820
Українські хакери розробили новий спосіб атак на банки
Новий троянець створений таким чином, що він не просто краде банківські реквізити, а реально знімає гроші з рахунків, коли ж користувач заходить у систему онлайн-банкінгу, троянець показує йому підроблені цифри на балансі.
Дослідницька ІТ-компанія Finjan сьогодні опублікувала деталі нової інтернет-атаки з використанням раніше невідомого банківського троянця URLzone, створеного й керованого угрупованням зловмисників на території України.
За словами представників компанії, троянець має низку функцій, створених для обману систем виявлення шахрайства. Юваль Бен-Іцхак, технічний директор Finjan, сказав, що троянець проводить нестандартні транзакції, тому системи безпеки банків не завжди спрацьовують. Наприклад, новий софтвер на льоту здатний розрахувати, скільки грошей можна порівняно безпечно зняти, виходячи із загальної суми, доступної для зняття.
В Finjan повідомляють, що виявили троянця, коли співпрацювали з деякими німецькими банками, які все-таки запідозрили недобре в поведінці рахунків. Також у компанії абсолютно ясно стверджують, що управління троянцем здійснюється з території України і там же розташовані командні сервери URLzone. "Ми вже проінформували німецькі служби безпеки й поліцію", - сказали в компанії. "Це троянець наступного покоління, він є початком нового тренду, коли складні коди злодіїв намагатимуться ввести банківські системи безпеки в оману".
В Finjan розповіли, що відстежили процес зв'язку троянця з командним центром і перехопили всі дані, оскільки передача ведеться по незашифрованих каналах. Відомо, що на сервері встановлена система LockySploit, яка виконує роль адміністративної консолі, що управляє троянцем і що збирає статистику.
Згідно з оцінками ІТ-експертів, на сьогодні заражені троянцем сайти відвідали близько 90 000 користувачів, з них 6400 все-таки завантажили зловмисні коди (7,5%). З цього числа близько сотні осіб користувалася онлайн-банкінгом. З посиланням на представників тільки німецьких банків Finjan повідомляє, що українські хакери викрали близько 300 000 євро. Не виключено, що зловмисники працювали і в інших країнах.
Алгоритм роботи троянця такий: потенційна жертва заражає свій комп'ютер шкідливим кодом через відкриття спам-вкладок або завантаження шкідливого коду з сайту. Далі система бекдорів, що проникла на ПК, інсталює у фоновому режимі самого троянця, як альтернативний варіант автори троянця намагаються відправити троянця безпосередньо через ту чи іншу вразливість у браузері.
Далі, коли користувач ПК заходить в систему онлайн-банкінгу, троянець автоматично перехоплює дані по балансу і обчислює мінімальні й максимальні діапазони можливого зняття грошей, після чого в режимі реального часу "підставляє" користувачеві вже оновлену суму балансу (за вирахуванням знятої суми). "Троянець може самостійно зв'язуватися з банківською системою і отримувати відповідь від неї, минувши його відображення в браузері", - кажуть у компанії.
Переказуються гроші на рахунки так званим "мулам" - користувачам, які спеціально відкрили рахунки для акумуляції грошей. Самі мули потім передають гроші хакерам, знімаючи з суми свій відсоток. Інколи під видами мулів фігурують деякі співробітники самих же банків. "Якщо користувач не може сказати, скільки точно грошей було на його рахунку до моменту останнього входу, то ймовірно, що факт крадіжки він і не помітить", - говорять в Finjan.
Одночасно зі зняттям грошей троян також намагається "почистити" свої сліди роботи на ПК (видаляє всю історію) і намагається видалити історію банківських транзакцій (якщо це підтримується системою банкінгу).
За матеріалами: Діло
Поділитися новиною
