Компания Trusteer, специализирующаяся в области корпоративной защиты, обнаружила новую модификацию банковского троянца Gozi, включающую функционал руткита.

Руткиты считаются эффективным средством сокрытия вредоносного кода в системе, однако они редко используются зловредами, ориентированными на кражу финансовой информации. Исключения составляют печально известный Torpig/Sinowal и, пожалуй, Carberp, буткит-компонент которого был обнаружен ESET два года назад и с тех пор иногда всплывает на теневых форумах.

По свидетельству Trusteer, руткит-вариант Gozi заражает MBRи дожидается запуска Internet Explorer для реализации своего основного функционала. Как и прочие банкеры, Gozi осуществляет перехват трафика и способен на лету подменять веб-страницы банковских ресурсов. Эксперты отмечают, что сама программа-шпион видимых изменений не претерпела. Возможно, на черном рынке появился новый руткит, которым и воспользовались разработчики Gozi.

Модульный троянец Gozi, он же Papras, досаждает клиентам банков с 2006 года. По оценкам экспертов, его глобальная популяция превышает 1 миллион, включая 40 тыс. зараженных компьютеров в США, а также инфекции в Германии, Польше, Великобритании, Франции, Италии, Финляндии и Турции. Убытки от шпионской деятельности Goziизмеряются десятками млн. долларов.

В настоящее время в США запущен судебный процесс в отношении трех иностранцев, подозреваемых в создании и распространении этого троянца. Согласно исковому заявлению, идеологом Goziявляется россиянин Никита Кузьмин, который в свое время составил подобие ТЗ и нанял опытного программиста для написания исходного кода. Вначале Кузьмин предоставлял Gozi как SaaS через свой веб-сайт 76 Service, а в 2008 году запустил его в продажу, время от времени нанимая вирусописателей для совершенствования своего детища. Кузьмин был арестован в конце 2010 года и уже сознался в неправомерном вмешательстве в работу компьютерных систем.

Одним из наемников, помогавших Кузьмину дорабатывать Gozi, предположительно является латыш Денис Чаловский, бывший студент Рижского технического университета, а ныне мелкий бизнесмен. По запросу властей США он был задержан латышской полицией и недавно обжаловал решение местных властей об экстрадиции. Предполагаемый хостер C&C серверов Gozi Михай Паунеску (MihaiIonutPaunescu) был арестован в Румынии в конце 2012 года и ожидает решения о выдаче американским властям. По данным ФБР, он предоставлял bulletproof хостинг не только операторам Gozi, но также ботоводам ZeuS, SpyEye и прочих известных зловредов.

Программист из Тольятти, писавший на заказ веб-инжекты для троянской программы-банкера Carberp, осужден условно.

Согласно материалам дела, Александр Пакичев, 1971 года рождения, публиковал в интернете объявления, предлагая свои услуги по созданию модификаций Carberp, ориентированных на конкретные банки. За полгода он продал более десятка таких программ, получая с заказчиков в среднем по 9 тыс. рублей (по другим данным, от 400 до 1500 долларов). После запуска на зараженной машине Carberp воровал персональные данные жертвы и ее идентификаторы к аккаунту в системе ДБО, а для обхода двухфакторной аутентификации троянец на лету изменял страницу регистрации (веб-инжектирование) и запрашивал у жертвы номер мобильного телефона. Украденная зловредом информация позволяла злоумышленникам клонировать SIM-карты в салонах сотовой связи и проводить мошеннические транзакции от имени своих жертв.

20-летний француз, заразивший 17 тыс. Android-смартфонов, приговорен к 1 году лишения свободы с обязательным отбыванием наказания в течение половины этого срока. Вторые полгода он будет носить на ноге электронный браслет.

Дилан Карон (Dylan Caron), по его собственному признанию, знаком с компьютерной техникой с 3 лет, а к 9-10 годам начал проявлять интерес к программированию. В 12 лет его выдающиеся способности стали заметны всем, его IQ составлял 145, однако подросток бросил колледж, так и не окончив курс профориентации. Тем не менее, Карон продолжал мечтать о карьере программиста и, придумав, как оплачивать свои интеллектуальные упражнения в Сети, он решил испытать себя и написал неординарного SMS-троянца всего за час.

