Троян из Украины лихо грабит европейцев

В Германии обнаружен троянский вирус URLZone, за три недели похитивший более 300 тыс. евро с банковских счетов жертв. Управление вредоносной программой осуществлялось из Украины.

Калифорнийская компания Finjan, специализирующаяся на защите данных и борьбе с киберугрозами, которая первой сообщила о появлении нового поколения уникальных троянских «коней», отметила удивительную изощренность и совершенство «украинской» программы.

Ведь вирусы для нелегальных транзакций, воровства денег с банковских счетов создаются уже давно. Однако сразу после обнаружения подозрительных утечек со своего счета жертва быстро его блокирует. Полиция в свою очередь может легко отследить счета преступников. Все это вынудило злоумышленников создать не только уникальную программу, но и изощренную систему отмывания украденных денег.

Техническая схема воровства выглядит так. Пользователь получает «интересную» ссылку в присланном ему электронном письме (это может быть и ссылка на сайты вполне законопослушных компаний, заранее зараженные преступниками). Если он неосторожно открывает ее, то попадает на портал, распространяющий вирусы. После этого на жесткий диск компьютера жертвы устанавливается приложение под названием LuckySploit, использующее до сих пор незакрытую «дыру» в защите большинства наиболее популярных браузеров. Как только пользователь заходит на портал одного из банков, внесенных в память программы, вирус начинает действовать.

Пока незадачливый пользователь осуществляет переводы средств или изучает состояние своего счета, URLZone буквально на лету определяет, сколько денег можно украсть, а сколько следует оставить, чтобы не спугнуть жертву. После этого вирус опустошает счет на определенную сумму, но делает это так, что клиент банка на экране своего компьютера видит прежнюю картину и даже не подозревает о преступных транзакциях. Узнать реальное состояние счета он сможет, только воспользовавшись другим (незараженным) компьютером.

Дальше в преступную цепь включаются счета «деньгоносов», или «мулов» (money mule) — подставных лиц. URLZone переводит на них украденные деньги. В поиске и подборе «деньгоносов» преступникам, как отмечают специалисты, сильно помог финансовый кризис — уйма народу стала искать заработок в интернете.

Киберпреступники предлагали соискателям на одноразовой основе поучаствовать в легитимном и безобидном на вид онлайн-проекте, и они легко соглашались. Злоумышленники перегоняли деньги со счетов жертв на счета «финансовых менеджеров» (так в объявлении о трудоустройстве официально именовалась должность посредника) с условием перечисления части средств на собственные счета. В результате нанятые «работники» получали якобы законный доход, а преступники отмывали похищенные деньги.

Эксперты-криминалисты отмечают интересный юридический казус — «деньгоносов» в данном конкретном случае следует рассматривать не как соучастников, а как пострадавших, хотя они и получали доход от преступной деятельности.

Интересно также, что преступники, как правило, переводили лишь небольшие суммы и не использовали подставные счета более двух раз — чтобы банковские системы не заподозрили мошенничества.

Троян-интеллектуал ловко заметал следы — он стирал «историю» ПК и даже пытался удалить историю банковских транзакций (если это поддерживалось системой банкинга). Кроме того, он выводил на экран компьютера сфальсифицированный баланс счета (указывая остаток на счету без учета украденной суммы).

По данным отчета, который опубликовала компания Finjan, одна из групп хакеров, работая с сервера, находящегося в Украине, похитила около 300 тысяч евро за 22 дня у пользователей германских банков. Официальные и поддельные сайты злоумышленников посетили более 90 тысяч человек. Достоверно известно о 6400 случаях заражения — большинство пользователей заразились через браузер Internet Explorer, хотя другие браузеры тоже оказались уязвимы.

Пока неизвестно, работала ли новая троянская программа в других странах. Украинские правоохранители также пока не сообщают о контактах с немецкой полицией по этому поводу. На данный момент управляющий сервер, использованный в этой атаке, не откликается на внешние сигналы, хотя преступники могут вновь задействовать его в любой момент.

Между тем специалисты считают, что URLZone представляет собой знак того, что кибервойна вышла на новый уровень. Исследования нового вируса показали, что он крайне хитроумен и является очень перспективным продуктом — для хакеров, конечно. Так, он не только позволяет злоумышленникам получать изображение с экрана зараженного компьютера, доступ к профилям пользователя на таких сервисах, как Facebook, Paypal и Gmail. Специалисты компании RSA Security, изучающие работу троянца URLZone, неожиданно открыли, что он получает от управляющего сервера номера счетов для перечисления украденных средств, но владельцы этих счетов не только не являются злоумышленниками, но даже посредниками! Оказалось, что вирус умеет отслеживать, «под колпаком» он или нет — и водить за нос правоохранителей!

Дело в том, что каждому зараженному компьютеру присваивается уникальный идентификатор, который используется в сеансах связи с управляющим сервером для проверки легитимности обращающихся к нему троянцев. Если сервер получает неизвестный или подозрительный пароль (что может свидетельствовать о том, что компьютер заражен не естественным путем, а намеренно — и программа находится под контролем), то троянцу отправляются фальшивые банковские реквизиты для перевода украденных средств. Однако и эти реквизиты генерируются не случайным образом (что было бы легко выяснить), а берутся из базы данных реальных счетов, которые уже были обчищены программой ранее!

Программисты называют URLZone «изящным шедевром», но автор его неизвестен: территориальное размещение управляющего троянцем сервера в Украине ничего не говорит о национальной принадлежности его создателей и «эксплуататоров».

Иван Петров, 2000

 

You may also like...