Банковские троянцы: чем опасны и как защититься. Банковский троян Lurk распространялся с официальным ПО, работающим во многих крупных банках России
Трояны по-прежнему остаются эффективным оружием финансовых мошенников
Фото: Fotolia/Brian Jackson
Банковские трояны становятся все более разнообразными и изощренными. Как они работают и как пользователям защитить себя от онлайн-ограбления?
Идеальное преступление
Банковские трояны помогают киберпреступникам совершать идеальные преступления - похищать средства со счетов ничего не подозревающих жертв, не оставляя практически никаких следов и с минимальным для себя риском. Поэтому неудивительно, что в период с июня по декабрь 2016 года банковские трояны лишь немного отставали от программ-вымогателей в списке самого распространенного вредоносного ПО. А в странах Азиатско-Тихоокеанского региона они далеко обогнали ransomware (от англ. ransom - «выкуп» и software - «программное обеспечение», вредоносное программное обеспечение, предназначенное для вымогательства. - Прим. Банки.ру) по числу атак. Итак, как работают банковские трояны и как пользователям защитить себя от онлайн-ограбления?
Троянская война
Вредоносные программы-вымогатели, блокирующие компьютер и шифрующие данные пользователя, становятся все опаснее и требуют от своих жертв все больших сумм. Банки.ру разбирался в разновидностях троянцев-вымогателей и в том, как от них защититься.
Кейлоггинг с мулами
Во-первых, эти зловреды представляют собой один из самых скрытных типов вредоносного ПО. После того как троян инфицирует устройство, он не будет проявлять никакой активности, пока пользователь не зайдет на сайт онлайн-банка. Дождавшись этого момента, троян активизируется и использует кейлоггинг (фиксацию действий пользователя - например, нажатий клавиш), чтобы похитить имя пользователя и пароль, а затем тайно отправляет эти данные преступникам, осуществляющим атаку. После этого хакеры могут войти в банковскую учетную запись пользователя и переводить деньги на свои счета - обычно через сложную последовательность трансакций с использованием аккаунтов-«мулов» (посредников, которые получают деньги за пособничество), чтобы замести следы.
Вор в браузере
Многие трояны умеют применять продвинутые тактики атак типа «человек-в-браузере». Например, веб-инъекции или механизмы перенаправления, которые маскируют действия троянов в реальном времени: они незаметно подменяют картинку, которую пользователь видит в браузере. Трансакции как будто бы происходят в обычном режиме, и жертва не замечает кражи. Другие тактики включают отображение подложных страниц с предупреждениями, которые просят пользователя ввести свои учетные данные, а также страниц выхода из учетной записи, когда на самом деле пользователь остается в системе. Цель этих тактик - как можно дольше скрывать действия трояна от пользователей, чтобы киберпреступники могли продолжать похищать средства с их счетов.
По данным отчета Check Point 2016 H2 Global Threat Intelligence Trends , самыми распространенными банковскими троянами в мире во втором полугодии 2016 года стали:
1. Zeus, атакующий устройства на платформе Windows и часто используемый для кражи банковской информации с помощью технологий типа «человек-в-браузере» - записи нажатий клавиш клавиатуры и фиксации данных, вводимых в формы.
2. Tinba , похищающий данные учетных записей пользователя с помощью веб-инъекций. Он активизируется, когда пользователь пытается зайти на сайт своего банка.
3. Ramnit, похищающий данные учетных записей клиентов банка, пароли FTP, файлы cookies для сессий и личные данные.
В действительности в течение всего 2016 года Zeus, Tinba и Ramnit оставались в топ-20 вредоносного ПО и часто оказывались в топ-10 по всему миру, согласно Check Point.
Согласно отчету Banking Trojans: from Stone Age to Space Era, помимо давно существующих Zeus, Tinba и Ramnit, набор банковских троянов продолжает пополняться новыми семействами. Так, в 2016 году появились Panda, который использовался во вредоносной атаке на бразильские банки накануне Олимпийских игр - 2016, а также Goznym и Trickbot. Последний получил распространение в основном в Австралии, Великобритании, Индии, Сингапуре и Малайзии.
Интересно, что изначально трояны для банков распространялись прежде всего в англоговорящих странах. Это упрощало хакерам работу с кодом и вектором атаки. Однако сейчас эксперты отмечают все больше и больше таргетированных хакерских кампаний в конкретных странах и на разных языках.
Мобильный банк: движущаяся мишень
Мы также наблюдаем эволюцию мобильных банковских троянов. Зловреды обычно выводят на экране мобильного устройства поддельные уведомления и экраны, когда пользователь пытается работать с приложением. Эти экраны выглядят так же, как страницы входа в банковские приложения. Через них злоумышленники могут похищать учетные данные или перехватывать СМС-сообщения из банка пользователя с кодами доступа, собирая данные, необходимые для одобрения мобильных трансакций.
