Банковский троянец Metel – APT атаки банков

ОПРЕДЕЛЕНИЕ ВИРУСА

Tип вируса: целевая продолжительная атака повышенной сложности, Троянская программа, вредоносное ПО.

Что такое Metel?

Metel – банковский троян (также известный как Corkow), который был обнаружен в 2011 году. Тогда он использовался для атаки пользователей систем онлайн-банкинга. В 2015 году группировка Metel стала атаковать сами банки и финансовые учреждения.

Как он работает?

После заражения киберпрестпуники прибегают к помощи легальных технологий для проверки сети на проникновение, получают в свое распоряжение контроллер локального домена и в итоге открывают доступ к компьютерам сотрудников банка, ответственных за обработку транзакций по картам.

Благодаря этой схеме, злоумышленники настраивают автоматический откат операций, совершаемых через банкоматы.

Следовательно, даже если преступники будут постоянно снимать деньги через банкоматы, баланс на их счетах останется постоянным, сколько бы транзакций в банкомате не было совершенно.

Кто становится жертвами атак?

Жертвами атак становятся банки и финансовые учреждения.

Основными целями злоумышленников в этих организациях являются:

В банках - база данных онлайн-банкинга: преступники могут манипулировать балансом на банковских картах.
В компаниях - компьютер в бухгалтерии с системой «Клиент-Банк», управляющей денежными операциями. Преступники могут заменить банковские реквизиты реальной транзакции или вручную проводить мошеннические транзакции.
API-cерверы платежных систем: есть программное обеспечение, которое указывает, сколько денег нужно перевести на определенный номер телефона. Преступники производят манипуляции с этим API, заставляя его «думать», что клиент переводит 10 000 рублей (около 120 долларов США) на большое количество телефонных номеров.

Нахожусь ли я в зоне риска?

До настоящего времени «Лаборатория Касперского» не зафиксировала ни одной атаки Metel за пределами России. Тем не менее группировка все еще активна, и у экспертов есть основания полагать, что география заражений может быть гораздо шире. Именно поэтому компания рекомендует банкам по всему миру проверить свои IT-системы, чтобы исключить заражение.

Как узнать, заражен ли я?

Продукты «Лаборатории Касперского» успешно обнаруживают и блокируют вредоносное ПО, используемое Metal, со следующими именами обнаружения:

Trojan-Dropper.Win32.Metel; Backdoor.Win32.Metel; Trojan-Banker.Win32.Metel

Кроме того, индикаторы заражения опубликованы в боге на Securelist.

Как защититься от Metel?

Чтобы повысить уровень защиты, организациям рекомендуется использовать System Watcher, который включает в себя модуль BSS (анализ действий всех установленных на компьютере программ и системных сервисов на основе моделей вредоносного поведения). Это входит во все современные продукты и решения.

Чтобы быть в безопасности, используйте передовые решения для защиты от вредоносных программ, такие как Kaspersky Security для бизнеса.

Также старайтесь поддерживать свою осведомленность о кибербезопасности, убедитесь, что вы можете идентифицировать фишинговые письма в своем почтовом ящике.

Конечно, недостаточно просто предложить мощную защиту конечных точек. Целевой фишинг, один из самых популярных методов первичного заражения, делает надежную защиту электронной почты обязательной. Kaspersky Security для почтовых серверов сканирует входящие сообщения на наличие вредоносных вложений и ссылок, чем значительно снижает вероятность того, чтобы вредоносное ПО добралось до своих жертв.