Компания Trusteer, специализирующаяся в области корпоративной защиты, обнаружила новую модификацию банковского троянца Gozi, включающую функционал руткита.

Руткиты считаются эффективным средством сокрытия вредоносного кода в системе, однако они редко используются зловредами, ориентированными на кражу финансовой информации. Исключения составляют печально известный Torpig/Sinowal и, пожалуй, Carberp, буткит-компонент которого был обнаружен ESET два года назад и с тех пор иногда всплывает на теневых форумах.

По свидетельству Trusteer, руткит-вариант Gozi заражает MBRи дожидается запуска Internet Explorer для реализации своего основного функционала. Как и прочие банкеры, Gozi осуществляет перехват трафика и способен на лету подменять веб-страницы банковских ресурсов. Эксперты отмечают, что сама программа-шпион видимых изменений не претерпела. Возможно, на черном рынке появился новый руткит, которым и воспользовались разработчики Gozi.

Модульный троянец Gozi, он же Papras, досаждает клиентам банков с 2006 года. По оценкам экспертов, его глобальная популяция превышает 1 миллион, включая 40 тыс. зараженных компьютеров в США, а также инфекции в Германии, Польше, Великобритании, Франции, Италии, Финляндии и Турции. Убытки от шпионской деятельности Goziизмеряются десятками млн. долларов.

В настоящее время в США запущен судебный процесс в отношении трех иностранцев, подозреваемых в создании и распространении этого троянца. Согласно исковому заявлению, идеологом Goziявляется россиянин Никита Кузьмин, который в свое время составил подобие ТЗ и нанял опытного программиста для написания исходного кода. Вначале Кузьмин предоставлял Gozi как SaaS через свой веб-сайт 76 Service, а в 2008 году запустил его в продажу, время от времени нанимая вирусописателей для совершенствования своего детища. Кузьмин был арестован в конце 2010 года и уже сознался в неправомерном вмешательстве в работу компьютерных систем.

Одним из наемников, помогавших Кузьмину дорабатывать Gozi, предположительно является латыш Денис Чаловский, бывший студент Рижского технического университета, а ныне мелкий бизнесмен. По запросу властей США он был задержан латышской полицией и недавно обжаловал решение местных властей об экстрадиции. Предполагаемый хостер C&C серверов Gozi Михай Паунеску (MihaiIonutPaunescu) был арестован в Румынии в конце 2012 года и ожидает решения о выдаче американским властям. По данным ФБР, он предоставлял bulletproof хостинг не только операторам Gozi, но также ботоводам ZeuS, SpyEye и прочих известных зловредов.

Программист из Тольятти, писавший на заказ веб-инжекты для троянской программы-банкера Carberp, осужден условно.

Согласно материалам дела, Александр Пакичев, 1971 года рождения, публиковал в интернете объявления, предлагая свои услуги по созданию модификаций Carberp, ориентированных на конкретные банки. За полгода он продал более десятка таких программ, получая с заказчиков в среднем по 9 тыс. рублей (по другим данным, от 400 до 1500 долларов). После запуска на зараженной машине Carberp воровал персональные данные жертвы и ее идентификаторы к аккаунту в системе ДБО, а для обхода двухфакторной аутентификации троянец на лету изменял страницу регистрации (веб-инжектирование) и запрашивал у жертвы номер мобильного телефона. Украденная зловредом информация позволяла злоумышленникам клонировать SIM-карты в салонах сотовой связи и проводить мошеннические транзакции от имени своих жертв.

В Испании и ОАЕ задержаны 11 уроженцев Восточной Европы по подозрению в корыстном распространении троянца-блокера Reveton, заразившего десятки тысяч ПК по всему миру.

Аресты произведены по промежуточным результатам расследования, проводимого спецподразделениями испанской полиции совместно с Европолом и Интерполом. По предварительным оценкам, зловредный шантажист приносил злоумышленникам более 1 млн. евро в год.

Министерство юстиции США и ФБР объявили об успешном проведении полицейских рейдов в Боснии и Герцеговине, Македонии, Новой Зеландии, Перу, Великобритании и США. Международная операция по выявлению ОПГ, распространяющих многочисленные варианты IM-червя Yahos и владеющих многомиллионным ботнетом, проводилась при активной поддержке местных силовиков и закончилась 10 арестами.

