Дослідницька ІТ-компанія Finjan сьогодні опублікувала подробиці нової інтернет-атаки з використання раніше невідомого банківського трояну URLzone, створеного і керованого угрупуванням зловмисників на території України.
Новий троян створений таким чином, що він не просто краде банківські реквізити, а реально знімає гроші з рахунків, коли ж користувач заходить в систему онлайн-банкінгу, то троян показує йому підроблені цифри на балансі.
За словами представників компанії, троян має низку функцій, створених для обману систем виявлення шахрайства. Юваль Бен-Іцхак, технічний директор Finjan, говорить, що троян проводить нестандартні транзакції, тому системи безпеки банків не завжди спрацьовують. Наприклад, новий софтвер на льоту здатний розрахувати скільки грошей можна порівняно безпечно зняти, виходячи із загальної суми, доступної для зняття.
У Finjan повідомляють, що виявили троюн, коли працювали в співпраці з зкою німецьких банків, які все-таки запідозрили недобре в поведінці рахунків. Також в компанії абсолютно ясно стверджують, що управління троянами здійснюється з території України і там же розташовані командні сервери URLzone. "Ми вже проінформували німецькі служби безпеки і поліцію", - говорять в компанії. "Це троян наступного покоління, він є початком нового тренду, коли складніші коди зловмисників намагатимуться ввести банківські системи безпеки в оману".
У Finjan розповіли, що відстежили процес зв"язку Трої з командним центром і перехопили всі дані, оскільки передача ведеться по незашифрованих каналах. Відомо, що на сервері встановлена система LockySploit, що виконує роль адміністративної консолі, що управляє трояном і що збирає статистику.
Згідно з оцінками експертів, на сьогодні заражені трояном сайти відвідали близько 90 000 осіб, з них 6 400 осіб все-таки завантажили зловмисні коди (7,5%). З цього числа близько сотні чоловік користувалася онлайн-банкінгом. З посиланням на представників тільки німецьких банків Finjan повідомляє, що українські хакери викрали близько 300 000 євро. Не виключено, що зловмисники працювали і в інших країнах.
Алгоритм роботи трояну наступний: потенційна жертва заражає свій комп"ютер шкідливим кодом через відкриття спам-вкладок або завантаження шкідливого коду з сайту. Далі система бекдорів, що проникла на ПК, інсталює у фоновому режимі самий троян, як альтернативний варіант автори трояну намагаються відправити троян безпосередньо через ту або іншу уразливість в браузері.
Далі, коли користувач ПК заходить в систему онлайн-банкінгу, троян автоматично перехоплює дані по балансу і обчислює мінімальні і максимальні діапазони можливого зняття грошей, після чого в режимі реального часу "підставляє" користувачеві вже оновлену суму балансу (за вирахуванням знятої суми). "Троян здатен самостійно зв"язуватися з банківською системою і отримувати відповідь від неї минувши її відображення в браузері", - говорять в компанії.
Переводяться гроші на рахунки так званим "мулам" - користувачам, що спеціально відкрили рахунку для акумуляції грошей. Самі мули потім передають гроші хакерам, знімаючи з суми свій відсоток. Іноді під видами мулів фігурують деякі співробітники самих же банків. "Якщо користувач не може сказати скільки точно грошей було на його рахунку до моменту останнього входу, то ймовірно, що факт крадіжки він і не помітить", - говорять в Finjan.
Одночасно із зняттям грошей троян також намагається "почистити" свої сліди роботи на ПК (видаляє всю історію) і намагається видалити історію банківських транзакцій (якщо це підтримується системою банкінга).
За матеріалом Bin.com.ua
Коментарі
1