Prg Trojan для интернет-банков был разработан российскими хакерами
|
Клиентов крупных банков четырех стран атаковал новый Троян. Трояны нового поколения живут собственной жизнью, становясь все более сложными, специализированными и разрушительными. Недавно обнаруженный Prg Trojan успешно крадет миллионы долларов у тысяч корпоративных клиентов по всему миру. «Этот код – в своем роде произведение мошеннического искусства. Я был очень удивлен, насколько он сложен, – признает Дон Джексон (Don Jackson), старший исследователь в сфере безопасности SecureWorks, обнаруживший оригинальный Троян в июне. – Его можно назвать настоящим прорывом, эволюцией атак типа man-in-the-middle. Этот код предпринимает все те же шаги, что и пользователь».
В отличие от других форм Prg Trojan, новый вариант вредоносного года специально разработан для совершения банковского мошенничества, поясняют эксперты в сфере защиты.
Хакеры не теряют времени, применяя новые вредоносные программы для атаки 20 ведущих банков в США, Великобритании, Испании и Италии. Исследователи выявили, что банковский вариант был разработан и использован российской группой хакеров Russian UpLevel и некоторыми ее участниками из Германии, которые осуществляют атаки из информационных центров в Москве, Россия, и Мумбае, Индия.
Новый Троян, укравший сотни тысяч фунтов у клиентов некоторых крупнейших банков в четырех странах, не распространен широко, зато очень опасен. По словам Джексона, хакеры «увели» более $200 000 со счетов, которые специалисты успели проверить.
Джексон также рассказал, что он обнаружил, по меньшей мере, четыре сервера, содержащих файлы конфигурации Prg и поддельные версии легальных банковских сайтов, а также буферы хранения данных, полученных с помощью Трояна.
Ловкость и техническое «ноу-хау» атакующих просто поразительны. «Если смотреть на это соединение [с Трояном] со стороны банка, то покажется, что счетом управляет реальный человек, – поясняет Джексон. – Как будто человек нажимает на кнопки на виртуальной клавиатуре и отправляет денежные переводы».
По словам Джексона, хакеры добыли громадный объем собранных ранее менее мощными версиями Prg данных о коммерческих банковских счетах, включая отдельные адреса оффшорных банков или индикаторы переводов.
Как считает Джексон, команда атаковала коммерческие счета, так как на них обычно больше средств и они включают возможность осуществления перечислений. Проникнув на счет, хакеры могут быстро выкачать с него все, переместив средства на подконтрольные счета.
Выбрав счета-жертвы, хакеры создают, как выразился Джексон, «очень убедительные» фишинговые письма и рассылают их владельцам счетов, которых они вычисляют, используя украденную ранее информацию. По его словам, «обычно у них есть номера счетов и имя и фамилия их владельцев», а также данные о том, защищен ли счет одноразовым паролем. «В электронной почте они сообщают, что пользователю необходимо скачать новый одноразовый пароль или программное обеспечение, но когда пользователь переходит по ссылке и попадает на фишинговый сайт, вместо программы или пароля скачивается Троян Prg».
С этого момента в игру вступает автоматизированный вор. Вредоносная программа оповещает хакера, когда владелец выходит в режим онлайн, чтобы связаться с банком, «подключается к сеансу», чтобы незаметно украсть имя пользователя и пароль, не вынуждая пользователя их вводить. Тогда, пользуясь своей способностью симулировать набор данных с клавиатуры, Троян предпринимает такие же шаги, что и человек, чтобы, например, перечислить деньги на другой счет. Опустошить счет подобным образом можно в считанные секунды.
«Это и есть самая хитрая часть Трояна, – отмечает Джексон. – Когда он скачивает JavaScript с головного сервера, это выглядит очень похоже не на бот, а на реального пользователя». В то время как менее сложные программы напрямую переходят к странице денежных переводов, не посещая страницы, на которые заходит реальный клиент перед переходом к перечислениям, Prg открывает все страницы банка в том порядке, в каком бы человек открывал бы их. Так как большинство анти-мошеннических программ отслеживают автоматизированное, не свойственное человеку поведение, Prg не вызовет сообщения об атаке.
«От этой программы пострадали менее 20 банков, – указывает Джексон, – но в их список входят некоторые крупнейшие банки США, Великобритании, Испании и Италии. Я считаю, что автоматизация кода настроена очень-очень грамотно».
Верной защитой от Трояна Prg, как утверждает Джексон, будет подозрительное отношение ко всем письмам, полученным из банка: «Даже если вы знаете отправителя, нужно убедиться в том, что отправитель отправил это письмо перед тем, как перейти по какой-либо ссылке».
 |
