Компания Trusteer, специализирующаяся в области корпоративной защиты, обнаружила новую модификацию банковского троянца Gozi, включающую функционал руткита.

Руткиты считаются эффективным средством сокрытия вредоносного кода в системе, однако они редко используются зловредами, ориентированными на кражу финансовой информации. Исключения составляют печально известный Torpig/Sinowal и, пожалуй, Carberp, буткит-компонент которого был обнаружен ESET два года назад и с тех пор иногда всплывает на теневых форумах.

По свидетельству Trusteer, руткит-вариант Gozi заражает MBRи дожидается запуска Internet Explorer для реализации своего основного функционала. Как и прочие банкеры, Gozi осуществляет перехват трафика и способен на лету подменять веб-страницы банковских ресурсов. Эксперты отмечают, что сама программа-шпион видимых изменений не претерпела. Возможно, на черном рынке появился новый руткит, которым и воспользовались разработчики Gozi.

Модульный троянец Gozi, он же Papras, досаждает клиентам банков с 2006 года. По оценкам экспертов, его глобальная популяция превышает 1 миллион, включая 40 тыс. зараженных компьютеров в США, а также инфекции в Германии, Польше, Великобритании, Франции, Италии, Финляндии и Турции. Убытки от шпионской деятельности Goziизмеряются десятками млн. долларов.

В настоящее время в США запущен судебный процесс в отношении трех иностранцев, подозреваемых в создании и распространении этого троянца. Согласно исковому заявлению, идеологом Goziявляется россиянин Никита Кузьмин, который в свое время составил подобие ТЗ и нанял опытного программиста для написания исходного кода. Вначале Кузьмин предоставлял Gozi как SaaS через свой веб-сайт 76 Service, а в 2008 году запустил его в продажу, время от времени нанимая вирусописателей для совершенствования своего детища. Кузьмин был арестован в конце 2010 года и уже сознался в неправомерном вмешательстве в работу компьютерных систем.

Одним из наемников, помогавших Кузьмину дорабатывать Gozi, предположительно является латыш Денис Чаловский, бывший студент Рижского технического университета, а ныне мелкий бизнесмен. По запросу властей США он был задержан латышской полицией и недавно обжаловал решение местных властей об экстрадиции. Предполагаемый хостер C&C серверов Gozi Михай Паунеску (MihaiIonutPaunescu) был арестован в Румынии в конце 2012 года и ожидает решения о выдаче американским властям. По данным ФБР, он предоставлял bulletproof хостинг не только операторам Gozi, но также ботоводам ZeuS, SpyEye и прочих известных зловредов.

Согласно статистике ОАО «АльфаСтрахование», за прошедший год количество случаев незаконного снятия денежных средств со счетов россиян увеличилось в 2 раза. По итогам 2012 года доля таких страховых инцидентов возросла в 1,5 раза, составив 54,8% обращений.

В 2011 году самой частой причиной финансовых потерь для владельцев банковских счетов являлась утрата карты (потеря, хищение или повреждение) — 62,6% от общего количества страховых случаев. На долю несанкционированного вывода средств пришлось 36,8% обращений. В 2012 году эти позиции рейтинга рисков поменялись местами, доля страховых случаев, связанных с утерей пластиковой карты, снизилась до 43,3%. Риски, связанные с получением наличности в банкомате (ограбление в момент снятия денег или в течение 12 часов после снятия), увеличились почти в четыре раза — с 0,6 до 2,1%.

По размеру убытков, понесенных держателями банковских карт в результате страхового инцидента, мошеннические транзакции являются абсолютным лидером. В 2011 году на их долю пришлось 87,8% компенсаций, выплаченных компанией «АльфаСтрахование», в 2012 году — 90,7%. Выплаты по утрате банковской карты в 2011 году составили 11,8%, в 2012-м — 5,4%. Меньше прочих теряют клиенты банков, ограбленные у банкомата (0,4% и 3,9% соответственно).

По данным Института социологии РАН и Ассоциации российских банков (АРБ), пластиковыми картами уже пользуются 66,1% россиян, и этот показатель растет. Аналитики «АльфаСтрахование» относят к группе повышенного риска тех клиентов, которые часто проводят платежи с помощью карты, в том числе за границей и через интернет. Эксперты также отмечают, что процесс возврата утраченных денег может оказаться длительным и трудоемким, причем без гарантии положительного исхода.