Зловред, которого специалисты нарекли Fakemart, был выложен в интернет-магазинах под видом бесплатных копий популярных приложений для Android. После запуска на зараженном устройстве троянец скрытно отсылал SMS на короткие номера, перехватывал ответные сообщения с кодом доступа к игровому сервису и передавал их Карону. При этом со счета жертвы снималось 4,5 евро за каждую платную SMS. Коды доступа, полученные с помощью Fakemart, давали французу возможность удовлетворять свою маленькую страсть ― участвовать в онлайн-викторинах и выигрывать грошовые призы. За несколько месяцев троянскому подручному Карона удалось ограбить 17 тыс. владельцев Android-смартфонов, совокупно потерявших около 500 тыс. евро.

Как оказалось, вирусописатель-самоучка даже не предполагал, что его детище получит такое широкое распространение. Для него это была всего лишь проба пера, попытка удостовериться, что диплом программиста ― не самое главное в этой профессии. При этом материальная выгода, которую мог бы обеспечить троянец, Карона мало интересовала: мошенническая схема принесла молодому французу 4 тыс. евро (видимо, это сумма всех выигрышей), и тот их потратил на новую аппаратуру и видеоигры.

По обвинениям в мошенничестве и причинении вреда чужой технике Карону грозило до 5 лет лишения свободы. С учетом смягчающих обстоятельств прокурор просила назначить правонарушителю 1 год условно с испытательным сроком 2 года. Итоговый вердикт оказался более суровым: суд принял во внимание большой размер ущерба, а также тот факт, что зловред пока не изъят из обращения и продолжает представлять опасность. По выходе на свободу молодому человеку не грозит учет по судимости, однако он должен будет в обязательном порядке найти работу.

В Токио задержаны пятеро молодых людей, подозреваемых в создании и распространении вредоносной программы для Android-устройств. С помощью этого приложения сообщники украли контактную информацию свыше 10 млн. человек.

Зловред распространялся через сайт Google (очевидно, имеется в виду Google Play) под видом бесплатных версий популярных игр для Android-смартфонов. За 9 месяцев злоумышленники выложили в общий доступ около 50 таких подделок, единственным назначением которых является кража содержимого адресной книги. По оценкам полиции, число жертв заражения составляет около 90 тысяч.

Согласно поправкам к японскому законодательству, вступившим в силу в прошлом году, вирусописательство и распространение вредоносных программ на территории этой страны является уголовно наказуемым преступлением. Поставщикам зловредов грозят тюремные сроки до 2-х лет, создателям ― до 3-х.

Томские киберкопы задержали несовершеннолетнего местного жителя, пытавшегося продать через интернет скачанную оттуда же вредоносную программу.

Что это за зловред, не сообщается, известно лишь, что с его помощью удаленный оператор может установить контроль над зараженным компьютером. Скачав его, молодой человек разместил в Сети объявление о продаже.

По результатам расследования, проведенного отделом «К» Управления МВД по Томской области, возбуждено уголовное дело на основании ч. 2 ст. 273 УК РФ (создание, использование и распространение вредоносных компьютерных программ). Оно уже направлено в суд для определения мер воспитательного воздействия на малолетнего «предпринимателя».

В Токио арестованы 6 местных жителей, обвиняемых в создании и распространении Android-зловреда. Трое из них ― сотрудники разных ИТ-компаний, занимающие руководящие должности.

По свидетельству полиции, данная группировка вымогала деньги у владельцев мобильных устройств с помощью вредоносной программы, написанной для платформы Android одним из участников. Для ее распространения аферисты создали порносайт и предлагали зловреда для скачивания под видом бесплатного приложения для просмотра видеороликов на смартфоне. При запуске эта программа выводила на экран сообщение о необходимости срочно уплатить 99,8 тыс. иен (около 1,3 тыс. долл.) за некие услуги и воровала персональные данные (номер телефона, адрес электронной почты и т.п.), отсылая их на заокеанский сервер.

Текст с требованием оплаты воспроизводился каждые 5 минут; пользователю демонстрировали также информацию, украденную с его смартфона. Многих утечка личных данных обескураживала до такой степени, что они соглашались платить. С начала текущего года зловредного вымогателя скачали свыше 9,2 тыс. японцев. 211 из них уступили требованиям злоумышленников, «подарив» им суммарно свыше 21 млн. иен (около 270 тыс. долл.).

Распространителей зловредов для мобильных устройств в Японии судят впервые. Если их вина будет доказана, их ждут не только штрафы, но и тюремные сроки. С прошлого года злонамеренное создание, приобретение и хранение вредоносных программ на территории страны считается уголовным преступлением, и поставщиков инфекции могут лишить свободы на 2 года, а ее создателей ― на 3.

20-летний английский студент, воровавший персональные данные с помощью кей-логгера, приговорен к 1,5 годам тюремного заключения.

