«Лаборатория Касперского» зафиксировала новую активность знаменитого банковского троянца Panda. Зловред обращался к официальному сайту Московской кольцевой стальной дороги, чтобы загрузить часть своих компонентов.
По достоверным сведениям «Лаборатории Касперского», атака проходила в несколько этапов. Сначала преступники заражали устройства жертв банковским троянцем Panda маршрутом рассылки фишинговых писем, содержащих вредоносный документ с макросом или эксплойтом. Если заражение проходило удачно, устройство вместе с зловредом становилось долею ботнета под управлением командного центра киберпреступников.
В первые выходные июля банковский троянец Panda получил команду от преступников на загрузку вредоноса с сайта mkzd[.]ru, что было обнаружено системой автоматического мониторинга активностей ботнетов. Обычно киберпреступники используют такой подход, полагаясь обмануть систему защиты жертвы: они нападают легитимный ресурс, с него это станется находиться в так именуемых «белоснежных перечнях», и в случае удачного проникновения размещают на нём компоненты вредоносного ПО. Загруженный с сайта mkzd[.]ru модуль банковского троянца Panda скачивает затем следующий вредоносный компонент, который представляет собой часть общеизвестной платформы, использующейся в атаках на финансовые организации.
«Используя банковский троян Panda, нападающие получают полный контроль над заражённым компьютером и могут вывести деньги жертвы обилием разных способов. Например, подменить страницы в браузере при онлайн-оплате и перехватить данные банковской карты пользователя. Или за счет средств удалённого управления воспользоваться онлайн-банкингом жертвы и вывести её шальные деньги на свои счета», – отметил руководитель отдела исследования и детектирования трудных угроз «Лаборатории Касперского» Антон Иванов.
Эксперты также отмечают, что данная версия банковского троянца Panda имеет функции слежения за знаменитым клиентом, который используется для удалённого администрирования. Используя эти возможности и собранную у жертвы информацию, нападающие могут заражать разные узлы инфраструктуры жертвы. Аналогичная атака особенно рискованна, если произошло заражение компьютера в финансовой организации.