Детали, представленные в пресс-релизе ФБР, скудны и туманны. Известно лишь, что речь идет об 11 млн. заражений и $850-миллионном ущербе. Федеральные агенты также отмечают, что большую помощь в выявлении распространителей Yahos им оказала служба безопасности Facebook. Дело в том, что пару лет назад этот червь, наделенный функционалом IRC бота, обрел дополнительные возможности, открывшие ему врата в социальную сеть. Экспертам Facebook удалось идентифицировать аккаунты, с которых осуществляется распространение зловредных ссылок, определить масштабы распространения, ― к слову сказать, весьма скромные ― и первоисточники.

Израильская security-компания Check Point Software Technologies и независимый вендор антифрод-решений Versafe опубликовали совместный отчет о недавней атаке на клиентуру европейских банков, проведенной злоумышленниками с помощью десктопной и мобильной модификаций ZeuS. По предварительным оценкам, операторы зловредного тандема украли у жителей Западной Европы свыше 36 млн. евро, опустошив более 30 тыс. корпоративных и частных счетов.

По данным Check Point, первыми под удар попали итальянцы, затем череда автоматизированных грабежей прокатилась по Германии, Голландии и Испании. Опустошительные набеги Eurograbber («захватчика евро»), как окрестили его эксперты, осуществлялись по хорошо известной схеме. Вначале происходит заражение компьютера, через вредоносную ссылку в спаме или drive-by загрузку. Обосновавшись в системе, зловред крадет регистрационные данные к системе онлайн-банкинга и от имени банка запрашивает у жертвы номер мобильного телефона, привязанный к ее счету. На этот номер злоумышленники высылают поддельное SMS-сообщение со ссылкой, по которой на смартфон загружается ZitMo ― облегченная версия ZeuS, работающая на мобильных платформах (в данном случае Android и Blackberry). ZitMo перехватывает и отсылает хозяевам входящие SMS с одноразовыми кодами транзакций (mTAN), используемые многими банками как дополнительный уровень защиты от мошенничества. Эти коды дают злоумышленникам возможность проводить транзакции, инициированные ZeuS от имени жертвы, и выкачивать чужие деньги на подставные счета.

Сотрудники МВД по Республике Мордовия задержали троих участников ОПГ, укравшей свыше 2 млн. руб. со счета юрлица с помощью вредоносной программы. По факту хищения возбуждено уголовное дело согласно п. «б» ч. 4 ст. 158 УК РФ (кража, совершенная в особо крупном размере).

Как показало расследование, двое жителей Казани и житель Йошкар-Олы, освободившись из колонии, занялись поиском нового источника нетрудовых доходов и остановили свой выбор на сфере высоких технологий. Заручившись поддержкой хакеров, они разработали план хищения денежных средств с расчетных счетов российских организаций через систему ДБО. В январе текущего года наемники установили зловреда на компьютер бухгалтера одной из саранских компаний. Способ его доставки не назван, указано лишь, что на бухгалтерском ПК отсутствовала антивирусная защита. Вредоносная программа копировала из приложения «1-С Бухгалтерия» реквизиты и состояние расчетных счетов и направляла их своим операторам. Ей удалось также выкрасть пароли к учетным записям и, видимо, образцы цифровых подписей (в пресс-релизе МВД сказано «код ЭЦП» ― вряд ли это ключ: он обычно хранится на отдельном носителе и хорошо защищен).

20-летний француз, заразивший 17 тыс. Android-смартфонов, приговорен к 1 году лишения свободы с обязательным отбыванием наказания в течение половины этого срока. Вторые полгода он будет носить на ноге электронный браслет.

Дилан Карон (Dylan Caron), по его собственному признанию, знаком с компьютерной техникой с 3 лет, а к 9-10 годам начал проявлять интерес к программированию. В 12 лет его выдающиеся способности стали заметны всем, его IQ составлял 145, однако подросток бросил колледж, так и не окончив курс профориентации. Тем не менее, Карон продолжал мечтать о карьере программиста и, придумав, как оплачивать свои интеллектуальные упражнения в Сети, он решил испытать себя и написал неординарного SMS-троянца всего за час.

