«Облако» Amazon может красть финансовые данные

08.06.2011

Вернуться к списку новостей «Облако» Amazon Web Services (AWS) - рассадник вредоносного кода, который используется для кражи финансовых данных. Эксперты в области антивирусного обеспечения отмечают, что облако Amazon содержит множество включений вредоносного кода, который может красть финансовые данные.

Некоторые полагают также, что хакеры использовали облачные сервисы Elastic Compute Cloud (EC2) для запуска одной из атак на сеть онлайн-развлечений Sony в апреле и мае. Недавно появились сообщения, что облако Amazon послужило платформой для успешных атак на Sony. Сегодня было обнаружено, что [облако] Amazon Web Services используется теперь для посева кода, крадущего финансовую информацию.

Удалось установить , что киберпреступники, организовавшие эти атаки, находятся в Бразилии и использовали несколько ранее зарегистрированных аккаунтов. Не смотря на то, что эксперты предупредили Amazon о наличии вредоносного кода,  спустя 12 часов опасные ссылки всё еще были там и действовали.

Эти атаки на Sony и обнаружение вредоносных ссылок в облаке Amazon свидетельствуют, что киберпреступники всё шире используют официальные облачные сервисы как плацдарм для своих атак.

Обнаруженный код кражи финансовых данных выступает в нескольких формах; он доставляется на компьютер жертвы и действует разными способами. В одном таком случае он действует как руткит; он ищет четыре разных антивируса и блокирует их выполнение, а также специальную программу защиты GBPluggin, используемую многими бразильскими банками для онлайн-транзакций. Этот код способен красть финансовую информацию из девяти бразильских и двух международных банков, красть идентификационную информацию Microsoft Live Messenger, цифровые сертификаты, используемые eTokens в своей системе, а также информацию ЦП, номер тома жесткого диска, имя ПК и другие данные, используемые некоторыми банками для аутентификации при входе в систему.

Вредоносный код на Amazon передает украденные данные двумя способами: по электронной почте на аккаунт киберпреступника на Google Gmail либо через специальный php-файл, который вставляет их в удаленную базу данных. Кроме того, вредоносный код защищен официальным антипиратским ПО под названием The Enigma Protector, чтобы затруднить декомпиляцию.

Всё это показывает, что киберпреступники будут находить всё новые способы использовать облако для запуска своих атак, и поставщикам облака следует усилить меры защиты.

Источник