Программист из Тольятти, писавший на заказ веб-инжекты для троянской программы-банкера Carberp, осужден условно.

Согласно материалам дела, Александр Пакичев, 1971 года рождения, публиковал в интернете объявления, предлагая свои услуги по созданию модификаций Carberp, ориентированных на конкретные банки. За полгода он продал более десятка таких программ, получая с заказчиков в среднем по 9 тыс. рублей (по другим данным, от 400 до 1500 долларов). После запуска на зараженной машине Carberp воровал персональные данные жертвы и ее идентификаторы к аккаунту в системе ДБО, а для обхода двухфакторной аутентификации троянец на лету изменял страницу регистрации (веб-инжектирование) и запрашивал у жертвы номер мобильного телефона. Украденная зловредом информация позволяла злоумышленникам клонировать SIM-карты в салонах сотовой связи и проводить мошеннические транзакции от имени своих жертв.

Прошло уже три года со времени публикации у нас в блоге статьи «В стаде банкеров прибыло», описывающей первую вредоносную программу, которая атакует пользователей программного обеспечения для электронного банкинга компании «БИФИТ». В настоящее время аналогичным функционалом обладает несколько вредоносных программ, в том числе:

• Trojan-Spy.Win32.Lurk
• Trojan-Banker.Win32.iBank
• Trojan-Banker.Win32.Oris
• Trojan-Spy.Win32.Carberp
• Trojan-Banker.Win32.BifiBank
• Trojan-Banker.Win32.BifitAgent

Несмотря на уже не уникальный функционал, последняя программа из этого списка все-таки привлекла наше внимание.

Слова и строки, используемые во время работы программы Trojan-Banker.Win32.BifitAgent

Данный зловред обладает рядом особенностей, которые отличают его от остальных подобных программ.

Полиция Словении произвела 5 арестов и 12 обысков в связи с расследованием хищения около 1 млн. евро с банковских счетов местных представителей малого бизнеса. С одного из задержанных подозрения были впоследствии сняты.

В середине прошлого года в национальную CERT (Computer Emergency Readiness Team – служба быстрого реагирования на компьютерные инциденты) стали поступать отчеты об атаках с применением вредоносных программ, отправляемых жертве в целевом спаме. Письма-ловушки явно предназначались счетоводам мелких компаний, так как имели вид уведомления о задолженности, блокировке счета или об изменениях в налоговом законодательстве. Все эти подделки преследовали единственную цель – заставить встревоженного получателя открыть вложенный zip-файл, содержимое которого эксперты SI-CERT опознали как троянца. Как показал анализ, данный зловред умеет воровать и отсылать своему хозяину данные, вводимые в веб-формы. Он также устанавливает на зараженный компьютер RAT-модуль, позволяющий удаленно контролировать активность жертвы.

Украв с помощью троянца идентификаторы к банковскому аккаунту, злоумышленники дожидались момента, когда жертва забывала вынуть из считывающего устройства смарткарту с ключом авторизации, и начинали выкачивать деньги с корпоративного счета на подставной. Разовые отчисления составляли от пары тысяч до нескольких сотен тысяч евро. Запросы на мошеннические транзакции грабители обычно отсылали по пятницам или перед праздниками, чтобы те попали в очередь на обработку в нерабочее время. Разумеется, успех при этой схеме возможен лишь в том случае, если компьютер жертвы остается включенным, а смарткарта – вставленной в ридер.

Расследование данной мошеннической схемы, проведенное словенской полицией совместно с SI-CERT, Управлением по борьбе с финансовым мошенничеством (Urad Republike Slovenije za preprečevanje pranja denarja, UPPD) и Ассоциацией словенских банков, позволило выявить 48 пострадавших. Общая сумма потерь составила свыше 950 тыс. евро и могла бы достигнуть двух миллионов, однако многие мошеннические транзакции были вовремя заблокированы или отменены. Украденные деньги злоумышленники перевели на счета 25 «дропов», заблаговременно нанятых в интернете от имени несуществующей британской страховой компании.

