Thefts of funds through RB of Sberbank have become more frequent

[Агентство. PrivacyGuard.]

Buenas tardes, colegas!

En las últimas dos semanas, el número de cancelaciones a través de las cuentas bancarias de Sberbank ha aumentado considerablemente. El esquema es antiguo, infección por virus, robo de certificados, etc. Traslado a un físico, lo arrojan a dos o tres personas más. Depende de la cantidad total. porque Los cajeros automáticos tienen un límite diario de retiro de efectivo. Según nuestras observaciones, Sberbank llamó la atención sobre el RB después de que lo convirtieron en un banco de Internet. Anteriormente, Sberbank RBS estaba con un firewall de hardware, en una máquina dedicada, con una llave de hardware. Y ahora han hecho todo más fácil. Trabajo a través de Internet, inicio de sesión, contraseña de entrada. En general, la seguridad se ha reducido, los robos se han vuelto mayores. Ten cuidado. Observe las medidas de seguridad durante el trabajo con cualquier RBS.

 

[Матушкин Андрей Николаевич]

¡Gracias!

 

[Group-IB]

Buenas tardes, colegas! Hay casos frecuentes de robo de fondos no solo a través del SBE de Sberbank, sino también de otros bancos. ¡Ten cuidado!

 

[Group-IB]

Los expertos de ESET y Group-IB han descubierto una nueva amenaza para los sistemas RBS
ESET, un desarrollador internacional de software antivirus y soluciones de seguridad informática, informa que el Centro de Investigación y Análisis de Virus de ESET ha descubierto una nueva amenaza: Win32 / Sheldor.NAD, que es una modificación del popular programa de administración remota de computadoras: TeamViewer.
Los empleados del Centro obtuvieron esta información durante el examen como parte de la investigación del Grupo IB sobre el incidente relacionado con el fraude en los sistemas de banca remota (RBS).

Solo en los últimos dos meses, los especialistas del Grupo IB registraron un aumento del 30% en los incidentes relacionados con el fraude en los sistemas bancarios remotos. "Las causas comunes de tales incidentes son una política de seguridad de la información débil en las pequeñas y medianas empresas", comenta Ilya Sachkov, CEO del Grupo IB. - Además, la tendencia de incidentes recientes en esta área muestra un aumento en la profesionalidad de los atacantes en el desarrollo de malware. Por lo tanto, un análisis constante de nuevos tipos de programas fraudulentos es la clave para la investigación exitosa de delitos en el sistema bancario ".

Durante la investigación del incidente que ocurrió en uno de los bancos rusos, se detectó el malware Win32 / Sheldor.NAD (según la clasificación de ESET), que es una versión modificada del software para la administración remota de la computadora: TeamViewer 5.0. Al mismo tiempo, se modificó uno de los módulos del programa legal, que se utiliza en el proceso de interacción de red con los servidores de TeamViewer. La modificación permitió enviar datos de autenticación de la sesión actual de TeamViewer al servidor de los atacantes, quienes tuvieron la oportunidad en cualquier momento de obtener acceso a la sesión de usuario activa en la PC infectada. Esto significa que los estafadores no solo tenían acceso a los datos confidenciales del usuario, sino que también podían realizar una serie de acciones en la computadora infectada, incluidas las transacciones en sistemas bancarios remotos, lo que provocó pérdidas financieras para el usuario.

Dado que la mayoría de los componentes de la versión modificada de TeamViewer estaban legalmente firmados digitalmente y eran componentes legales, con la excepción de un módulo, la cantidad de productos antivirus que detectaron la amenaza en el momento en que se detectó era pequeña. También vale la pena señalar que se instaló una versión modificada de TeamViewer en el sistema del usuario utilizando un instalador de troyanos especialmente desarrollado que creó todas las claves de registro necesarias para que Win32 / Sheldor.NAD funcione: copió los componentes de TeamViewer en la carpeta del sistema% WINDIR% y lo agregó a la ejecución automática.

"Esta no es la primera vez que encontramos el uso de programas de administración remota legal para varios tipos de actividades maliciosas", dijo Alexander Matrosov, director del Centro de Investigación y Análisis de Virus en ESET. - Sin embargo, en este incidente, estamos hablando de modificar la funcionalidad del popular programa TeamViewer, lo que sugiere que los atacantes claramente persiguieron el objetivo de la máxima similitud con el software legal. Esto les permitió pasar desapercibidos para la mayoría de las soluciones antivirus ".
Las soluciones antivirus ESET NOD32 protegen de manera confiable a los usuarios del malware Win32 / Sheldor.NAD. Gracias a la tecnología de detección temprana ThreatSense.Net, los productos ESET evitan que la computadora se infecte con nuevas versiones de este software malicioso.

 

[Ева]

Gracias por la información.

 

[Частный детектив. Ростов-на-Дону.]

Gracias, señaló.

 

[Агентство. PrivacyGuard.]

Buenas tardes, colegas!

En realidad, los virus solían ser capaces de controlar remotamente la computadora de la víctima. Tanto Zeus como SPyEye tenían módulos backConnect para evitar el firewall y la protección NAT. La comunicación se inició desde la red de la víctima y se aprobaron medidas de seguridad sin obstáculos. Sin embargo, usar TeamViewer es una solución interesante. Y en cuanto a los antivirus, todo se decide por la velocidad con la que actualizan la base de datos de virus. Y no hay líderes obvios. Alguien encontró previamente una infección, otra persona. Si hay sospechas, es mejor consultar con varios programas antivirus. Y es más correcto usar protección en capas usando soluciones de varios desarrolladores.