Исследовательская ИТ-компания Finjan опубликовала подробности новой интернет-атаки с использование ранее неизвестного банковского троянца URLzone, созданного и управляемого группировкой злоумышленников на территории Украины. Новый троянец создан таким образом, что он не просто крадет банковские реквизиты, а реально снимает деньги со счетов, когда же пользователь заходит в систему онлайн-банкинга, то троянец показывает ему поддельные цифры на балансе.

По словам представителей компании, троянец имеет ряд функций, созданных для обмана систем обнаружения мошенничества. Ю. Бен-Ицхак, технический директор Finjan, говорит, что троянец проводит нестандартные транзакции, поэтому системы безопасности банков не всегда срабатывают. К примеру, новый софт на лету способен рассчитать сколько денег можно сравнительно безопасно снять, исходя из общей суммы, доступной для снятия.

В Finjan сообщают, что обнаружили троянец, когда работали в сотрудничестве с рядом немецких банков, которые все-таки заподозрили неладное в поведении счетов. Также в компании совершенно определенно утверждают, что управление троянцем осуществляется с территории Украины и там же расположены командные серверы URLzone.

«Мы уже проинформировали немецкие службы безопасности и полицию», – говорят в компании. «Это троянец следующего поколения, он представляет собой начало нового тренда, когда более сложные коды злоумышленников будут пытаться ввести банковские системы безопасности в заблуждение».

В Finjan рассказали, что отследили процесс связи троянца с командным центром и перехватили все данные, так как передача ведется по незашифрованным каналам. Известно, что на сервере установлена система LockySploit, выполняющая роль административной консоли, управляющая троянцем и собирающая статистику.

Согласно оценкам ИТ-экспертов, на сегодня зараженные троянцем сайты посетили около 90 000 человек, из них 6 400 человек все-таки загрузили злонамеренные коды (7,5%). Из этого числа около сотни человек пользовались онлайн-банкингом. Со ссылкой на представителей только немецких банков Finjan сообщает, что украинские хакеры похитили около 300 000 евро. Не исключено, что злоумышленники работали и в других странах.

Алгоритм работы троянца следующий: потенциальная жертва заражает свой компьютер вредоносным кодом через открытие спам-вложений или загрузку вредоносного кода с сайта. Далее система бекдоров, проникшая на ПК, инсталлирует в фоновом режиме сам троянец, как альтернативный вариант авторы троянца пытаются отправить троянец напрямую через ту или иную уязвимость в браузере.

Далее, когда пользователь ПК заходит в систему онлайн-банкинга, троянец автоматически перехватывает данные по балансу и вычисляет минимальные и максимальные диапазоны возможного снятия денег, после чего в режиме реального времени «подставляет» пользователю уже обновленную сумму баланса (за вычетом снятой суммы).

«Троянец способен самостоятельно связываться с банковской системой и получать ответ от нее, минуя его отображение в браузере», – говорят в компании.

Переводятся деньги на счета так называемым «мулам» – пользователям, специально открывшим счета для аккумулирования денег. Сами мулы потом передают деньги хакерам, снимая с суммы свой процент. Иногда под видами мулов фигурируют некоторые сотрудники самих же банков.

Одновременно со снятием денег троян также пытается «почистить» свои следы работы на ПК (удаляет всю историю) и пытается удалить историю банковских транзакций (если это поддерживается системой банкинга).