В «Лаборатории Касперского» проанализировали целевые атаки на финансовые организации, проводимые с использованием троянской программы Silence. По данным Глобального исследовательского центра компании (GReAT), основными мишенями атакующих являются российские банки; случаи заражения зафиксированы также в Армении и Малайзии.

Первую волну атак Silence эксперты наблюдали минувшим летом, в июле. Как оказалось, злоумышленники действуют по хорошо известной схеме: используя адресные рассылки, получают доступ к сети банка, затем закрепляются в ней и начинают изучать внутреннюю инфраструктуру, фиксируя активность сотрудников и анализируя работу банковских программ. Завершив сбор информации о жертве, авторы атаки инициируют перевод денежных средств на свои счета. Подобный способ кражи денег из банков с успехом применяли участники Carbanak и некоторых других криминальных группировок.

По свидетельству GReAT, вредоносные письма, направляемые потенциальным жертвам Silence, весьма убедительны. В качестве отправителя злоумышленники указывают контакты внутри организаций, ранее подвергшихся заражению, и искусно маскируют свои сообщения под деловую переписку. К такому письму обычно прикреплен документ в формате .chm — файл справки Windows.

Этот формат примечателен тем, что позволяет использовать Javascript для перенаправления пользователя на внешний URL, причем скрипт исполняется автоматически при открытии chm-файла. Этой возможностью и воспользовались авторы Silence-атаки. Они включили во вложенный chm-документ вредоносный Javascript, инициирующий загрузку и запуск обфусцированного VBS-скрипта, который, в свою очередь, загружает исполняемый файл-дроппер. При активации дроппер устанавливает соединение с C&C-сервером, отсылает ID зараженной машины, скачивает основные модули и запускает их на исполнение.

Исследователи идентифицировали несколько модулей Silence, запускаемых как службы Windows:

  1. модуль контроля и управления, скомпилированный полтора года назад (фиксирует действия жертвы, координирует работу других модулей, создавая для них канал связи);
  2. mss.exe такой же давности, собирающий информацию с экрана (через GDI-интерфейс Windows);
  3. более свежий модуль связи с C&C, обеспечивающий также выполнение удаленных команд;
  4. легитимный Winexesvc для 64-битных Windows (аналог psexec, в данном случае используется как инструмент пост-эксплуатации).

Защитные решения «Лаборатории Касперского» детектируют Silence со следующими вердиктами:

  • Backdoor.Win32.Agent.dpke
  • Backdoor.Win32.Agent.dpiz
  • Trojan.Win32.Agentb.bwnk
  • Trojan.Win32.Agentb.bwni
  • Trojan-Downloader.JS.Agent.ocr
  • HEUR: Trojan.Win32.Generic

Для защиты от целевых атак эксперты рекомендуют использовать «комплекс мер с использованием усовершенствованных технологий обнаружения аномалий на глубоком уровне».

Категории: Аналитика, Вредоносные программы, Главное, Хакеры