Как защититься
Понятно, что, помимо использования специальных решений для защиты от вредоносного программного обеспечения, пользователям нужно быть бдительными в Сети. Это самое слабое место в вопросе сетевой безопасности, так как люди часто не воспринимают и не замечают даже явных признаков мошенничества в Интернете.
Вот несколько классических советов, которые сделают использования онлайн- и мобильного банка хоть немного безопаснее.
Будьте бдительны , открывая сообщения электронной почты, даже если они по виду пришли из доверенных источников, - не переходите по ссылкам, не открывайте вложения и не включайте макросы в файлах Microsoft Office.
Установите комплексное современное решение по безопасности. Высококачественные решения и программы по безопасности (антивирус, антибот, продвинутое предотвращение угроз) защитят вас от разнообразных типов вредоносного ПО и векторов атак.
Будьте внимательны к «странностям» поведения сайтов, через которые вы получаете доступ к банковским услугам. Обращайте внимание на адресную строку сайта: если название сайта выглядит не так, как обычно, не вводите через этот сайт свои личные данные. Выдать вредоносную страницу также могут дополнительные поля на страницах входа, которые вы не видели ранее (особенно если в них просят ввести персональные данные или информацию, которую банк спрашивать не должен), изменения дизайна страниц входа и мелкие недостатки и неточности отображения веб-сайта.
Обращайте внимание на адресную строку сайта: если название сайта выглядит не так, как обычно, не вводите через этот сайт свои личные данные.
Устанавливайте мобильные приложения и особенно банковские приложения только из известных и доверенных источников , таких как Google Play и Apple Store. Это не дает полной гарантии от скачивания вредоносных приложений, но защитит вас от большинства угроз.
Создавайте резервные копии самых важных файлов. Держите копию ваших файлов на внешнем устройстве, не подключенном к вашему компьютеру, и в онлайн-хранилище в облаке. Самые распространенные банковские трояны сегодня вслед за фазой хищения информации осуществляют внедрение другого вредоносного программного обеспечения, включая программы-вымогатели, которые могут заблокировать ваши файлы и удерживать до тех пор, пока вы не заплатите выкуп.
Неужели, не успев нарадоваться широчайшим возможностям интернет-банкинга, нам снова предстоит прятать свои кровные под подушкой или в трехлитровой банке в погребе? Ведь ваши сбережения, которые вы тщательно контролируете по интернету, могу улетучиться буквально за минуту. А виной всему широко распространившиеся в последнее время троянские программы (вирусы), способные нанести непоправимый вред вашему банковскому счету, умыкнув оттуда кругленькую сумму.
Вирусы специально заказывают у хакеров для того, чтобы воровать деньги с банковских счетов или любым другим образом скомпрометировать систему интернет-банкинга или систему безопасности отдельных банков.
Первые банковские трояны появились еще в 2007 году.
Что может банковский троян
Банковский троян – это вовсе не безобидный вирус. Банковский троян способен:
Похищать пароли доступа к банковским счетам
- похищать деньги с банковского счета посредством проникновения в ваш личный кабинет онлайн-банкинга (для этого трояну требуется от 1 до 3 минут)
- загружать любые другие вредоносные программы и модули на ваш компьютер или мобильный
- маскироваться под обычные процессы
- полностью парализовать работу на зараженном компьютере.
Какие бывают банковские вирусы (троянские программы)
1.Банковский троян ZeuS, или Zbot
Одной из первых «банковских» ласточек стал троян ZeuS (или ZBot). Компьютеры, зараженные этим вирусом, получают команды от центрального сервера, куда затем и отправляются все украденные банковские данные. С этого сервера мошенники их считывают и используют с целью опустошить чужой счет.
Как работает троян ZeuS:
При заходе на страницу онлайн-банкинга программа «на лету» меняет код HTML, вставляя свою форму для ввода данных и таким образом получая любые пароли и информацию о банковской карточке. Троян ZeuS мог внедряться и работать только в браузере Internet Explorer, но все равно, по подсчетам специалистов, сумел украсть со счетов по всему миру более 70 млн. долларов.
Разработчики ZeuS не остановились на достигнутом и со временем создали версию трояна для системы Symbian. Троян ZeuS для Symbian вставляет на банковскую страницу дополнительное поле для ввода телефонного номера. Жертва вводит его и получает SMS со ссылкой и просьбой загрузить некое ПО. Через эту ссылку троян и попадает на телефон, где затем собирает одноразовые пароли, высылаемые банком для идентификации клиента. Поэтому специалисты в области компьютерной безопасности советуют ни в коем случае не устанавливать утилиты для банкинга через ссылки в SMS.
2.Conficker
– универсальный троян, который способен не только красть пароли, но и совершать DDoS-атаки и распространять волны спама.
3.Вирус SpyEye
. В 2009 году появился еще более крутой троян, способный вредить не только в браузере Internet Explorer, но и в Mozilla Firefox. При этом разработчики банковского трояна SpyEye внедрили в свое творение возможность удалять троян ZeuS, что позволило им позиционировать себя как антишпионское ПО (что отображено уже в названии) и даже рекламировать его по интернету.
