Когда заходишь в интернет-банк, а там троянец

Можете себе представить старинный уважаемый банк с капитализацией в 25 ярдов нерублей и 500 отделениями, скомпрометированный сверху донизу? Все его 36 доменов и почтовый сервер в придачу были заражены и бодро заливали малварь всем пользователям.
Поначалу это выглядело как обыденный взлом сайта. Заходишь посмотреть, скажем, ставки по депозитам, и попутно тебе открывают фрейм, ведущий на хост со зловредом. Но когда аналитики начали копать, выяснилось, что такие сюрпризы у банка везде, буквально на всех ресурсах: в интернет-банке, на инвестиционном портале, мобильном сайте и так далее. Причем это было не просто заражение, а интерактивная атака – поняв, что их деятельность обнаружена, хакеры вырубили почтовый сервер банка. Видимо для того, чтобы затруднить оповещение клиентов банка, его доменного регистратора и DNS-провайдера. 

Пойманная малварь содержала восемь модулей, включая модуль обновления, инструмент для кражи учетных данных Exchange и адресной книги, а также модуль для управления интернет-банком. Все компоненты стучались на командный сервер, расположенный в Канаде.

Кстати, одним из модулей была изначально легитимная утилита для удаления руткитов из системы – хакеры использовали ее, чтобы сносить антивирусы со скомпрометированных машин.

На выходе был двойной профит: мало того, что ребята могли вмешиваться в операции клиентов взломанного банка, так они еще и заражали машины этих клиентов, получая доступ к их счетам в других банках. Воровали они и платежные данные карт – так, некоторые сайты банка были заменены на фишинговые страницы с формами для ввода номера карты и прочей платежной информации. SSL-сертификат для фишинговых страниц был выдан Let’s Encrypt. Все как положено: быстро, бесплатно, автоматически. А то, что в сертификате отсутствует информация об организации-владельце, – ну кого в Бразилии волнуют такие подробности? 

Наконец, злодеи сумели взять под контроль DNS, используемый банком, для чего хватило нескольких фишинговых писем. Диагноз очевиден: благодаря отсутствию современной многоуровневой системы информационной безопасности, банк и его клиентов выдоили по полной программе.