По информации представителя SecureWorks (США), Джо Стюарт (Joe Stewart), группа злоумышленников использует новую версию вредоносного кода BlackEnergy для кражи паролей к системам online-банкинга ряда российских и украинских банков.

Одной из отличительных особенностей BlackEnergy 2 является система плагинов, которая позволяет ему выполнять на зараженных компьютерах самые разные действия. Более того, разработкой плагинов может заниматься каждый, кто имеет в своем распоряжении копию этого кода.

Как полагает Дж. Стюарт, набор плагинов «по умолчанию» включает 3 модуля для DDoS-атак, совместный функционал которых соответствует возможностям первого BlackEnergy.

Однако в руки исследователя попали и другие, менее распространенные плагины. Один из них предназначен для рассылки спама, а два других используются для кражи денег со счетов «большого количества российских и украинских банков». Во всех этих системах online-банкинга используется Java-апплет, который загружает со съемного носителя пользовательский приватный ключ, необходимый для аутентификации.

Код реагирует на открытие файлов с приватным ключом с последовательностью символов «iBKS», а также на банковский плагин knab (модуль «ibank.dll»). Кроме того, вредоносный код следит за набираемыми пользователем зараженного компьютера паролями, которые отсылает своим хозяевам вместе с URL-ом страницы с формой логина. Стюарт отмечает, что этот плагин внедряется в процессы iexplore.exe, firefox.exe, flock.exe, opera.exe и java.exe.

Второй плагин, kill, используется в паре с knab. Когда злоумышленники получают необходимую им информацию (логин, пароль и приватный ключ) и собираются использовать ее для опустошения банковского счета, они дают команду на порчу всех разделов жестких дисков компьютера жертвы с последующим выключением системы, с тем чтобы пользователь не смог какое-то время подключиться к своему счету.

По материалам xakep.ru