Зловред, которого специалисты нарекли Fakemart, был выложен в интернет-магазинах под видом бесплатных копий популярных приложений для Android. После запуска на зараженном устройстве троянец скрытно отсылал SMS на короткие номера, перехватывал ответные сообщения с кодом доступа к игровому сервису и передавал их Карону. При этом со счета жертвы снималось 4,5 евро за каждую платную SMS. Коды доступа, полученные с помощью Fakemart, давали французу возможность удовлетворять свою маленькую страсть ― участвовать в онлайн-викторинах и выигрывать грошовые призы. За несколько месяцев троянскому подручному Карона удалось ограбить 17 тыс. владельцев Android-смартфонов, совокупно потерявших около 500 тыс. евро.

Как оказалось, вирусописатель-самоучка даже не предполагал, что его детище получит такое широкое распространение. Для него это была всего лишь проба пера, попытка удостовериться, что диплом программиста ― не самое главное в этой профессии. При этом материальная выгода, которую мог бы обеспечить троянец, Карона мало интересовала: мошенническая схема принесла молодому французу 4 тыс. евро (видимо, это сумма всех выигрышей), и тот их потратил на новую аппаратуру и видеоигры.

По обвинениям в мошенничестве и причинении вреда чужой технике Карону грозило до 5 лет лишения свободы. С учетом смягчающих обстоятельств прокурор просила назначить правонарушителю 1 год условно с испытательным сроком 2 года. Итоговый вердикт оказался более суровым: суд принял во внимание большой размер ущерба, а также тот факт, что зловред пока не изъят из обращения и продолжает представлять опасность. По выходе на свободу молодому человеку не грозит учет по судимости, однако он должен будет в обязательном порядке найти работу.

В Амьене задержан любитель онлайн-викторин, плативший за свое участие в них из чужого кармана. 20-летний француз пустил в оборот SMS-троянца, который разорял счета своих жертв и воровал коды доступа, высылаемые в ответ на его текстовые сообщения. За несколько месяцев троянскому подручному удалось ограбить 17 тыс. владельцев Android-смартфонов, совокупно потерявших около 500 тыс. евро.

Зловред, получивший название Fakemart, был обнаружен на территории Франции экспертами Webroot. Молодой человек предлагал его для скачивания под видом десятков легитимных приложений, чаще всего как Winamp Pro или Black Market (альтернатива Google Play). Fakemart способен скрытно отсылать SMS на премиум-номера, перехватывать входящие сообщения и связываться с удаленным сервером.

Два участника румынской криминальной группы, укравшей с платежных счетов американцев свыше 10 млн. долл., заявили суду Нью-Гемпшира о своем раскаянии. По условиям соглашения о признании вины один из них лишится свободы на 7 лет, другой ― на 1 год и 9 месяцев.

Согласно обвинительному акту, Юльян Долан (Iulian Dolan) и Чезар Юльян Буту (Cezar Iulian Butu) являются соучастниками мошеннической схемы отъема денег в американских торговых сетях, оборудованных PoS-терминалами. За неполные 3 года преступной группировке удалось взломать свыше 200 таких устройств, большинство из них ― в сети фаст-фуд закусочных Subway (конкурент McDonald’s). Разорено более 146 тыс. платежных счетов, совокупные потери поклонников американского общепита оцениваются в 10 млн. долл.

На суде Долан признался, что в осуществление общего замысла выискивал через Сеть уязвимые устройства, поддерживающие протокол удаленного рабочего стола. Он ломал пароли для получения доступа и устанавливал кейлоггеры, которые копировали и сохраняли информацию, проходившую через торговые терминалы. Для вывода плодов труда зловреда в системе открывался бэкдор. Услуги хакера оплачивал главарь. Американские власти обвинили Долана в преступном сговоре, компьютерном мошенничестве и махинациях со средствами доступа.

«Урожай», собранный с американских PoS, ― данные платежных карт покупателей ― сообщники перекачивали на коллекторы, а затем выводили за пределы США и использовали для продажи или оплаты личных нужд. Второй подсудимый, Буту, признал, что неоднократно приобретал краденые реквизиты, получая у главаря разрешение на доступ к коллекторам. Он выводил деньги с взломанных счетов, оплачивал свои расходы, а также пытался перепродать ключи к американским капиталам третьим лицам. В США Буту пришлось отвечать за преступный сговор и махинации со средствами доступа.

