Хакеры выводят деньги со счетов юрлиц, используя уязвимость систем ДБО

Хакеры выводят деньги со счетов юрлиц, используя уязвимость систем ДБО

Хакеры выводят деньги со счетов юрлиц, используя уязвимость систем ДБО

Банк России предупреждает кредитно-финансовые организации об атаках на системы ДБО с целью кражи денежных средств со счетов юридических лиц. Изучив устройство API, злоумышленник авторизуется в мобильном приложении и совершает перевод денежных средств, указывая в качестве отправителя номер счета жертвы.

Похожий способ хищения денег ЦБ зафиксировал минувшим летом. На тот момент грабителей интересовали счета физлиц, которые они опустошали, используя систему быстрых платежей (СБП) и уязвимость в стандартном мобильном приложении.

Переключившись на атаки против юрлиц, злоумышленники отказались от использования СПБ для вывода денег со счета. Вместо этого они формируют распоряжение на перевод денежных средств от имени жертвы. Номер ее счета они узнают из открытых источников.

В остальном схема мошенничества не изменилась: автор атаки заходит в банковское приложение под своими идентификаторами, включает режим отладки, изучает порядок и структуру вызовов API ДБО, а затем совершает перевод, подменяя счет отправителя.

Предупреждая банки о новых атаках, ЦБ отметил высокий уровень подготовки их инициаторов. Похоже, что злоумышленники хорошо осведомлены об устройстве системы ДБО, особенностях обработки платежей, а также принципах работы антифрод-решений.

Атаки на счета юрлиц, по мнению экспертов, могут обернуться для жертв гораздо более серьезными потерями, чем в случае с физлицами. Суммы на таких счетах обычно заметно крупнее, а лимиты на перевод средств со счетов юрлиц намного выше, чем в СБП.

По данным ЦБ, в ходе новой мошеннической кампании пока никто не пострадал. По мнению гендиректора SafeTech Дениса Калемберга, злоумышленникам в данном случае помогают «грубейшие нарушения принципов проектирования логики приложения», сводящие на нет все усилия по защите транзакций.

«Если эта система, в которой обнаружена уязвимость, является "коробочной", то есть тиражируемой на разные банки, переживать за свои средства нужно клиентам многих банков»,— отметил также эксперт в своем комментарии для «Ъ».

К сожалению, российские банки пока уделяют мало внимания обеспечению безопасности API, сетует консультант Cisco по вопросам ИБ Алексей Лукацкий. Это на руку злоумышленникам, для которых бурное развитие цифровых технологий в финансовой сфере хозяйственной деятельности России не прошло незамеченным.

В целях противодействия подобным схемам мошенничества ЦБ рекомендует банкам тщательно проверить используемые системы ДБО на уязвимость и ввести дополнительные проверки принадлежности счетов, а также учетных записей клиентов. В частности, специалисты по ИБ советуют при каждой транзакции производить сверку расчетного счета клиента с его аккаунтом.

О новой хакерской атаке на банки и возможных атаках на государственные сервисы рассказал заместитель генерального директора - технический директор компании «Газинформсервис» Николай Нашивочников:

«Этот способ не новый, прежде его "обкатывали" на физлицах. Только на этот раз хакеры подготовились более качественно - в Центробанке уже отметили высокий уровень подготовки атак. Банки, конечно, по-прежнему самая очевидная цель для мошенников, потому что есть быстрая финансовая выгода. Однако, не исключены и повторения ситуации с различными государственными сервисами.

Требования к безопасности приложений сложно формализовать и сегодня, увы, мало что делается в этом направлении. Фреймворков типа bsimm, samm, cmmi становится все больше, но все они находятся в процессе формализации требований к ранним этапам разработки.

Судя по опубликованной информации, эксплуатируемая уязвимость в ПО для ДБО была заложена при проектировании. Это подтверждает один из принципов SDLC: недостаточно включить сканеры, пентесты и анализаторы кода в процесс разработки. Проблемы безопасности должны быть проработаны на самых ранних стадиях. Привлечение к разработке приложений архитектора по безопасности – пока, к сожалению, редкость».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Инфостилер Jarka прожил год на PyPI под видом инструментов интеграции ИИ

Эксперты «Лаборатории Касперского» нашли на PyPI два схожих пакета, якобы реализующих доступ к API популярных ИИ-моделей — GPT-4 Turbo и Claude AI. Анализ показал, что истинной целью в обоих случаях является внедрение зловреда JarkaStealer.

Вредоносные библиотеки gptplus и claudeai-eng были загружены в репозиторий Python-кодов в ноябре прошлого года, притом из-под одного и того же аккаунта. До удаления с подачи Kaspersky их скачали более 1700 раз пользователи из 30 стран (в основном жители США, Китая, Франции, Германии и России).

 

Описания содержали инструкции по созданию чатов для ИИ-ботов и примеры работы с большими языковыми моделями (БЯМ, LLM). Для имитации заявленной функциональности в код был встроен механизм взаимодействия с демопрокси ChatGPT.

При запуске параллельно происходит загрузка с GitHub файла JavaUpdater.jar — инфостилера Jarka. При отсутствии у жертвы софта Java с Dropbox скачивается JRE.

Внедряемый таким образом вредонос умеет выполнять следующие действия в системе:

  • собирать системную информацию;
  • воровать информацию из браузеров;
  • прерывать процессы Google Chrome и Microsoft Edge (чтобы вытащить сохраненные данные);
  • отыскивать сессионные токены в Telegram, Discord, Steam, чит-клиенте Minecraft;
  • делать скриншоты.

Украденные данные архивируются и передаются на C2-сервер. После этого файл с добычей удаляется с зараженного устройства, чтобы скрыть следы вредоносной активности.

Как оказалось, владельцы JarkaStealer продают его в Telegram по модели MaaS (Malware-as-a-Service, «вредонос как услуга»), однако за доступ уже можно не платить: исходники были опубликованы на GitHub. В рекламных сообщениях и коде зловреда обнаружены артефакты, позволяющие заключить, что автор стилера владеет русским языком.

«Обнаруженная кампания подчёркивает постоянные риски, связанные с атаками на цепочки поставок, — отметил эксперт Kaspersky GReAT Леонид Безвершенко. — При интеграции компонентов с открытым исходным кодом в процессе разработки критически важно проявлять осторожность. Мы рекомендуем организациям внедрять строгую проверку целостности кода на всех этапах разработки, чтобы убедиться в легитимности и безопасности внешнего программного обеспечения или внешних компонентов».

Тем, кто успел скачать gptplus или claudeai-eng, рекомендуется как можно скорее удалить пакет, а также обновить все пароли и сессионные токены.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru