Эксперты Symantec сообщают об угрозе, которую новая троянская программа Trojan.Odinaff несет для системы обмена банковской информацией SWIFT. Исследователи утверждают, что в рамках новой волны кибератак хакеры используют ряд элементов инфраструктуры, которые до этого применялись группировкой Carbanak.
Троянская программа Odinaff была выявлена в январе этого года, но в последнее время существенно возросли масштабы кибернападений. 34% атак были направлены против финансовых учреждений. Специалисты пока что не смогли выяснить, каковы были объекты других нападений. Возможно, главной целью являлись приложения, которые предназначены для работы на финансовых рынках. На данный момент от кибератак пострадали австралийские, американские, британские, гонконгские, канадские и украинские учреждения.
Операторами Odinaff применяются разные методики внедрения в систему организации. Одна из них подразумевает использование вредоносного макроса MS Office, который устанавливает троянскую программу. Еще один способ предполагает применение RAR-архивов, имеющих парольную защиту. Специалисты Symantec считают, что распространение вредоносных документов и ссылок осуществляется с помощью фишинговых писем. При проникновении в систему троянская программа проводит установку дополнительного ПО, которое может искажать информацию, передаваемую через SWIFT.
Как утверждают эксперты, на целевой компьютер инсталлируются специфические утилиты, которые осуществляют мониторинг журнала сообщений пользователя SWIFT и ищут ключевые слова, связанные с теми или иными транзакциями. По словам исследователей, каждая утилита сконфигурирована под определенную целевую систему.
В сентябре было объявлено о реализации в системе SWIFT механизма, который призван обеспечивать защиту клиентов системы от мошенничества. SWIFT будет отправлять клиентам отчет об операциях, в которых были задействованы их реквизиты. В результате у клиентов будет возможность провести проверку на предмет проведения в межбанковской системе неавторизованных операций.