В марте зафиксирован «бестелесный» бот и первый банковский троянец для Android

«Лаборатория Касперского» провела анализ киберугроз в марте 2012 г. В прошедшем месяце эксперты компании обнаружили уникальную атаку, в ходе которой злоумышленники использовали вредоносную программу, способную функционировать без создания файлов на зараженной системе — «бестелесный» бот. То, что он работает исключительно в оперативной памяти, значительно усложняет процесс обнаружения с помощью антивируса. Cхема атаки была нацелена на хищение конфиденциальных данных пользователей для доступа к системам онлайн-банкинга ряда крупных российских банков.

Эксперты «Лаборатории Касперского» продолжают расследование истории троянской программы Duqu, которое длится уже шесть месяцев. В марте им удалось установить, что фреймворк Duqu был написан на C и скомпилирован с помощью MSVC 2008. Также был обнаружен новый драйвер, практически аналогичный тем, которые ранее использовались в Duqu. Это означает, что после четырех месяцев перерыва авторы троянца вновь вернулись к работе.

В марте российские правоохранительные органы совместно с исследовательской группой Group-IB завершили расследование деятельности группы лиц, участвовавших в краже денег с использованием банковского троянца Carberp. В группу входило восемь человек, жертвами злоумышленников были клиенты десятков российских банков и было совершенно хищений на сумму около 60 млн рублей. Результатом расследования стал арест злоумышленников. Однако пока автор троянца и владельцы партнерских сетей для его распространения остаются на свободе, а троянец Carberp продолжает продаваться на специализированных форумах.

В течение всего месяца наблюдалась небывалая активность вредоносных программ под OS X. При проведении одной из мартовских атак злоумышленники рассылали в спаме эротические картинки формата .JPG и замаскированные под картинки исполняемые вредоносные файлы. Еще одна новинка марта: вредоносные программы, использующие Twitter в качестве северов управления. Для распространения данных вредоносных программ злоумышленники взломали 200 тыс. блогов, работающих под управлением WordPress.

Сегмент мобильных угроз пополнился новым банковским троянцем для ОС Android. Ранее существовали троянцы, ворующие мобильные коды аутентификации транзакций (mTAN), которые посылаются банком на телефон клиента в SMS-сообщениях. В середине месяца был обнаружен зловред, который нацелен не только на кражу SMS, содержащих mTAN’ы, но и на кражу непосредственно самих данных (логин/пароль) для идентификации пользователя в системе онлайн-банкинга. Эксперты полагают, что к созданию новой вредоносной программы причастны русскоязычные вирусописатели.