Xakep #305. Многошаговые SQL-инъекции
Специалисты Trend Micro сообщают, что обнаружили в штате Токантинс, в Бразилии юное и очень продуктивное криминальное дарование. 20-летний студент, чье имя не раскрывается, известен только его псевдоним — Lordfenix, написал более сотни троянов, ориентированных на кражу финансовой информации пользователей.
Студент, познающий премудрости компьютерных наук, видимо решил подзаработать. Впервые он попал на экраны радаров еще в 2013 году, когда только начал подрабатывать написанием вредоносного ПО. Lordfenix начал свою активность с постов на различных форумах, где спрашивал у программистов советов по созданию троянов. Примерно в это время, по словам специалистов Trend Micro, хакер и развил в себе «достаточно уверенные навыки».
Начав с нубских вопросов на форумах, Lordfenix вскоре пришел к тому, что его разработки уже использовались в атаках на крупнейшие бразильские банки, такие как Banco de Brasil, Caixa и HSBC Brasil. Всего Lordfenix успел написать более сотни банковских троянов за два года (при этом Trend Micro не считают прочие вредоносные тулзы его авторства). За создание каждого трояна он брал весьма скромный гонорар – примерно $320 за штуку. Впрочем, похоже самого Lordfenix все устраивает, Trend Micro приводит в качестве иллюстрации «успеха» скриншот из его Facebook:
Одно из творений Lordfenix известно как TSPY_BANKER.NJH. Эта малварь способна улавливать, когда пользователь набрал в браузере URL нужного банка, после чего осуществляется подмена окна браузера (браузер закрывается с ошибкой) на фейковое. После того как пользователь ввел свои данные в фальшивом окне, они отправляются прямиком на email атакующего. В качестве дополнительной меры предосторожности, зловред также завершает процесс GbpSV.exe, который бразильские банки используют для осуществления безопасных онлайновых транзакций.
Trend Micro сообщает, что на сегодняшний день Lordfenix перешел на новую «бизнес-модель» и предлагает своих троянцев бесплатно. Щедрое предложение распространяется только на четыре конкретных банка. Если заказчик желает атаковать какое-то другое финансовое учреждение, уже придется платить.
Фото: alexnormand@flickr