В 2012 году словенское UPPD, работающее под эгидой министерства финансов и во взаимодействии с полицией и финансистами, пресекло 15 крупных финансовых махинаций, осуществлявшихся с привлечением компьютерных технологий. Совокупные потери по ним составили около 1,7 млн. евро. Из этой суммы блюстителям правопорядка удалось спасти немногим меньше половины, отследив незаконное движение средств и заморозив счета мошенников. В текущем году эксперты UPPD расследовали еще 7 таких дел и вернули потерпевшим 290 тыс. евро из украденных 393 тысяч.

По данным компании Digital Security, питерского специалиста по аудиту информационной безопасности, все мобильные клиенты российских банков для iOS и Android содержат хотя бы одну уязвимость, позволяющую перехватывать данные при обмене клиента с сервером или напрямую эксплуатировать уязвимости мобильного устройства и самого приложения.

Эксперты в течение года тестировали бесплатные платежные iOS- и Android-приложения сорока российских банков, использующие сетевые средства доступа к счету, и пришли к выводу, что разработчики такого софта не уделяют достаточно внимания вопросам безопасности. Cтатический анализ кода клиентской части приложений, проведенный по методу черного ящика, показал, что 35% мобильных банков для iOS и 15% мобильных банков для Android содержат уязвимости, связанные с некорректной работой SSL, т.е. позволяют перехватывать платежные данные по методу «человек посередине». 22% приложений для iOS и 20% для Android потенциально уязвимы к SQL-инъекциям, что создает риск кражи информации о платежах с помощью нескольких несложных запросов. 70% приложений для iOS и 20% приложений для Android содержат XSS-уязвимости; 45% iOS-приложений уязвимы к XXE-атакам (XML eXternal Entity, уязвимость к XML-инъекциям). Последние особо опасны для разлоченных устройств (подвергнутых столь популярному в России jailbreak’у). Наконец, около 22% Android-клиентов неправильно используют механизмы межпроцессного взаимодействия, позволяя сторонним приложениям обращаться к критичным банковским данным.

Уроженец Нигерии, разорявший британские онлайн-счета, получил 2,5 года. Это третий приговор к лишению свободы, вынесенный по делу о масштабном фишинге на территории Великобритании.

По оценке экспертов, в минувшем году мошеннические транзакции в системах «Клиент-Банк» обошлись украинским финансистам и держателям счетов в сумму, превышающую 116 млн. гривен (около 427 млн. рублей). К счастью, 75% украденных средств удалось вернуть законным владельцам.

Эти цифры были озвучены на киевской пресс-конференции «Результаты борьбы с киберпреступностью в Украине. Статистическая информация 2012-2013 гг.», проведенной 1 февраля украинской Межбанковской ассоциацией членов платежных систем (ЕМА) и Управлением по борьбе с киберпреступностью МВД Украины. Эксперты отметили, что с августа 2012 г. уровень мошенничества, связанного с интернетом и системами «Клиент-Банк», резко повысился. Количество махинаций с платежными картами в интернете за минувший год увеличилось в 3 раза ― в основном, по вине вредоносного ПО. При этом киберпреступность все чаще выходит за рамки отдельного государства.

Скимминг в Украине актуален, но не в такой мере. По данным ЕМА, в прошлом году местные блюстители правопорядка обнаружили в банкоматах 80 считывающих устройств-скиммеров, снабженных видеокамерой, в 2011 году ― 45. В России, как отмечают эксперты, количество таких находок за год выросло более чем на 480%.

Украинским коллегам вторят россияне-участники Инфофорума-2013 ― крупнейшей всероссийской конференции в области информационной безопасности, прошедшей также в начале февраля. Темпы роста числа высокотехнологичных преступлений в России по-прежнему высоки, за минувший год этот прирост составил 28%. При этом наиболее массовыми и прибыльными, по данным российского МВД, являются такие виды киберпреступлений, как мошенничество и кража денег со счетов физических и юридических лиц. В 2011 г. управление «К» МВД зарегистрировало 2123 таких преступлений на территории России, в 2012-м ― 3645.

