам экспертов, атака была многоступенчатой. Сначала злоумышленники заражали компьютеры жертв трояном Panda через вредоносную рассылку — в случае успеха компьютер становился частью ботнета.

На втором этапе злоумышленники взломали сайт МКЖД и разместили там компоненты вредоносного ПО. Такая тактика должна была повысить шансы на успех атаки: загруженный с легитимного сайта модуль вызвал бы меньше подозрений — злоумышленники, должно быть, посчитали, что портал МКЖД находится в белых списках многих антивирусов.

После этого они дали всем зараженным компьютерам команду на загрузку вредоносного компонента. Полученный модуль в свою очередь скачивал ПО, которое используется в атаках на финансовые организации. Всего преступники успели загрузить с сайта МКЖД несколько сотен копий зловреда — их и обнаружила система автоматического мониторинга активности ботнетов, разработанная «Лабораторией Касперского».

«Используя банковский троян Panda, атакующие получают полный контроль над зараженным компьютером и могут вывести деньги жертвы множеством различных способов, — предупреждает Антон Иванов, руководитель отдела исследования и детектирования сложных угроз «Лаборатории Касперского». — Например, подменить страницы в браузере при онлайн-оплате и перехватить данные банковской карты пользователя. Или с помощью средств удаленного управления воспользоваться онлайн-банкингом жертвы и вывести ее денежные средства на свои счета».

Благодаря функции удаленного администрирования Panda представляет собой особую опасность для финансовых организаций: существует вероятность распространения зловреда по инфраструктуре компании после заражения всего одного компьютера.

На текущий момент угроза ликвидирована.

Категории: Вредоносные программы, Хакеры