4.Троян Ice IX – ZeuS в новой оболочке
В августе 2011 года широкое распространение в России получил троян Ice IX, являющийся клоном трояна ZeuS. Российские хакеры разработали также и телефонную версию ZeuSа - программу Zitmo, которая перехватывает SMS с одноразовыми паролями и отсылает их злоумышленнику. Российские хакеры таким образом научились обходить двухфакторную аутентификацию в системах интернет-банкинга.
5. Shylock
, действующий посредством атаки «Man In The Browser», похищает денежные средства с банковских счетов жертв.
6. Троянцы семейства Trojan.Carberp
. В связи с особенностями схемы, применяемой злоумышленниками для заражения, наибольшей опасности подвергаются компании малого и среднего бизнеса. Trojan.Carberp проникает в систему во время просмотра взломанных сайтов. А таковым может оказаться любой сайт – с финансовыми новостями или кулинарными рецептами.
Как можно заразиться банковским трояном
1. Зайдя на зараженный сайт
Подхватить троян можно не только на подозрительных или порнографических сайтах.
Сайты, которые чаще всего являются источниками вредоносного ПО:
а) Сайты, посвященные технологиям и телекоммуникациям.
б) Сайты, где предлагается скачать программы, игры, фильмы, музыку.
в) Новостные порталы, бухгалтерские сайты и форумы, интернет-курсы\лекции\тренинги.
г) Женские сайты (о здоровье, кулинарии).
д) Социальные сети. Вирус легко поймать, пройдя по ссылке, полученной якобы от друзей.
2. Через съемные устройства.
Поймать вирус можно не только с флеш-карты, но и вообще с любых подключаемых к компьютеру через USB устройств – например, через подключенный фотоаппарат, мобильные телефон или МРЗ-плеер.
3. Перейдя по ссылке,
присланной в социальных сетях, по почте или с помощью интернет-мессенджеров (Скайп, ICQ).
Средства борьбы с банковскими троянами
Разработчики известного антивируса "Доктор Веб" запустили проект по борьбе с банковскими троянцами. «Информирован – значит, вооружен», - считают создатели Доктор Веб. Поэтому для победы над ИТ-безграмотностью компания «Доктор Веб» создала и продвигает обучающие курсы, рассчитанные на широкий круг пользователей ПК. Пройдя такой ИТ-курс, пользователь сможет лучше справляться с компьютерными угрозами и не попадаться на уловки мошенников.
За прохождение курса каждый пользователь награждается приятными мелочами – бонусами, за которые впоследствии можно будет приобрести подарки, и бесплатным 3-месячным ключом к антивирусу Dr.Web Security Space
Образовательный проект
ВебIQметр от Доктор Веб:
Портал системы
обучения «Доктор Веб»:
Защититься от банковских троянов и хищения своих сбережений через интернет-банкинг можно, приобретя современную антивирусную защиту. Многие из известных антивирусных продуктов уже умеют защищать пользователя от угрозы банковских троянов. Кроме защиты компьютера от попадания таких троянов в саму систему, эти антивирусы обладают функцией отдельной защиты банковских страниц, через которые вы заходите в свой профиль интернет-банкинга.
Например, данная функция есть в новом антивирусном продукте Лаборатории Касперского - Kaspersky Internet Security 2013/2014 . Функция называется "Безопасные платежи". Она предоставляет вам качественную защиту при использовании системам онлайн-банкинга и при работе с платежными системами WebMoney, PayPal, Яндекс.Деньги и др., а также при совершении покупок в интернете.
Кража денег с банковских счетов становится все более распространенным делом – в социальных сетях и на форумах постоянно всплывают новые истории от людей, внезапно обнаруживших свой банковский счет пустым. И если раньше основным инструментом воровства выступала платежная карта, с которой где-то «срисовали» данные и ПИН, то сейчас вполне можно обойтись и без физического контакта с ней – достаточно доступа к смартфону или ПК, работающим с банковскими приложениями.
На эту тему я поговорил с Сергеем Ложкиным, одним из экспертов лаборатории Касперского (это произошло на пресс-конференции, посвященной итогам года), и он привел несколько примеров из своей практики. Для меня эти примеры достаточно очевидны (хотя и на старуху бывает проруха), однако многие люди (в том числе те, кто вроде бы «в теме») о них даже не подозревают. Поэтому давайте поговорим об этом чуть подробнее.
Зачем заражать мобильные устройства?