Сотрудники полицейского подразделения по борьбе с экономическими преступлениями на территории Индии пресекли деятельность криминальной группировки, подозреваемой в совершении ряда краж с банковских онлайн-счетов. В результате расследования, проведенного по жалобе потерпевшего, задержаны и заключены под стражу двое местных жителей ― предположительно ключевые участники мошеннической схемы отъема денег в обход системы двухфакторной аутентификации.

Следствием установлено, что сетевые грабители покупали данные клиентов онлайн-банкинга на черном рынке и использовали их для перекачки денег на подставные счета. Чтобы жертва вовремя не обнаружила недостачу, мошенники от ее имени блокировали у оператора сотовой связи SIM-карту, привязанную к банковскому аккаунту, и оформляли дубликат, который устанавливали на свой телефон. После регистрации новой SIM в системе онлайн-банкинга злоумышленники получали возможность перехватывать SMS с одноразовыми паролями к транзакциям, высылаемые банком клиенту, а также предупреждения о подозрительных движениях средств на счету.

Действовать приходилось быстро: обнаружив, что мобильный телефон «умер», жертва пыталась проверить состояние счета и сервиса у оператора сотовой связи. Однако практика показывает, что убедить сервис-провайдера в подлоге порой бывает очень трудно. Эксперты Sophos помнят аналогичный случай 3-летней давности, когда оператор долго отказывал австралийской жертве кражи личности в повторной замене SIM-карты, заподозрив законного абонента в обмане.

По оценке делийской полиции, жертвами описанной выше мошеннической схемы стали многие жители столицы и других городов страны. Заявитель, по жалобе которого было начато расследование, потерял со счета 2 млн. рупий (свыше 37 тыс. долларов).

Мы уже не раз и не два писали об атаках вида Man-in-the-Mobile, целью которых является кража кодов авторизации банковских операций, передаваемых в SMS-сообщениях. До недавнего времени было известно о мобильных версиях двух печально известных банковских троянцев ZeuS (ZeuS-in-the-Mobile, ZitMo) и SpyEye (SpyEye-in-the-Mobile, SpitMo), которые занимались непосредственно кражей SMS-сообщений с кодами от банка. Троянцы ZitMo и SpitMo работают в связке со своими десктопными 'братьями', так как без них они превращаются в обычных SMS-шпионов. Также стоит отметить, что за 2 с лишним года существования подобные атаки были зафиксированы только в некоторых европейских странах: Испания, Италия, Германия, Польша и другие.

Но с появлением мобильной версии троянца Carberp (мы детектируем его как Trojan-Spy.AndroidOS.Citmo, то есть Carberp-in-the-Mobile) подобные атаки стали реальностью и в России. Ни для кого не секрет, что сегодня онлайн-банкинг в России быстро набирает популярность среди пользователей банковских услуг. Банки, в свою очередь, активно развивают данный сервис, в частности внедряя различные способы авторизации операций (в том числе, и mTAN'ы).

Версия троянца Carberp для Windows работает по такому же, как и ZeuS, принципу. Если пользователь, используя зараженный Carberp'ом компьютер, пытается зайти на страничку своего онлайн-банка для авторизации, то зловред модифицирует ее таким образом, что логин и пароль будут отправлены на удаленный сервер злоумышленника вместо сервера банка.

Но помимо логина и пароля злоумышленникам по-прежнему необходимы коды подтверждения для осуществления любого перевода со счета жертвы. Именно поэтому одна из модификаций Carberp (Trojan-Spy.Win32.Carberp.ugu, детектируется нами с 11 декабря) модифицирует страницу онлайн-банкинга, предлагая пользователю скачать и установить программу, якобы необходимую для входа в систему. Причем пользователь может получить ссылку в SMS-сообщении, указав свой номер телефона, либо самостоятельно отсканировать QR-код и получить ссылку:

На скриншоте видно, что под угрозой находились пользователи одного из самых популярных банков в России. 'Сбербанк' 12 декабря вывесил уведомление об этой атаке на своем веб-сайте. Ссылка, зашифрованная в QR-коде, ведет на приложение SberSafe (Trojan-Spy.AndroidOS.Citmo), которое как минимум с 30 ноября находилось в магазине приложений Google Play.