Исследователи из Finjan обнаружили троянскую программу, умеющую не только
воровать деньги с банковских счетов владельцев зараженных компьютеров, но и
скрывать от них свои действия. За три недели создатели этого вредоноса сумели
"заработать" порядка 300 000 евро.
Троянцы, проводящие нелегальные транзакции в системах онлайн-банкинга, уже
давно не новость. Однако когда пострадавший пользователь обнаруживает странные
утечки крупных сумм со своего счёта, дальнейшее воровство денег оттуда обычно
вскоре становится невозможным. Это вынудило злоумышленников прибегнуть к новой
тактике.
По данным исследовательского центра Finjan, злоумышленники, стоящие за новой
атакой, пользуются известным хакерским инструментарием LuckySpoilt. При помощи
зараженных веб-сайтов он позволяет внедрить ту или иную вредоносную программу
примерно на каждый 15-й компьютер. В данном случае на целевые машины
устанавливается троян URLzone.
URLzone делает ряд типичных для банковских троянов действий: отслеживает
логины и пароли к известным ему системам онлайн-банкинга, делает скриншоты
веб-страниц этих систем и ворует деньги со счетов пользователей. Гибкие
настройки системы контролирующего центра ботнета позволяют красть со счетов
сравнительно небольшие случайные суммы, с тем чтобы не вызывать подозрения у
банковских систем защиты от мошенничества.
Что до того, чтобы не вызвать подозрений у пользователей-жертв, то для этих
целей злоумышленниками ведётся учёт похищенных средств. При попытке войти в
систему онлайн-банкинга с зараженного компьютера троянец на лету подменяет
данные о транзакциях, так чтобы пользователь не заметил, что с его счёта была
снята одна или несколько крупных сумм.
В своём отчёте специалисты Finjan приводят пример, когда вместо транзакции,
при которой со счёта было снято более 8,5 тысяч евро, пользователю показывалась
транзакция в 54 евро; соответственно корректировался и остаток на счету. Таким
образом, пользователь может не заметить подозрительных движений по счёту, что
позволяет злоумышленникам продолжать "доить" его в течение длительного времени.
Отчёт Finjan показывает, что, с 11 августа по 1 сентября URLzone, нацеленный
на работу с некоторыми банками Германии, сумел снять со счетов жертв порядка 300
тысяч евро. Деньги при этом выводились через "денежных мулов" — подставных лиц,
которые были уверены, что их наняли для легальной работы.
Отмечается также, что контролирующий центр данного ботнета находится на
Украине и что используемый хакерами инструментарий можно приобрести на чёрном
рынке всего за 100-300 долларов.
Сотрудники Finjan передали собранную ими информацию в правоохранительные
органы Германии.