Деятельность злоумышленников по взлому и дальнейшему использованию в своих интересов мобильных устройств расцвела в последнее время буйным цветом. Во-первых, этих устройств стало очень много, так что даже при использовании относительно примитивных инструментов шанс зацепить кого-нибудь все равно довольно велик. Во-вторых, мы очень уж активно доверяем им все детали свой личной и, отдельно, семейной и финансовой жизни. В-третьих, мобильные устройства стали удобным инструментом взаимодействия с банками – тут и авторизация, и SMS-банк, и банковские приложения. Все это делает мобильные устройства лакомым куском для создателей вредоносного ПО: в случае успешного заражения из них можно вытянуть очень много ценного.Наиболее перспективный и прибыльный на сегодня вид вредоносного ПО – это банковские троянцы, которые перехватывают управление взаимодействием с банком и опустошают банковский счет.
Заражение ПК
Один из простых путей: заразить ПК, а через него уже – мобильное устройство. Хотя на сегодняшний день заражение ПК с Windows через новую, неизвестную уязвимость в системе встречается достаточно редко. Неизвестная уязвимость (т.е. 0day) встречается редко, на черном рынке стоит дорого, а при массовом заражении довольно быстро вычисляется и закрывается патчами. Поэтому для массовой рассылки вредоносного ПО (того же банковского трояна) игра чаще всего не стоит свеч.Куда чаще используются уже старые и известные уязвимости, которые закрыты обновлениями ОС – расчет идет на тех пользователей, у которых не работает или отключено автоматическое обновление. Либо для атаки на систему используются уязвимости в стороннем ПО – браузерах, флэш-плеере и других приложениях Adobe, Java-машине и пр.
Один из наиболее распространенных механизмов «автоматического» заражения состоит в том, что пользователя заманивают на вредоносную страницу (или можно внедрить фрейм или скрипт на легальной странице, например, сайте ведущего новостного агентства, от которого не ожидают подвоха), где находится эксплоитпак – набор уязвимостей для разных браузеров или компонентов (того же Adobe Flash, Java и пр.). Стоит вам зайти на нее, как скрипт подберет уязвимость именно вашего браузера и через нее скачает и запустит нужные компоненты вредоносного ПО именно под вашу систему. Уязвимость браузера может существовать в открытом виде неделями, пока информация о ней дойдет до разработчика и пока он не выпустит обновление. Но и дальше она сохраняет актуальность для тех, кто не обновился до последней версии.
Далее на компьютер с помощью этой уязвимости самостоятельно скачивается и запускается, либо (если подходящей уязвимости не нашлось) пользователю предлагается к скачиванию пользователю под любым соусом (например, знаменитые «Обновления браузера Opera» или «обновление Adobe») собственно вирус/троян. Или так называемый дроппер (он же даунлоадер). Это загрузчик, который осматривается в системе и потом закачивает и ставит другие требуемые компоненты – клавиатурные шпионы, вирусы, шифровальщики, компоненты для организации ботнетов и многое другое – в зависимости от полученного задания. Кстати говоря, его работу часто может отловить и заблокировать файрволл. Если он есть, конечно.
Если антивирусная компания находит такую уязвимость либо ловит трояна и по его поведению видит, как он проникает в систему, то она сразу информирует о проблеме разработчиков. Дальше – у всех по-разному. Например, представители Лаборатории Касперского говорят, что в большинстве случаев Google старается выпускать патчи достаточно быстро, Adobe тоже. И при этом относительно невысоко оценивают Safary для Mac, называя его одним из рекордсменов по количеству уязвимостей. А Apple реагирует когда как – иногда заплатки выходят очень быстро, иногда уязвимость может оставаться открытой чуть ли не год.
Заражение мобильного устройства
Если ПК уже заражен, далее при подключении мобильного устройства троян пытается либо напрямую заразить его, либо заставить пользователя установить вредоносное приложение.Оказалось, что это работает даже для устройств Apple – недавно обнаруженный троян WireLurker использовал именно эту схему. Сначала заражал ПК, потом – подключенный к нему смартфон. Это возможно потому, что iPhone или iPad рассматривает компьютер, к которому подключен, как доверенное устройство (иначе как ему обмениваться данными и применять обновления ОС?). Впрочем, для iOS это исключительная ситуация (подробнее я расскажу о том, как работает WireLurker, в другом материале), а так система очень хорошо защищена от внешних вторжений. Но с важной оговоркой: если не делать джейлбрейк устройства, который полностью снимает защиту и открывает устройство для любой вредоносной деятельности. Вот для джейлбрейкнутых айфонов вирусов предостаточно. Для техники на iOS есть варианты с успешными APT (целевыми атаками), но обычные пользователи с ними почти не сталкиваются, да и усилий для заражения конкретного устройства там приходится прикладывать очень много.
Основная головная боль (и одновременно основной источник заработка) для всех антивирусных компаний – смартфоны на Android. Открытость системы, являющаяся одним тиз ее основных плюсов (простота работы, огромные возможности для разработчиков и пр.) в вопросах безопасности оборачивается минусом: вредоносное ПО получает много возможностей проникнуть в систему и получить над ней полный контроль.