Согласно материалам дела, Льюис Мартин (Lewys Martin) предлагал нетерпеливым участникам популярной видеоигры Call of Duty некий «патч», в котором скрывался троянский кей-логгер. С его помощью предприимчивый юнец собирал финансовые реквизиты игроков и их идентификаторы к различным аккаунтам, включая Paypal, а затем продавал краденую информацию в интернете. Вырученные от продаж деньги он переводил на свой счет в Коста-Рике.

Поймать вирусописателя удалось лишь после того, как он во хмелю совершил несколько попыток выкрасть из университетских колледжей компьютерное оборудование. При обыске у Мартина были найдены распечатки свыше 300 номеров кредитных карт и паролей. Полицейские также обнаружили документы для оформления банковской ссуды в размере 3 тыс. фунтов стерлингов (свыше 4,7 тыс. долл.) на имя Льюиса Мэнсера (Lewys Manser).

В ноябре прошлого года кентерберийский уголовный суд отложил вынесение приговора компьютерному вору и мошеннику, чтобы дать ему возможность дослушать компьютерный курс в местном университете. Однако не прошло и 4-х месяцев, как отпущенный на поруки студент вместе с собутыльником вновь вломился в здание колледжа и попытался вынести кинопроектор, компьютер, жесткий диск, портативные рации и другие устройства.

На счету Мартина уже 12 судимостей, однако, по словам его защитника, юный фанат компьютерной техники обещал покончить с алкоголем и наркотиками, дабы не впадать в искушение. На суде он вновь умолял присяжных разрешить ему закончить учебу, чтобы иметь возможность употребить приобретенные знания на благие дела, однако судья посчитал, что свой шанс правонарушитель уже упустил. В настоящее время служба уголовного преследования графства Кент пытается склонить коста-риканский банк к сотрудничеству и конфисковать капиталы, нажитые противозаконными методами. По словам Мартина, на его оффшорном счету скопились тысячи фунтов стерлингов.

Британский студент приговорен к 2 годам и 2 месяцам лишения свободы за создание и хранение программ, предназначенных для использования в мошеннических схемах.

Согласно материалам дела, Эдвард Пирсон (Edward Pearson) появлялся в хакерской среде под ником G-Zero. В отличие от многих «коллег по цеху», атаковавших чужие ресурсы из корыстных побуждений, он видел в хакерстве возможность поупражняться в решении головоломных задач. Следствие установило, что Пирсон причастен к взломам сайтов AOL и Nokia (предположительно к прошлогоднему инциденту на форуме разработчиков приложений), которые он осуществил путем SQL-инъекций, получив доступ к базам данных персонала. Он также создал Python-сканер, с помощью которого обнаружил 200 тыс. уязвимых учетных записей на PayPal.

Иногда сей хакер по призванию делился своими находками на форумах, но никогда не занимался продажей информации, добытой противозаконным путем. При обыске у Пирсона были найдены списки, содержащие свыше 8 млн. имен, дат рождения и почтовых индексов взрослых жителей Великобритании, а также 2,7 тыс. номеров кредитных и платежных карт, по которым при желании он мог бы суммарно получить более 800 тыс. фунтов стерлингов (около 1,3 млн. долл.). Тем не менее, обладая столь обширной базой чужих ID, .молодой человек истратил лишь 2,35 тыс. чужих фунтов (немногим более 3,7 тыс. долл.) на мелкие нужды. Правоохранительные органы заинтересовались Пирсоном благодаря его подружке, обладательнице рокового имени Кассандра, которая опрометчиво пыталась расплатиться в отеле поддельной кредиткой.

Несколько интересных штрихов к портрету старомодного хакера добавил известный американский исследователь Гэри Уорнер (Gary Warner). На одном из хакерских форумов Пирсон именует себя программистом-фрилансером и легальным пентестером, который, тем не менее, умеет писать эксплойты, взламывать сайты на заказ, создавать пуленепробиваемый хостинг, угонять ботнеты. Он также бахвалится, что долгое время экспериментировал со зловредами, занимался хакерством, кражей финансовой информации и другими темными делами.

Однако, по его собственному признанию, даровитый юноша никогда не имел дела с ботами и, ознакомившись с общедоступной версией ZeuS, пришел в восхищение. Он начал активно искать людей, способных посвятить его во все тонкости ремесла ботовода, а также более достойную модификацию полюбившегося троянца, чтобы построить собственную бот-сеть. Очевидно, Пирсон худо-бедно решил новую задачу, так как год спустя на другом теневом форуме появилась торжествующая запись о взломе ботнета, созданного G-Zero на основе SpyEye. В доказательство своих слов автор взлома привел версии SpyEye, используемые неофитом, регистрационные данные к его сайтам и IP-адреса командных серверов ботнета.

