13 ноября, 2017 
raven000 
Эксперты Центра вирусных исследовательских работ и специалисты Eset нашли свежую опасность – Win32/Sheldor.NAD, являющаяся версией распространенной платформы для удаленного управления ПК – TeamViewer. Данные данные были обретены работниками Центра во время проведения экспертизы в масштабах следствия организацией Group-IB происшествия, сопряженного с жульничеством в системах дистанционного банковского сервиса (ДБО).
Лишь за прошедшие 2 месяца эксперты организации Group-IB установили 30% рост конфликтов, сопряженных с жульничеством в системах ДБО. «Популярными основаниями таких конфликтов считается немощная политика справочной безопасности в маленьком и среднем бизнесе, – объясняет Игорь Сачков, гендиректор организации Group IB. – Также линия заключительных конфликтов в данной области демонстрирует рост мастерства мошенников при подготовке вредного ПО. Потому непрерывный тест свежих типов жульнических программ считается гарантией удачных расследований правонарушений в системах ДБО».
В ходе следствия происшествия, случившегося в одном из отечественных банков, была выявлена вредная платформа Win32/Sheldor.NAD (по систематизации Eset), которая представляет из себя измененную версию ПО для удаленного управления ПК — TeamViewer 5.0. При этом был изменен один из модулей законной платформы, который применяется в ходе сетевого взаимодействия с серверами TeamViewer. Версия позволяла посылать аутентификационные данные важного сеанса TeamViewer на компьютер мошенников, у которых являлась вероятность когда угодно получить доступ к серьезной сессии клиента на инфицированном ПК. Это значит, что жулики имели не только лишь доступ к секретным данным клиента, но также и могли делать ряд действий на инфицированном ПК, и в том числе производить транзакции в системах ДБО, что проводило к денежным утратам клиента.
В связи с тем что большинство элементов измененной версии TeamViewer имели законную цифровую роспись и считались законными элементами, кроме одного модуля, число противовирусных товаров, зафиксировавших опасность на день ее обнаружения, было недостаточно. Также отметим, что измененная модификация TeamViewer ставилась в технологию клиента с помощью специально спроектированной троянской программы-инсталлятора, которая формировала все нужные ключи списка для работы Win32/Sheldor.NAD: воспроизводила детали TeamViewer в системную папку %WINDIR% и дополняла в автозапуск.
«Применение законных программ удаленного управления для разного рода действий мошенников мы встречаем далеко не впервые, – подчеркивает Александр Матросов, главный директор Центра вирусных исследовательских работ и специалисты организации Eset. – Но в этом инциденте речь в данном случае идет о версии перечня возможностей распространенной платформы TeamViewer, что говорит о том, что мошенники очевидно преследовали задача предельной схожести с законным ПО. Это и сделало возможным им оставаться незамеченными для многих противовирусных решений».
Опубликовано в рубрике 