Впрочем, в дополнение к тем возможностям, которые предоставляет злоумышленникам сама система, свой посильный вклад вносят и пользователи. Например, снимают галочку с пункта настроек «Устанавливать приложения только из доверенных источников», существенно облегчая вредоносному ПО проникновение в систему под видом легальных приложений. Также многие пользователи проводят процедуру получения Root-прав (которые могут быть необходимы для решения некоторых задач, да и аудитория у Android больше склонна к экспериментам в системе), что окончательно снимает даже остатки защиты от перехвата управления системой.
Например, сейчас много где используется двухфакторная аутентификация, т.е. операции подтверждаются одноразовым SMS-паролем от банка на смартфон, так что провести снятие денег без участия смартфона не удастся. Вирус, который уже сидит в ПК, видит, что пользователь зашел в банк-клиент – и вставляет в браузер новое окно с запросом, которое выглядит так же, интерфейс веб-страницы банка и содержит запрос номера телефона под любым предлогом (подтверждение, проверка, необходимость загрузки ПО и т.д.). Пользователь вводит свой номер, и на смартфон приходит SMS со ссылкой для скачивания «банковского приложения» или чего-нибудь для обеспечения безопасности. Обычному пользователю кажется, что он получил ссылку от банка, и… Причем сценарий, судя по всему, вполне распространенный – например, огромное предупреждение не устанавливать такие приложения висит на сайте «Сбербанка». В этом случае установленная галочка в настройках Android «устанавливать приложения только из доверенных источников» не дала бы заразить систему.
Зачастую старый добрый замок надежнее ()
Впрочем, если не повезет, то в случае Google можно получить вредоносное приложение и из легального магазина. В Apple Appstore проводится серьезная проверка поступающих приложений, благодаря которой вредоносные программы просто не попадают в официальный магазин, осуществляется контроль над разработчиками. В Google Play же «более открытая схема сотрудничества» приводит к тому, что вредоносные приложения регулярно попадают в магазин, а Google реагирует лишь постфактум. То есть, существует шанс установить себе вирус даже из официального магазина приложений для Android.
Что происходит после заражения мобильной системой
Для начала, пару слов о ситуации, когда заражен ПК, и троян оттуда передал свой компонент на смартфон, где тот успешно заработал. Основной троян может перехватить реквизиты (например, с помощью клавиатурного шпиона или через браузер) и воспользоваться ими, либо просто удаленно зайти на сайт банка через вашу же систему. При совершении операции на смартфон приходит код, его перехватывает второй компонент и передает первому для завершения операции. Для передачи кода может использоваться как интернет-соединение, так и отсылка кода с помощью исходящего смс-сообщенияОчень много троянов знают схему работы банка с пользователями и построение ПО (через клиент-банк или веб-сайт – непринципиально). Соответственно, они могут создавать «персонифицированные» фишинговые страницы, внедрять вредоносный код в страницу банка прямо в браузере (например, у вас появится дополнительное окно с требованием подтвердить тот же телефонный номер) и сделать много чего еще. Например, потребовать «установить компонент безопасности», «приложение для работы с банком» и пр. А может и полностью в фоновом режиме зайти на страницу банка и без вашего участия произвести требуемые операции.
Самостоятельное заражение мобильного устройства
Впрочем, если мобильное устройство уже заражено, помощь большого ПК может и не потребоваться.Самый простой способ украсть деньги с использованием зараженного смартфона – через SMS-банкинг. Большинство банков дают возможность получать информацию о балансе и проводить операции посредством кодированных сообщений на короткий номер. Этим очень легко воспользоваться.
Попав в систему, троян рассылает сообщение с запросом баланса на известные ему номера банков. Некоторые версии умеют определять, в какой стране обитает пользователь, посмотрев региональные настройки телефона, и скачивают с командного сервера список номеров для конкретной страны. Если по одному из номеров получен ответ, то можно начинать вывод денег на подставной счет, откуда они потом обналичиваются. Схема простая и распространенная, причем работает не только при взломе телефона, но и, например, если его украдут. Есть даже ситуации, когда по подставной ксерокопии паспорта или доверенности восстанавливают SIM-карту с тем же результатом. В теории, при смене SIM-карты SMS-банк и интернет-банк должны блокироваться, но это происходит не всегда.
)
Зараженная мобильная система может сама вытягивать информацию из пользователя в самых, казалось бы, невинных ситуациях. Например, при покупке приложения в Google Play у вас появляется дополнительное окно, где просят, в дополнение к паролю, подтвердить номер вашей кредитной карты. Окно поверх приложения Google Play, в нужный момент, все вполне логично и не вызывает сомнений. А на самом деле, это мобильный вирус SVPenk, который таким образом ворует данные кредитки… точнее, даже не ворует - пользователь отдает их ему сам.
Взломать канал связи между банком и приложением трояну вряд ли удастся, там слишком сложное шифрование, сертификаты и пр. Как и «влезть» в легитимное банковское приложение. Но он может, например, перехватить управление тачскрином и отследить действия пользователя в приложении. Ну а дальше он может самостоятельно имитировать работу с тачскрином, вводя в банковское приложение нужные данные. В этой ситуации операция перевода денег инициируется из банковского приложения, а если код подтверждения приходит на то же устройство, то он сразу перехватывается и вводится самим трояном – очень удобно.
