Обнаружена угроза, поражающая серверы российских и европейских банков

Компания ESET — лидер в области разработки антивирусного программного обеспечения — сообщает о быстром распространении вредоносного модуля к веб-серверу Apache. Продукты ESET классифицируют данную угрозу как Linux/Chapro.A. Основной целью этой программы является внедрение вредоносного контента на страницы, которые обслуживаются инфицированным веб-сервером. При этом использоваться может практически любой тип контента, но в данном случае Linux/Chapro.A устанавливает одну из вариаций вредоносного программного обеспечения Win32/Zbot, предназначенного для кражи конфиденциальной информации с зараженных систем. Деятельность данной версии Win32/Zbot направлена на европейские и российские банковские организации. Стоит отметить, что Apache является самым популярным HTTP-сервером в сфере программного обеспечения и обслуживает более половины всех активных веб-сайтов по всему миру.

«Данная угроза говорит о повышении уровня сложности вредоносных атак. В данном случае программа распространяется в трех странах, чтобы атаковать пользователей в четвертой стране», — рассказывает Пьер-Марк Бюро, руководитель программы глобального мониторинга вредоносной активности ESET.

Вредоносный модуль имеет несколько интересных возможностей, использование которых позволяет угрозе оставаться незамеченной системными администраторами. Например, Linux/Chapro.A может устанавливать куки-файлы на компьютер жертвы и скрываться от веб-браузеров, в которых он может выдавать ошибку. Исследователи ESET впервые обнаружили данную угрозу в ноябре. Попытка заражения была заблокирована продуктами ESET с помощью сканирования на основе метода родовых сигнатур. Более того, ранее вредоносная ссылка была добавлена в черный URL список. В процессе анализа было выявлено, что сервер управления вредоносной программой находился в Германии, но в последнее время перешел в автономный режим.

Исследователи ESET пришли к выводу, что Linux/Chapro.A внедряет вредоносные фреймы в HTML-страницы, направляя пользователей на сайты с эксплойт-паком «Sweet Orange», где они подвергаются заражению банковскими троянами, такими как Win32/Zbot. «В ходе анализа мы обнаружили, что управление эксплойтом в настоящее время осуществляется из Литвы. Угроза использует несколько уязвимостей, обнаруженных в современных веб-браузерах и плагинах, — рассказывает Пьер-Марк Бюро, руководитель программы глобального мониторинга вредоносной активности ESET. — Конечной целью атаки является установка одной из версиий вредоносной программы Win32/Zbot, также известной как ZeuS. Стоит отметить, что данная угроза широко использовалась киберпреступниками для кражи конфиденциальной банковской информации».

Как только пользователь входит в учетную запись вредоносная программа с помощью всплывающего окна запрашивает CVV код его карты. После этого угроза пытается отправить полученные учетные данные вместе с CVV кодом оператору ботнета. Несмотря на то, что команда исследователей ESET не встречала Linux/Chapro.A в «дикой» среде, были обнаружены тысячи пользователей, посетивших сайты с эксплойт-паком «Sweet Orange» прежде чем доступ к данному серверу был заблокирован продуктами ESET.