Исследователи из Finjan обнаружили троянскую программу, умеющую не
только воровать деньги с банковских счетов владельцев зараженных
компьютеров, но и скрывать от них свои действия. За три недели
создатели этого вредоноса сумели "заработать" порядка 300 000 евро, сообщает Wired. Троянцы, проводящие нелегальные транзакции в системах
онлайн-банкинга, уже давно не новость. Однако когда пострадавший
пользователь обнаруживает странные утечки крупных сумм со своего счёта,
дальнейшее воровство денег оттуда обычно вскоре становится невозможным.
Это вынудило злоумышленников прибегнуть к новой тактике. По данным исследовательского центра Finjan, злоумышленники, стоящие
за новой атакой, пользуются известным хакерским инструментарием
LuckySpoilt. При помощи зараженных веб-сайтов он позволяет внедрить ту
или иную вредоносную программу примерно на каждый 15-й компьютер. В
данном случае на целевые машины устанавливается троян URLzone. URLzone делает ряд типичных для банковских троянов действий:
отслеживает логины и пароли к известным ему системам онлайн-банкинга,
делает скриншоты веб-страниц этих систем и ворует деньги со счетов
пользователей. Гибкие настройки системы контролирующего центра ботнета
позволяют красть со счетов сравнительно небольшие случайные суммы, с
тем чтобы не вызывать подозрения у банковских систем защиты от
мошенничества. Что до того, чтобы не вызвать подозрений у пользователей-жертв, то
для этих целей злоумышленниками ведётся учёт похищенных средств. При
попытке войти в систему онлайн-банкинга с зараженного компьютера
троянец на лету подменяет данные о транзакциях, так чтобы пользователь
не заметил, что с его счёта была снята одна или несколько крупных сумм. В своём отчёте
(PDF) специалисты Finjan приводят пример, когда вместо транзакции, при
которой со счёта было снято более 8,5 тысяч евро, пользователю
показывалась транзакция в 54 евро; соответственно корректировался и
остаток на счету. Таким образом, пользователь может не заметить
подозрительных движений по счёту, что позволяет злоумышленникам
продолжать "доить" его в течение длительного времени. Отчёт Finjan показывает, что, с 11 августа по 1 сентября URLzone,
нацеленный на работу с некоторыми банками Германии, сумел снять со
счетов жертв порядка 300 тысяч евро. Деньги при этом выводились через
"денежных мулов" — подставных лиц, которые были уверены, что их наняли
для легальной работы. Отмечается также, что контролирующий центр данного ботнета находится
на Украине и что используемый хакерами инструментарий можно приобрести
на чёрном рынке всего за 100-300 долларов.