Агентам Секретной службы США, проводившим расследование по данному делу, пришлось немало потрудиться, чтобы выманить мошенников из-за океана и предать суду. Эту почти детективную историю рассказал на страницах своего блога известный журналист и исследователь Брайан Кребс. Летом прошлого года Долана, азартного игрока, пригласили провести бесплатный уикенд на одном из американских курортов, где есть казино. Заручившись поддержкой его владельцев, спецагенты установили в казино свой телефон и заселили даму-оператора для общения с хакером. Ей создали также почтовый ящик на местном домене и, когда уловка сработала, купили Долану авиабилет, оплатив его с банковского счета казино.

С Буту секретным агентам пришлось знакомиться, испросив разрешение провайдера на перлюстрацию его переписки. Изучив маршруты передвижения кардера, пристрастия и круг общения, сыщики связались с ним от имени богатой американской туристки, с которой тот познакомился годом ранее в Париже. Кардер принял лестное приглашение погостить ― и был задержан, едва сойдя с борта самолета, день в день со своим подельником.

Помимо Буту и Долана, по делу о хищении 10 миллионов проходят еще 2 фигуранта ― Адрьян-Тибериу Опря (Adrian-Tiberiu Oprea) и Флорин Раду (Florin Radu). Первого, предположительно организатора мошеннической схемы, румынские власти уже передали американцам. Ему предъявили обвинения и содержат под стражей, пока не начнутся судебные слушания. Раду пока не найден.

В Москве вынесен приговор по делу о хищении 13 млн. руб. с клиентских счетов ВТБ 24 с использованием троянской программы. Двое подельников получили по 6 лет, третий ― 4 года, при этом все сроки назначены условно.

Согласно материалам дела, авторами преступной схемы являются уроженцы Санкт-Петербурга, родные братья Евгений и Дмитрий Попелыши. Для ее осуществления они приобрели на черном рынке вредоносную программу семейства Qhost, модифицирующего системный файл hosts таким образом, чтобы запросы пользователя к определенным ресурсам направлялись на сайты, угодные злоумышленникам. Братья также склонили к соучастию студента калининградского вуза, Александра Сарбина, который по их просьбе создал копию ДБО-страницы банка, заменив номера контактных телефонов подставными. Эту страницу преступники разместили на своих серверах, к которым стараниями Qhost стали обращаться зараженные машины.

Данные, введенные жертвой инфекции на поддельной странице, открывали сообщникам доступ к ее аккаунту. Чтобы получить разовый код для последующего отъема денег, они входили в систему, звонили владельцу счета от имени службы техподдержки банка, жалуясь на сбой, и спрашивали код, присланный банком в виде SMS, для «повтора» операции. Украденные деньги впоследствии обналичивались либо переводились на кошелек WebMoney. От мошеннической схемы с элементами фишинга пострадали свыше 170 клиентов ВТБ из 46 регионов России. Ущерб от действий осужденных составил около 13 млн. рублей.

Расследование, проведенное силами ФСБ и МВД России при активном участии «Лаборатории Касперского», заняло около года. Уголовное дело Попелышей и Сарбина, ныне безработного, принял на рассмотрение один из районных судов Санкт-Петербурга, затем оно было передано в Чертановский суд Москвы. Сообщников обвинили в нарушении ч. 2 ст. 272, ч. 1 ст. 273 и ч. 4 ст. 159 УК РФ (неправомерный доступ к охраняемой законом компьютерной информации; использование и распространение вредоносных программ; мошенничество в крупном размере, совершённое группой лиц по предварительному сговору).

Свою вину подсудимые признали. Помимо условных сроков, братьям назначен испытательный срок 5 лет и по 450 тыс. рублей штрафа, Сарбину ― 4 года под надзором и штраф в размере 200 тыс. руб. В обеспечение гражданского иска, который готовит ВТБ, на имущество осужденных наложен арест. По словам представителей банка, все похищенные средства ВТБ возместил пострадавшим клиентам еще до суда.