Украинских хакеров обвиняют в атаке на банки

Исследовательская IT-компания Finjan опубликовала подробности новой интернет-атаки с использование вредоносного кода URLzone, созданного и управляемого группой злоумышленников на территории Украины. Новая вредоносная программа создана таким образом, что она не просто крадет банковские реквизиты, а снимает деньги со счетов, когда же пользователь заходит в систему онлайн-банкинга, то программа показывает ему поддельные цифры на балансе.

По словам представителей компании, URLzone имеет ряд функций, созданных для обмана систем обнаружения мошенничества. Юваль Бен-Ицхак, технический директор Finjan, говорит, что вредоносный код проводит нестандартные транзакции, поэтому системы безопасности банков не всегда срабатывают. К примеру, новый софт способен рассчитать, сколько денег можно безопасно снять, исходя из общей суммы, доступной для снятия.

Согласно оценкам IT-экспертов, на сегодняшний день зараженные URLzone web-сайты посетили около 90 тыс. человек, из них 6, 4 тыс. человек загрузили злонамеренные коды (7,5%), и  около сотни пользовались online банкингом. Со ссылкой на представителей только немецких банков Finjan сообщает, что украинские хакеры похитили около 300 тыс. евро. Не исключено, что злоумышленники работали и в других странах.

Алгоритм работы трояна следующий: потенциальная жертва заражает свой компьютер вредоносным кодом через открытие спам-вложений или загрузку вредоносного кода с web-сайта. Далее система бекдоров, проникшая на ПК, инсталлирует в фоновом режиме сам код.

Далее, когда пользователь ПК заходит в систему online банкинга, URLzone автоматически перехватывает данные по балансу и вычисляет минимальные и максимальные диапазоны возможного снятия денег, после чего в режиме реального времени «подставляет» пользователю уже обновленную сумму баланса (за вычетом снятой суммы).

Переводятся деньги на счета «мулам» – пользователям, специально открывшим счета для аккумулирования денег. Данные пользователи потом передают деньги хакерам, снимая с суммы свой процент. «Если пользователь не может сказать, какая сумма денег было на его счету до момента последнего входа, то вероятно, что факт кражи он и не заметит», – говорят в Finjan.

Одновременно со снятием денег, URLzone также пытается «почистить» свои следы работы на ПК (удаляет всю историю) и пытается удалить историю банковских транзакций (если это поддерживается системой банкинга).

По материалам CyberSecurity