Исследователи обнаружили первый образец смеси двух троянов, используемых в
киберпреступлениях – ZeuS и SpyEye.
Сообщения на подпольных русских форумах сообщали, что Slavik/Monstr, автор
ZeuS, "уходит в отставку" из мира киберпреступлений и передает код ZeuS
создателю SpyEye Gribodemon/Harderman. ZeuS долгое время являлся основной
причиной банковских краж, в то время, как SpyEye – более новое и агрессивное
явление на сцене киберпреступлений. И ZeuS, и SpyEye продавались за деньги как
средства создания целевых троянов, обычно изготавливаемых с целью воровства
персональных данных для входа в банковские системы с зараженных компьютеров.
Trend Micro сообщает, что первые плоды смешанного кода, SpyEye версии 1.3.05,
демонстрирует изощренность этих инструментов кибератаки. Вирус включает в себя
возможность внедрения в сайты, получения скриншотов и использования дополнений.
Главный функционал также включает код, созданный для того, чтобы обойти систему
безопасности Trusteer Rapport – дополнения по обеспечению безопасности,
предоставляемого клиентам многих банков с целью защиты от банковских троянов.
Последняя из упомянутых функций показывает, что киберпреступники в очередной раз
подняли планку в ответ на разработки защитников системы безопасности.
Плагины включают в себя возможность снабжать пользователей зараженных
компьютеров фальшивыми страницами и улучшенные атаки против пользователей
Firefox. "Обычная комплектация SpyEye только крадет данные из зашифрованного
хранилища Windows", - пишет Лусиф Харуни, главный исследователь угроз компании
Trend Micro. "А Firefox использует свою папку для хранения данных, из которой
плагин ffcertgrabber и ворует данные".
Инструмент для киберпреступлений также включает развитые возможности по
воровству данных кредитных карт, которые действуют путем "анализа POST-запросов,
сделанных пользователем и их проверкой по
алгоритму
Luhn", объясняет Trend Micro.
Плагины для воровства данных кредитных карт и опция обхода Trusteer Rapport –
главные особенности нового и более совершенного SpyEye, который уже встречается
в Сети. Trend Micro сообщает, что два "живых" сервера используют новую версию
malware.
