Опасный вирус угрожает российским компаниям

Специалисты «Лаборатории Касперского» рассказали о новой технологии хакерских атак, которая угрожает, в первую очередь, мелкому и среднему бизнесу. Хакеры изменяли данные в документах, которыми обмениваются банковские и бухгалтерские системы, это позволило украсть около 200 млн рублей.

Как работает мошенническая схема

Хакеры использовали троянскую программу Trojan-Banker.Win32.TwoBee.gen, чтобы редактировать текстовые документы. Эксперты по безопасности обнаружили ее в конце 2016 года и утверждают, что атакам подверглось множество серьезных организаций.
Ранее подход уже использовали – данные подменял троян Carberp. С приходом в системы функций шифрования процесс усложнился, однако методика часто срабатывает.
Для файлов обычно задаются стандартные имена, и найти их очень легко, к тому же данные имеют простой формат выгрузки. До того, как деньги отправятся по указанным реквизитам, информация о переводах сохраняется в этих файлах. Троянская программа TwoBee изменяет получателя платежа – это несложно, так как формат не защищен.
TwoBee, как правило, устанавливается с помощью BuhTrap или других программ, а также с помощью средств удаленного администрирования – LiteManager и пр. Используется три блока: один запускает троян, второй подменяет реквизиты, третий удаляет вредоносное ПО. Для подмены реквизитов уже написаны десятки модулей.
Атаке подверглись преимущественно российские компании:

Без названия (1)

Эксперты утверждают, что для борьбы с мошеннической схемой необходимо внедрять системы шифрования документов в финансовых программах. Защищенные выгрузки серьезно усложнят процесс подмены реквизитов.

от admin