Уорнер также пишет, что в хакерской среде было хорошо известно, кто такой G-Zero. Пирсон довольно небрежно обращался с личными данными, нередко регистрировал домены, онлайн-счета и аккаунты на публичных сервисах на свое имя, указывая свой настоящий адрес, ник и email. Посему, когда пробил его час, британским полицейским не составило особого труда опознать владельца почтового ящика eddypearson@gmail.com как G-Zero. И Пирсон, и Кассандра Менним (Cassandra Mennim) признали свою вину по всем пунктам. В отличие от хакера, его подруга получила 1 год условно.

Объединившись с лидерами рынка финансовых услуг, Microsoft с разрешения суда захватила несколько управляющих серверов ZeuS и подала коллективный иск против 39 анонимов, причастных к созданию вредоносного кода и ботнетов на его основе.

В ходе полицейских рейдов на двух американских хостинг-площадках были заблокированы 2 IP-адреса, ассоциированных с наиболее агрессивными ботнетами ZeuS, и получены ценные свидетельства криминальной деятельности. Определить достойные мишени экспертам помогли коллеги из Kyrus Tech. Microsoft также установила контроль над 800 доменами, задействованными в командной инфраструктуре ZeuS, надеясь, что это поможет идентифицировать тысячи зараженных ПК. Процесс очистки планируется проводить во взаимодействии с интернет-провайдерами и национальными CERT (группами быстрого реагирования на компьютерные инциденты).

Троянцы семейства ZeuS продаются на черном рынке в виде тулкитов, позволяющих злоумышленникам создавать собственные ботнеты. За последние 5 лет Microsoft зафиксировала свыше 13 млн. предполагаемых заражений ZeuS по всему миру, включая 3 млн. на территории США. Готовясь к очередной акции против ботоводов, получившей в Microsoft кодовое наименование «операция b71», эксперты решили заняться и ZeuS, и его ближайшими родственниками — SpyEye и Ice-IX. По оценкам MS, совокупный ущерб от этих зловредов составляет около полумиллиарда долларов.

Нанося скоординированный удар по нескольким ботнетам, эксперты не задавались целью надежно вывести их из строя. Ожидается, что данная акция послужит хорошим уроком всем ботоводам ZeuS, поможет ограничить распространение инфекции и выявить главных виновников. Последние пока известны лишь под сетевыми псевдонимами, которые Microsoft скрупулезно перечислила в иске, поданном совместно с ассоциацией электронных платежей NACHA и некоммерческой организацией FS-ISAC (Financial Services Information Sharing and Analysis Center), представляющей интересы американских финансистов.

Примечательно, что в числе прочих законодательных актов, которые нарушает деятельность ботоводов ZeuS, в этом иске упомянут RICO Act (Racketeer Influenced and Corrupt Organizations Act) ― федеральный закон о коррумпированных и находящихся под влиянием рэкетиров организациях, на основе которого обычно рассматриваются уголовные дела ОПГ. Апелляция к этому статуту позволила истцам объединить в одном документе претензии ко всем участникам криминальной деятельности, связанной с ZeuS: вирусописателям, продавцам и покупателям тулкитов, ботоводам, «дроповодам», распространителям зловредного кода и проч.

В перечне законодательных актов, указанных в иске, присутствует также CAN-SPAM, так как одним из важнейших способов распространения ZeuS являются спам-рассылки. Согласно данным, представленным истцами, только вредоносные уведомления об отмене транзакции, распространяемые от имени NACHA, обеспечивают устойчивый спам-поток в 100 млн. писем в месяц.

В Париже после двухмесячного расследования задержаны двое предполагаемых авторов SMS-троянца, известного под именем Foncy.

Зловреды этого семейства (ЛК детектит их как Trojan-SMS.AndroidOS.Foncy), ориентированного на платформу Android, появились itw в начале сентября. Они распространяются через специализированные онлайн-магазины, маскируясь под легальные приложения. Основной функционал троянца ― скрытная отправка текстовых сообщений на короткие премиум-номера. За каждую такую SMS со счета владельца зараженного смартфона списывается порядка 4,5 евро.

По оценке французских властей, число жертв Foncy уже превысило 2 тыс. Совокупный ущерб от его деятельности составляет около 100 тыс. евро, суммы индивидуальных потерь ― в среднем 20-30 евро.