Конечно, иметь интернет-банк и канал подтверждения через SMS на одном устройстве – не очень хорошее решение, но редко у кого с собой одновременно два телефона. Лучше всего подтверждение банковских операций к SIM -карте, вставленной в старый телефон без доступа в интернет.
Операция Emmental или «Дыры – они в головах!»
Для примера рассмотрим одну из атак, описанную компанией Trend Micro и названную ее специалистами «Emmental» из-за большого количества дыр в безопасности, которое они сравнили со швейцарским сыром. Атака Emmental была нацелена на клиентов нескольких десятков европейских банков – в Швейцарии (16 банковских сайтов, статистика на основе работы одного из серверов злоумышленников), Австрии (6), Швеции (7) и, почему-то, в Японии (5). Цель атаки – завладеть банковскими данными пользователя для входа в систему с его данными и воровства информации.Основными особенностями Emmental стали, во-первых, двухступенчатый механизм заражения (сначала компьютер, потом смартфон), позволяющий обойти двухфакторную авторизацию. Во-вторых, подмена DNS на собственный, перенаправлявший клиентов на фишинговые сайты, которые выглядели «совсем как настоящие!» и установка поддельного сертификата безопасности. Ну и последняя особенность – судя по некоторым намекам в коде, его делали русскоязычные ребята. Во-первых, в коде забыли убрать коммент «obnulim rid», а во-вторых, в модуле проверки страны SIM-карт есть страны, где проводилась атака, а также Россия, но троян под нее не работает (видимо, использовалась при тестировании). С другой стороны, судя по логам сервера, основная активность шла из Румынии.
Первичное заражение ПК – через спам, причем совершенно без изюминки. Приходит письмо якобы от известного ритейлера (для каждой страны своего) по поводу якобы заказа с якобы приложенным чеком в rtf. Открыв rtf, пользователь видит внутри (!) еще один файл с названием «чек…», который на самом деле является элементом.cpl. Если открыть его (и проигнорировать уведомление о возможной опасности), загрузится модуль netupdater.exe, который делает вид, что это обновление для Microsoft .NET framework, но при этом UAC покажет предупреждение, да еще и напишет, что разработчик неизвестен. То-есть, чтобы получить троян, пользователь должен проявить недюжинную беспечность и неразумность. К счастью для атакующих, таких пользователей большинство.
При этом сам модуль заражения достаточно интересный: он меняет в системе DNS-сервер, который в нужных случаях перенаправляет пользователя на фишинговый сайт, а также устанавливает в систему новый SSL-сертификат, т.е. она теперь не будет ругаться при защищенном HTTPS-соединении не с тем сайтом. После этого модуль сам себя удаляет, так что при дальнейшем сканировании в системе его нет, антивирус не видит ничего подозрительного, да и механизм заражения установить будет сложнее.
)
При попытке зайти на сайт своего банка пользователь перенаправляется на фишинговый сайт, где для авторизации указывает логин и пароль, после чего злоумышленники получают доступ к аккаунту и всей информации на нем. Далее фишинговый сайт требует от пользователя установить на телефон приложение для генерации одноразовых паролей при работе с банком, якобы с целью повышения безопасности. В инструкции говорится о том, что линк придет на SMS, но этот вариант не работает (это сделано специально), и пользователи вынуждены использовать «запасной вариант»: вручную скачивать APK-файл приложения для Android по предложенной ссылке. После установки (как проходит установка, в отчете не раскрывается, а жаль – ведь защита у Android тоже есть) нужно ввести пароль от приложения на сайте – чтобы типа активировать новую систему безопасности. Это сделано для того, чтобы удостовериться, что пользователь действительно установил приложение на Android.
На этом, собственно, и все: теперь у злоумышленников есть логин, пароль, и приложение на смартфоне, которое будет перехватывать SMS с паролями (для этого оно устанавливает собственный сервис прослушки SMS), скрывать их от пользователя и отправлять их на командный сервер (умеет это делать и через интернет, и через SMS). Кроме этого, приложение для смартфона умеет собирать и отсылать на командный сервер довольно много разной информации о телефоне и его владельце.
В целом, Emmental – сложная операция, требующая высокой квалификации и профессионализма участников. Во-первых, она включает создание двух разных троянов под две платформы. Во-вторых, разработку серьезной инфраструктуры под них – сервера DNS, фишинговые сайты, тщательно мимикрирующие под сайты банков, командный сервер, координирующий работу сайтов и приложений, плюс сам модуль для кражи денег. Самоудаляющийся модуль заражения ограничивает возможности для исследования – в частности, заражение могло происходить не только через почту, но и другими способами.
