Logotyp serwisu CyberDefence24
Reklama

Biznes i Finanse

Wirus w aplikacji zdalnego zarządzania bankiem

TF

Tomasz Fastyn

  • Fot. MNiSW

Ammy Admin to system do zdalnej administracji systemów sieciowych oraz pracy w środowisku wirtualnego biura. Rozwiązanie posiada swoją darmową okrojną wersję dostępną dla użytkowników niekomercyjnych. Wszystko wskazuje na to, że w wyniku licznych włamań na stronę producenta oprogramowania, pliki instalacyjne w jednej z wersji zostały podmienione na zainfekowaną wersję, która pozwalała hakerom na dostęp spoza zaufanej sieci.

Za niektóre wcześniejsze włamania odpowiadała grupa Lurk, której członkowie nie dalej jak miesiąc temu zostali zatrzymani przez stróżów prawa. Jednak ostatnia zainfekowana wersja, według eskpertów z Kaspersky Lab, nie ma nic wspólnego z poprzedniczką.

Oprócz luki zawartej w programie, którą hakerzy umiejętnie wykorzystali kradnąc z kont bankowych pieniądze, włamali się oni na stronę firmy odpowiedzialnej za sprzedaż aplikacji. Według securlist, hakerzy mieli zmodyfikować część kodu PHP odpowiedzialnego za przekierowanie pobierania do serwera, na którym znajdowała się złośliwa wersja oprogramowania.

Ten typ ataku wykorzystanego przez hakerów w krajach anglosaskich jest nazywany – Watering Hole wykorzystujący elementy inżynierii społecznej, w której użytkownicy są śledzeni przez hakerów, w celu sprawdzenia najczęściej odwiedzanych przez nich stron. Jest to zaawansowana technika, które wymaga dużej wiedzy oraz umiejętności hakerskich, jest stosowana dopiero kiedy tradycyjne metody phishingu lub spearphisingu nie dają oczekiwanych efektów. Tak było i w tym przypadku, administrator odpowiedzialny za aplikacje Ammy Admin w banku odwiedzał często właśnie stronę firmy, prawdopodobnie w celu aktualizacji.

Program antywirusowy nie wykrył żadnej niezgodności, w dodatku gdyby nawet je wykrył, to według Kaspersky Lab potwierdzenie zablokowania należało by do użytkownika, który najpewniej zaakceptowałby potrzebne mu do pracy oprogramowanie.

W wyniku działalności grupy Lurk odpowiedzialnej m.in. za stworzenie zainfekowanej wersji Ammy Admin z kont banków, instytucji finansowych oraz innych organizacji wykradzione zostało około 45 mln dolarów. Jednak problemy związane z zainfekowanym oprogramowaniem nie zostały zlikwidowane wraz z aresztowaniem osób z Lurk 1 czerwca tego roku. Jeszcze tego samego dnia pojawił się nowy rodzaj złośliwego oprogramowania z trojanem Fareit, które oprócz możliwości dostania się do zabezpieczonej sieci wykrada dane osobowe użytkowników sieci.

Czytaj też: Eksperci znaleźli podatności w systemach sterujących BMW

Reklama

Komentarze

    Reklama

    Czytaj także

    #CyberMagazyn: ElevenLabs - polski jednorożec w generatywnej sztucznej inteligencji
    cyber cyberbezpieczeństwo
    #CyberMagazyn: Prawo i regulacje w nordyckiej cyberprzestrzeni
    Atak na użytkowników LastPass. Wyjątkowo sprytna metoda
    Uczelnia Techniczno-Handlowa im. H. Chodkowskiej
    Wielowymiarowość cyberbezpieczeństwa. Nadchodzi międzynarodowe wydarzenie
    NATO z centrum ds. cyberprzestrzeni. "Potrzebna świadomość sytuacyjna"
    Tomasz Kuźniar, założyciel i prezes Monit24
    Tomasz Kuźniar: Monitoring zauważy, że dana strona ma problem
    Wiceminister cyfryzacji Paweł Olszewski
    Nie będzie Agencji Cyberbezpieczeństwa. Przynajmniej nie w tym roku
    FBI ujawnia informacje o chińskich hakerach. "Czekają na dogodny moment"