Банковский троян прячет данные о воровстве денег

Исследователи из Finjan обнаружили троянскую программу, умеющую не только воровать деньги с банковских счетов владельцев зараженных компьютеров, но и скрывать от них свои действия. За три недели создатели этого вредоноса сумели "заработать" порядка 300 000 евро, сообщает Wired.

Троянцы, проводящие нелегальные транзакции в системах онлайн-банкинга, уже давно не новость. Однако когда пострадавший пользователь обнаруживает странные утечки крупных сумм со своего счёта, дальнейшее воровство денег оттуда обычно вскоре становится невозможным. Это вынудило злоумышленников прибегнуть к новой тактике.

По данным исследовательского центра Finjan, злоумышленники, стоящие за новой атакой, пользуются известным хакерским инструментарием LuckySpoilt. При помощи зараженных веб-сайтов он позволяет внедрить ту или иную вредоносную программу примерно на каждый 15-й компьютер. В данном случае на целевые машины устанавливается троян URLzone.

URLzone делает ряд типичных для банковских троянов действий: отслеживает логины и пароли к известным ему системам онлайн-банкинга, делает скриншоты веб-страниц этих систем и ворует деньги со счетов пользователей. Гибкие настройки системы контролирующего центра ботнета позволяют красть со счетов сравнительно небольшие случайные суммы, с тем чтобы не вызывать подозрения у банковских систем защиты от мошенничества.

Что до того, чтобы не вызвать подозрений у пользователей-жертв, то для этих целей злоумышленниками ведётся учёт похищенных средств. При попытке войти в систему онлайн-банкинга с зараженного компьютера троянец на лету подменяет данные о транзакциях, так чтобы пользователь не заметил, что с его счёта была снята одна или несколько крупных сумм.

В своём отчёте (PDF) специалисты Finjan приводят пример, когда вместо транзакции, при которой со счёта было снято более 8,5 тысяч евро, пользователю показывалась транзакция в 54 евро; соответственно корректировался и остаток на счету. Таким образом, пользователь может не заметить подозрительных движений по счёту, что позволяет злоумышленникам продолжать "доить" его в течение длительного времени.

Отчёт Finjan показывает, что, с 11 августа по 1 сентября URLzone, нацеленный на работу с некоторыми банками Германии, сумел снять со счетов жертв порядка 300 тысяч евро. Деньги при этом выводились через "денежных мулов" — подставных лиц, которые были уверены, что их наняли для легальной работы.

Отмечается также, что контролирующий центр данного ботнета находится на Украине и что используемый хакерами инструментарий можно приобрести на чёрном рынке всего за 100-300 долларов.

Сотрудники Finjan передали собранную ими информацию в правоохранительные органы Германии.