Новый русский троян опустошает банковские счета

http://img.gazeta.ru/files3/657/3765657/95143617-pic4-452x302-40061.jpeg

— 12.09.11 19:56 —

ТЕКСТ: Арсений Прудников

ФОТО: thinkstockphotos.com

Русские хакеры распространяют дешевую копию главного банковского трояна, который украл десятки миллионов долларов. Что это за вирус и сколько денег похищают через онлайн-банкинг в России, корреспонденту «Газеты.Ru» рассказали эксперты «Лаборатории Касперского» и компании Group-IB .

В августе широкое распространение получил троян Ice IX, являющийся клоном знаменитой программы ZeuS, с помощью которой через системы онлайн-банкинга, русскоязычными хакерами были похищены, по разным версиям, от $3 до 70 млн.

Ice IX продается на черном рынке за $600–1800 – цена меняется в зависимости от комплектации. Для сравнения, ZeuS в свое время стоил от $8 до 20 тыс.

Как утверждает главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев, появление Ice IX, который обладает значительным функционалом и существенно снижает цены на подобных троянцев, в ближайшей перспективе приведет к появлению новых версий ZeuS и еще большему числу атак на пользователей систем онлайн-банкинга. Кстати, Ice IX, как и ZeuS, сделан русскоязычными вирусописателями.

«Для киберпреступников, серьезно занимающихся хищением денег с помощью троянцев, максимальная цена $1800 – не такая уж большая сумма. При более или менее удачном «улове» ее можно «отбить» с одного зараженного компьютера,» – говорит вирусный аналитик «Лаборатории Касперского» Дмитрий Тараканов.

По его словам, новый Ice IX – это тот же ZeuS 2.0.8.9, c теми же инструментами. Когда пользователь зараженного компьютера пользуется интернет-банкингом через браузер, троянец, находясь в процессе браузера, незаметно от пользователя контролирует процесс общения с сайтом банка и перехватывает нужные ему данные, введенные пользователем (например, логин и пароль), а затем пересылает их своему хозяину. Троян также может передавать на сайт банка от лица пользователя сфабрикованные данные.
Троян ZeuS может также незаметно подменять адреса сайтов на зараженном компьютере и направлять человека на поддельную фишинговую страницу, которая выглядит идентично настоящей. Ничего не подозревая, пользователь оставляет там данные своей банковской карты, а иногда там предлагается ввести еще и пин-код. ZeuS умеет «подсматривать» даже те пароли, которые вводятся с экранной клавиатуры.

На основе полученных данных мошенники могут выводить деньги через интернет или изготовлять поддельные банковские карты.

На базе Ice IX уже существует ботнет (зомби-сеть из зараженных компьютеров) из 2 с лишним тысяч инфицированных машин. У самого ZeuS зомби-сети раскиданы по всему миру и управляются они в том числе и из России.

«Можно говорить как минимум о десятке тысяч пользователей, которые ежедневно подвергаются попыткам заражения ZeuS», – говорит Тараканов.

Эксперт рассказал, что сегодня в интернете можно найти взломанные версии конструкторов старых версий ZeuS и исходные коды программы, при помощи которых злоумышленник, если у него достаточно навыков, может создать собственный конструктор. Поэтому хакеров, желающих покупать ZeuS, не так много, однако на «хакерских» форумах можно найти предложения по продаже, помощи в настройках и т. п. Цены на эти услуги колеблются от 30$ до 500$. Самые новые версии распространяются через разработчика (сейчас это тот же человек, что разрабатывает другого банковского троянца – SpyEye). Сам SpyEye появился позже ZeuSа – это были проекты разных группировок, поэтому новый троян удалял своего конкурента с зараженных компьютеров, забирая себе его базы данных. Впоследствии разработчик ZeuSа, по некоторым данным, продал свое творение конкурентам.

Российские хакеры на базе ZeuSа научились обходить двухфакторную аутентификацию в системах онлайн-банкинга – это смарт-карты с электронными цифровыми подписями пользователей или SMS с одноразовыми паролями для входа в систему.

Хакеры в конце прошлого года разработали телефонную версию ZeuSа – программу Zitmo, которая перехватывает SMS с одноразовыми паролями. С тех пор появилось уже как минимум 10 новых модификаций программы, которая может работать со всеми популярными платформами мобильных телефонов и коммуникаторов.

Перехваченные SMS с паролями троян отправляет злоумышленнику, который после этого может выполнять действия от лица пользователя. Эту программу хакеры распространяют через различные рассылки, например, клиенты банков получают письма от имени «своих» банков со ссылками на поддельные сайты. Обычно в таких сообщениях говорится, что «для повышения безопасности» банк вводит новую систему аутентификации и для этого, к примеру, нужно установить специальное приложение на телефон. Вместо такого «приложения» пользователь получает файл с троянской программой.

В России ситуация еще более тревожная, чем в США и в Европе, – онлайн-банкингом пользуются все больше людей, но большинство из них не соблюдают элементарных правил интернет-безопасности.

По данным IT-криминалистов компании Group-IB, за первое полугодие 2011 года через российские системы онлайн-банкинга преступники украли более 350 миллионов рублей. Это самая минимальная оценка, реальная картина может быть еще более удручающей.

«С самого начала 2011 года мы фиксируем огромный всплеск мошеннических транзакций. Средства защиты систем ДБО (дистанционное банковское обслуживание) не являются секретом для преступников, они адаптируют свои инструменты для работы с определенными типами смарт-карт, систем ДБО и антивирусных средств, – говорит заместитель генерального директора компании Group-IB Александр Писемский, – причем около 50% попыток хищения доводятся до успешного результата».

Эксперты Group-IB оценивают среднюю сумму ущерба при одном успешном хищении примерно в 1,5–2 млн рублей, т. к. размер хищений может быть и 100 тысяч рублей, и 20 миллионов. В конце прошлого года специалисты зафиксировали хищение на 400 миллионов рублей через систему ДБО, однако такие крупные суммы все же редкость. Названия пострадавших компаний не разглашаются.

Ранее Group-IB заявляла, что доход любой российской ОПГ, которая занимается атаками на системы ДБО, может составлять порядка 5 миллионов рублей в месяц.

Электронная торговля и онлайн-банкинг становятся все более популярными в России, и сейчас уже очевидно, что с ростом электронного денежного оборота количество преступных группировок, занимающихся хищением денег с помощью специального вредоносного программного обеспечения, будет расти. Если несколько лет назад большинство пользователей, подвергшихся хакерской атаке, рисковало разве что потерей своих личных данных, то в настоящее время существенно вырос риск потери денежных средств.

http://www.gazeta.ru/techzone/2011/09/1 … 4869.shtml