Итоги
Здесь мы описали лишь пару ситуаций, когда вирус получает контроль над смартфоном, и этого хватает для того, чтобы осуществить перевод денег на подставной счет. Существует очень много самых разнообразных вариантов банковских троянев, которые используют разные (подчас весьма сложные и даже изящные) схемы заражения и похищения данных, а вслед за ними и денег.Правда, для заражения системы «массовым вирусом» (т.е. широко рассылаемым, а не направленным на конкретного пользователя) обычно должно совпасть много факторов (включая небрежность или неграмотность пользователя), но в этом и прелесть массовых решений: найдется достаточное количество «клиентов» с этим сочетанием, чтобы злоумышленники в особо удачных случаях не успевали обналичивать падающие к ним на счет украденные деньги (реальная ситуация!). Так что в огромном количестве случаев спастись от финансовых потерь поможет обычная осмотрительность – просто нужно обращать внимание на странное и необычное поведение смартфона, банк-клиента, компьютера и т.д. Хотя полагаться только на нее, когда речь идет о финансовых вопросах, наверное, не стоит.
Слышали о банковских троянцах, но не знаете, чем именно они опасны? Эксперты рассказали подробно об этих программах, а также о том, как защититься от них.
Банковские троянцы - специализированные программы, созданные для похищения личных данных пользователей
Троянские программы являются одними из самых опасных и распространенных видов «вирусов» в мире. Особенно опасны так называемые банковские троянцы, которые являются причиной 80% случаев кражи денег с банковских счетов. Как работают эти программы и можно ли от них защититься — рассказали эксперты украинской антивирусной лаборатории Zillya .
Цели и методы
Банковские троянцы - специализированные программы, созданные для похищения личных данных пользователей. В особенности они заточены на воровство логинов и паролей пользователей интернет-банкинга. Троянцы также могут перехватывать SMS с секретными кодами, которые присылает банк, и перенаправлять их злоумышленникам.
Кроме того, они способны также непосредственно воровать деньги со счета - все сразу или постепенно небольшими переводами.
Наиболее вероятные пути заражения
Путь заражения компьютера пользователя троянской программой, как правило, происходит одинаково: она маскируется под безобидные, а часто и очень известные приложения. Самыми распространенными вариантами являются загрузка обновления программы не с официального сайта разработчика, а со стороннего ресурса, который имитирует оригинальный.
Пользователь скачивает, казалось бы, известную программу, а внутри нее прикреплен троян, который заражает ПК. Кроме того, троянцев могут загружать на ПК другие трояны и вредоносное ПО, которым заражен компьютер.
Не менее актуальным способом распространения банковских троянцев можно назвать СПАМ-рассылку. Этот метод усиливается технологиями социальной инженерии, которые строятся на психологии поведения и заставляют пользователя открыть прикрепленный документ или перейти по ссылке на зараженный сайт.
Банковские троянцы являются причиной 80% случаев кражи денег с банковских счетов. Фото: sensorstechforum.com
Объемы ущерба
Банковские троянцы - довольно опасный хакерский инструмент. В «умелых» руках он может нанести ощутимый ущерб финансам жертв.
Так, один из самых известных и опасных вредоносных программ этой категории Zeus, по подсчетам экспертов, стал причиной потерь от 50 до 100 млн долларов от непосредственного воровства и более 900 млн на разработку систем защиты.
Казалось, что время этого трояна уже прошло, и с ним научились бороться. Однако в 2016 году был выявлен новый мощный банковский троян Atmos, который, по мнению экспертов отрасли, способен побить все рекорды, поскольку является намного более технологичным продуктом.
Не менее известный троян SpyEye нанес ущерб в размере 100 млн долларов и смог собрать данные более 250 тысяч пластиковых карт. Отдельно стоит сказать про троян Citadel, заразивший более 10 тысяч компьютеров и, по данным спецслужб США, ставший инструментом кражи более 500 млн долларов.
Недавно нейтрализованный банкер Lurk, которым управляла целая группировка хакеров, смог нанести ущерб финансам пользователей в размере 40 млн долларов.
К слову, такие технологии стоят довольно дорого. На черном рынке цена на банковский троянец проверенной «марки» может варьироваться от 5 до 50 тысяч долларов (троян Carberp).
Аресты
Любое зло должно быть наказано, поэтому авторы троянов и их распространители зачастую оказываются за решеткой. Стоит отметить, что создатель Citadel получил 5 лет в американской тюрьме, а творец SpyEye Александр Панин (Gribodemon) - 9 лет лишения свободы.
Спецслужбы всего мира понимают потенциал таких киберугроз и готовы даже платить за «головы» современных преступников большие деньги. Так, за информацию об авторе Zeus объявлена награда в 3 млн долларов.
Лучшей защитой от троянских программ, по словам экспертов Zillya, является осмотрительность. Зная и используя несколько базовых правил кибербезопасности, можно свести к минимуму вероятность заражения:
1. Не открывайте письма от неизвестных адресатов с вложенными архивами и текстовыми документами.
2. Если открыли такое письмо, не открывайте файлы.
