Злоумышленники разместили вредоносный модуль на официальном ресурсе МКЖД, чтобы обойти защитные решения.
В прошлые выходные эксперты «Лаборатории Касперского» обнаружили и остановили атаку банковского трояна Panda. Для распространения вредоносного ПО злоумышленники использовали скомпрометированный сайт Московской кольцевой железной дороги (МКЖД). Аналитики «Лаборатории Касперского» сообщили об угрозе в московский Департамент информационных технологий (ДИТ).
По словам экспертов, атака была многоступенчатой. Сначала злоумышленники заражали компьютеры жертв трояном Panda через вредоносную рассылку — в случае успеха компьютер становился частью ботнета.
На втором этапе злоумышленники взломали сайт МКЖД и разместили там вредоносное ПО. Такая тактика должна была повысить шансы на успех атаки: загруженный с легитимного сайта модуль вызвал бы меньше подозрений — злоумышленники, должно быть, посчитали, что портал МКЖД находится в белых списках многих антивирусов.
После этого они дали всем зараженным компьютерам команду на загрузку вредоносного компонента. Полученный модуль в свою очередь скачивал ПО, которое используется в атаках на финансовые организации. Всего преступники успели загрузить с сайта МКЖД несколько сотен копий зловреда — их и обнаружила система автоматического мониторинга активностей ботнетов, разработанная «Лабораторией Касперского».
«Используя банковский троян Panda, атакующие получают полный контроль над зараженным компьютером и могут вывести деньги жертвы множеством различных способов, — предупреждает Антон Иванов, руководитель отдела исследования и детектирования сложных угроз «Лаборатории Касперского». — Например, подменить страницы в браузере при онлайн-оплате и перехватить данные банковской карты пользователя. Или с помощью средств удаленного управления воспользоваться онлайн-банкингом жертвы и вывести ее денежные средства на свои счета».
Благодаря функции удаленного администрирования Panda представляет собой особую опасность для финансовых организаций: существует вероятность распространения зловреда по инфраструктуре компании после заражения всего одного компьютера.
На текущий момент угроза ликвидирована.