6 августа с зараженного компьютера пользователя Контур.Диадока разослали zip-архивы с вредоносным программным обеспечением. Решение «Лаборатории Касперского» детектирует это вредоносное ПО как HEUR:Trojan.Win32.Agentb.gen.
Специалисты Контура при содействии «Лаборатории Касперского» определили, что зараженные трояном компьютеры, управляются с серверов:
- techbb[.]site
- kogama[.]rest
- maxboth[.]click
- boxofwe[.]homes
- minboth[.]click
- 95.181.226.238
Примеры хеш-сумм (список может расширяться):
- 34ca42e851acefa46a36ad01ab8f28e51f832a6c22622ab49d767caee75b8d2c
- 5c5a48c2d0f1b9695a0593b543f26b29e7e3612692e06d051f5c8b7ed00c27ef
- 9f4403cd493e7cc5980545f150ce9188817544db78e82413915c52031f51e857
- a5d1d8ebf0efe272a7779ac26a8aba3b1d69a0b4678a37cc14287cd4d7273b16
- c0461c68ad96bc01a7c31d5ad5fec48ee0db3e2112a10bb61ce38e1b8c8fbaaa
Ознакомиться с отчетом исследования одной из форм трояна
Цель злоумышленника — кража денег через системы дистанционного банковского обслуживания (ДБО). Кибератака была направлена на пользователей систем ДБО и иных сервисов отправки платежных поручений в различные банки.
Сам сервис Диадок не был взломан. Для вредоносной рассылки использовали стандартную возможность продукта — отправку документов из веб-приложения.
Чтобы избежать дальнейшего распространения вредоносного ПО, Контур.Диадок заблокировал отправку зараженных документов и удалил отправленные. За короткий промежуток между отправкой архива и его удалением из системы некоторые пользователи могли получить зараженные вложения и запустить их на своих рабочих местах.
Как определить наличие трояна
Троян можно обнаружить по следующим признакам:
- Появление нового exe-файла с необычным названием в локальном каталоге пользователя, например, C:\Users\***\AppData\Local\Pepebekap\Kebopeb.exe или C:\Users\***\AppData\Local\Kakobebabe\Lebobobela.exe
- Появление такого файла в списке автозагрузки.
- Незапланированная установка программ удаленного доступа, таких как Anydesk или TeamViewer.
Действия Контура для локализации инцидента
За сутки специалисты Контура провели исследование и реверс-инжиниринг образцов вредоносного ПО с привлечением специалистов «Лаборатории Касперского». Установили индикаторы компрометации и признаки заражения систем клиентов.
В сервисе Контур.Диадок предприняты следующие меры:
- Выявлены и пресечены процессы распространения трояна среди клиентов, включая выборочное ограничение функциональности сервиса.
- Заблокированы вредоносные файлы в объектном хранилище сервиса.
- Актуализированы средства и системы обнаружения вредоносного ПО.
- Производится непрерывный контроль за попытками распространения вредоносных файлов.
- Проведена адресная работа с пострадавшими клиентами и оказание помощи в устранении последствий инцидента.
Что делать, если вы получили неизвестный архив
Если вы получили архив, действуйте так же, как в случае с любым другим подозрительным файлом в почтовом сервисе — не запускайте содержащиеся в нем исполняемые файлы.
Так как троян направлен на хищение денежных средств через системы дистанционного-банковского обслуживания и иные системы формирования платежных документов, внимательно контролируйте платежные поручения, которые вы отправляете. Особое внимание уделите реестрам платежных поручений: как правило, банковский троян добавляет «мошенническую платежку» в пачку платежей.
Проконтролируйте доступы к электронным подписям, которые вы используете для подписания платежных поручений, а также старайтесь использовать многофакторную аутентификацию при работе с финансовыми транзакциями.
Сотрудники СКБ Контур могут написать на электронную почту только с домена skbkontur.ru или позвонить с номеров: +7 343 344-10-10, +7 343 228-29-99.
Источник: https://www.diadoc.ru/articles/80482-troyan_buhtrap_razoslali_ot_diadoka