3. Удалите такое письмо.
4. Не используйте установочные файлы известных программ из сторонних источников.
5. Пользуйтесь антивирусом, как на ПК, так и на мобильном устройстве.
6. Регулярно делайте копии важной информации.
7. Реквизиты банковской карты должны запрашиваться при каждой повторной покупке в интернет-магазине. В противном случае, необходимо обратиться к менеджеру банка.
8. Помните: для входа в интернет-банкинг НЕ требуется ввод PIN-кода вашей карты.
2 августа 2016 в 13:54Банковский троян Lurk распространялся с официальным ПО, работающим во многих крупных банках России
- Финансы в IT
Создатели вредоносного ПО, позволившего похитить миллиарды рублей из банков РФ, загрузили его на официальный сайт разработчика систем удаленного управления компьютерными системами
Сегодня стали известны детали расследования по делу о хищении злоумышленниками более 1,7 млрд рублей со счетов клиентов российских банков за пять лет. В уголовном деле фигурирует сообщество хакеров из 15 регионов России, которые использовали троян Lurk для взлома банковских сетей, пишет «Коммерсант». Специалисты по информационной безопасности, принимающие участие в расследовании, считают, что в случившемся косвенно виновны системные администраторы ИТ-отделов банков. Именно они способствовали проникновению вируса в корпоративные сети, скачивая из Сети зараженный трояном софт.
Следователями следственного департамента МВД РФ установлены возможные методы распространения вируса по банковским сетям. Ситуация несколько прояснилась после того, как в июне было задержано около 50 злоумышленников из 15 регионов России, причастных к похищению 1,7 млрд рублей из российских банков. Эта же группа киберпреступников, по мнению следствия, причастна к попыткам вывода еще 2,2 млрд рублей. От действий преступной группы пострадали, в частности, московские банки Металлинвестбанк и банк «Гарант-инвест», а также якутский банк «Таата».
Проникновение в сети банков производилось при помощи трояна Lurk, за разработку которого отвечают представители задержанной группы. Основные члены и лидеры группировки - жители Свердловской области. 14 членов группировки были задержаны в Екатеринбурге и доставлены в Москву. Предполагаемые лидеры сообщества - Константин Козловский и Александр Еремин.
Следователи считают, что представители сообщества внедряли троянскую программу Lurk, используя ПО Ammyy Admin. В расследовании помогает «Лаборатория Касперского», опубликовавшая специальный отчет с результатами анализа происшествия. Следует отметить, что «Лаборатория Касперского» в ходе расследования работала совместно со специалистами Сбербанка. В отчете указано, что злоумышленники использовали два основных пути распространения вируса. Первый - использование эксплойт-паков, второй - работа со взломанными сайтами. В первом варианте применялось распространение зловреда через профильные сайты: специализированные новостные сайты со скрытыми ссылками на файлы с вирусом и бухгалтерские форумы. Второй вариант - взлом сайта Ammyy и заражение ПО для удаленной работы прямо с сайта производителя. Клиентами Ammyy выступают МВД РФ, «Почта России», система правовой информации «Гарант».
Специалисты «Лаборатории Касперского» обнаружили, что файл программы, размещенный на сайте Ammyy, не имеет цифровой подписи. После запуска скачанного дистрибутива исполняемый файл создавал и запускал еще два исполняемых файла: это установщик утилиты и троян Trojan-Spy.Win32.Lurk. Представители преступной группы использовали специальный алгоритм проверки принадлежности зараженного компьютера корпоративной сети. Проверкой занимался модифицированный php-скрипт на сервере Ammyy Group.
По мнению участников расследования, вирус в систему, скорее всего, запускали работники ИТ-отделов пострадавших компаний. Вина специалистов косвенная, поскольку они могли и не подозревать о заражении дистрибутива ПО, скачиваемого с официального сервера компании-разработчика. Также оказалось, что после задержания группы подозреваемых содержимое распространяемого дистрибутива изменилось. Так, с сайта начала распространяться программа Trojan-PSW.Win32.Fareit, ворующая персональную информацию, а не троян Lurk. «Это позволяет предположить, что злоумышленники, стоящие за взломом сайта Ammyy Admin, за определенную плату предлагают всем желающим „место“ в трояне-дроппере для распространения с ammyy.com»,- сообщается в отчете «Лаборатории Касперского».
По словам специалистов по информационной безопасности, избежать подобных происшествий можно с использованием процедуры контроля использования стороннего программного обеспечения.
«В своей деятельности программы удаленного администрирования мы не используем. Это запрещено и строго контролируется. А любые готовые программные продукты проходят комплексную проверку безопасности, которая позволяет исключить наличие скрытых кодов»,- заявили в пресс-службе Уральского банка Сбербанка РФ.
В некоторых банках РФ, включая Уральский банк реконструкции и развития (УБРиР) использование внешних решений для удаленного управления рабочими станциями запрещено.
Поиск
Мы можем оповещать вас о новых статьях,