Троянец «Зевс» закапывается в банковские дела физлиц
Вирусописатели нацелились на «пластиковый кошелек» потребителя, в том числе на его банковскую карту, и создали новый модуль небезызвестной троянской программы Zeus
8 ноября 2010, 22:32 Александр Михайлов
Компаниям и организациям так или иначе приходится дистанционно взаимодействовать с банками, совершать платежи, управлять своими счетами. По мере развития информационно-коммуникационных технологий к удаленным услугам банков все чаще прибегают и частные клиенты. В результате, сегодня и юридические, и физические лица активно используют системы дистанционного банковского обслуживания (ДБО) для совершения своих финансовых операций. А где есть деньги, там и повышенное внимание киберпреступников. Теперь же вирусописатели пошли дальше ДБО и нацелились на «пластиковый кошелек» потребителя — в том числе на банковскую карту. По крайней мере, так считает компания Eset, сообщившая, что сотрудники ее Центра вирусных исследований выявили новый модуль небезызвестной троянской программы Zeus («Зевс»).
Такие данные разработчик антивирусов получил в ходе совместного с Group-IB расследования мошенничества в системах ДБО. Как отмечает Eset, Zeus известен уже несколько лет — этот троянец, ориентированный на банковский сектор, «специализируется» в основном на получении доступа к конфиденциальной информации, а также на хищении денежных средств. Одна из его особенностей — он постоянно обновляется. И вполне солидный возраст «Зевса» не мешает ему и его модификациям работать «по полной». Что, в свою очередь, иногда находит свое «отражение» в залах суда.
От очередного модуля Zeus, полученного сотрудниками Eset от Group-IB, никто ничего нового не ожидал. Однако в ходе «препарирования» зловреда исследователи обнаружили новый функционал, отвечающий за поиск подключенных к компьютеру логических устройств, включая считыватели банковских карт. Кроме того, эта модификация троянца выполняет поиск файла A:\key.dat, который, как правило, содержит ключи для санкционированного входа в систему ДБО.
Собранную информацию модифицированный троянец отправляет на свой сервер. Речь идет об информации по подключенным устройствам считывания смарт-карт и по самим смарт-картам, о результатах фиксирования нажатий клавиш на клавиатуре и на мыши, о файлах cookies. При этом карточный модуль Zeus позволяет киберпреступникам предпринимать активные действия в отношении клиентских банковских карт. А именно, управлять потоками информации в смарт-картах, которые применяются при банковских операциях в системах ДБО, проводить постоянный мониторинг подключения смарт-карты к ПК и управлять некоторыми функциями устройств. Кроме того, модуль Zeus может управлять обращениями пользователя к смарт-карте, перехватывать ввод регистрационных данных (логин и пароль). То есть злоумышленники могут с удаленного компьютера контролировать финансовые транзакции, совершенные с помощью смарт-карт пользователей.
Руководитель Центра вирусных исследований и аналитики российского представительства Eset Александр Матросов рассказал BFM.ru, что в предотвращении инцидентов, связанных с использованием «карточного» модуля Zeus, могут активно помочь банки, которым для этого необходимо ввести дополнительные уровни контроля. Причем с участием самого пользователя, а не компьютера, с которого происходит транзакция. Действенным примером такого дополнительного контроля может служить запрос подтверждения на совершение транзакции по мобильному телефону. «Поскольку вредоносная программа будет выполняться с привилегиями пользователя, в данном случае можно провести следующую аналогию, — говорит Александр Матросов. — Если вы отдали свой кошелек злоумышленникам, как сделать так, что бы они им не воспользовались?»
Кстати, по словам генерального директора Group-IB Ильи Сачкова, компания уже занимается расследованием инцидентов, которые произошли в системах ДБО с двухфакторной аутентификацией. Предполагается, что главную роль в них сыграли именно новые модули Zeus.
Александр Матросов также отметил, что 100% гарантии защиты никакая система безопасности пользователю не предоставит. Он может только понизить риски возникновения самого инцидента. Эту точку зрения разделяет и Илья Сачков: «Даже самые современные системы предотвращения мошенничеств не будут способны уберечь пользователей ДБО. На данный момент решением проблемы может быть симбиоз из трех составляющих: безопасного рабочего места пользователя, системы предотвращения мошенничеств в банках и успешных расследований». Последние, по мнению Матросова, позволят разобраться в ситуации и принять такие меры, чтобы эта ситуация не повторилась. Кроме того, в случае расследования при оперативных действиях есть вероятность вернуть украденные деньги.
Что касается угроз пользователям со стороны Zeus, то она снижается вместе с уровнем распространения этого трояна. «Это общемировая тенденция, но списывать угрозы со счетов пока еще рано, — считает Матросов. — Несмотря на явное уменьшение количества активных административных центров для этого ботнета, говорить о том, что «Зевс» побежден, преждевременно. Кроме того, достаточно активно растет приемник «Зевса», троянец SpyEye, которые преследует те же цели».
Аналитик по вирусной обстановке компании «Доктор Веб» Валерий Ледовской более оптимистичен. Он считает, что эпидемия троянца Zeus (Trojan.PWS.Panda по классификации «Доктор Веб») находится на спаде. «Обнаруженный «карточный» модуль — это всего лишь одна из модификаций троянской программы, — утверждает Ледовской. — Следовательно, распространение данной модификации троянца несущественное». В то же время аналитик «Доктор Веб» отмечает, что в последнее время более распространенным стал троянец Trojan.PWS.Multi.201 и другие его модификации. Эти зловреды, по словам Ледовского, нацелены на системы ДБО, которые используются в российских банках: «При этом видно, что ориентируются они в первую очередь на юридических лиц, что делает эти вредоносные программы более опасными, чем Zeus. Сервер статистики компании «Доктор Веб» фиксирует каждый день несколько сотен детектов троянцев семейства Trojan.PWS.Multi».
В то же время Валерий Ледовской более строго отнесся к вопросам защиты пользователей: «Мы считаем, что клиентам российских банков, а в особенности юридическим лицам, следует сейчас думать о защите своих компьютеров, с которых осуществляются удаленные транзакции и работа с банковскими счетами. И виноват в этом не столько Zeus, сколько всеобщее внимание киберпреступников к системам ДБО, которое увеличивается с каждым днем. Так, в настоящее время специалисты «Доктор Веб» изучают функционал нескольких других семейств банковских троянцев, которые, предположительно, также ориентируются на банковские системы ДБО».