Трояны заражают банковские IT-системы 500 тыс раз ежемесячно

Трояны заражают банковские IT-системы 500 тыс раз ежемесячно

Рынок финансовых мошенничеств становится все более организованным, а трояны, нацеленные на электронные банковские системы, - все более изощренными. За первые три квартала 2013 г. число финансовых троянов возросло в три раза, и на сегодняшний день они являются одним из самых распространенных типов угроз. Для того чтобы лучше понять масштабы и механизмы работы финансовых троянов, эксперты Symantec проанализировали более 1000 конфигурационных файлов восьми троянских программ, направленных против банковских систем.

«Потому что там были деньги!» - такой ответ якобы дал известный в США грабитель банков, Вилли Саттон, когда его спросили, почему он совершал свои преступления. И хотя на самом деле Саттон этих слов не говорил, они - чистая правда.

Это также верно, когда речь заходит о современных вредоносных программах в сфере финансов. Электронные банковские системы – это то место, где сейчас осуществляются все денежные операции, и именно поэтому они привлекают внимание злоумышленников. Не является неожиданностью так же и то, что трояны, нацеленные против электронных банковских систем, становятся все более изощренными. Одним из таких примеров является недавно упомянутый специалистами Symantec троян Neverquest, преемник Trojan.Snifula, который впервые появился еще в 2006 г., однако применяется до сих пор.

В 2007 г. появился продвинутый финансовый троян под названием Zbot (Zeus). Он был создан Российским вирусописателем под ником Slavik/Monstr и продавался на черном рынке за тысячи долларов. Два года спустя у этого трояна появился конкурент под названием Spyeye, автором которого был некий Gribodemon. Цена нового продукта была более доступной и составляла $700. Подпольный рынок финансовых троянов процветал.

С тех пор рынок претерпел значительные изменения: в 2011 г. исходный код Zeus был украден и выложен в открытый доступ, что привело к резкому обвалу его цены. С этого момента начало появляться множество версий Zeus, включая доработанные Ice IX и Citadel, которые стали бороться за рынок. Банды киберпреступников также создали альтернативные варианты Zeus, предназначенные для частного использования, как, например, знаменитый Gameover, который появился в июле 2011 г. Через месяц после публикации исходного кода Zeus некто Xylibox путем взлома получил доступ к исходному коду Spyeye, что привело к аналогичному обвалу цены. На данный момент какая-либо информация о дальнейшей разработке двух этих троянов их создателями отсутствует. Многие нынешние финансовые трояны позаимствовали приемы и архитектуру Spyeye и Zeus.

К маю 2003 г. существовало около 20 различных банковских троянов. И по мере того как финансовые учреждения укрепляли защиту и системы выявления мошенничеств, злоумышленники приспосабливались. С тех пор появилось множество банковских троянов. К сожалению, внедрение новых, надежных технологий защиты происходит довольно медленно, и злоумышленники успешно пользуются уязвимостями нынешних, пока еще несовершенных, механизмов. За последние несколько лет трояны стали значительно более изощренными, и именно финансовые трояны на сегодняшний день являются одним из самых распространенных типов угроз.

За первые девять месяцев 2013 г. число случаев заражения финансовых учреждений увеличилось на 337%. Это почти полмиллиона заражений в месяц. Для того чтобы лучше понять масштабы и механизмы работы финансовых троянов, эксперты Symantec проанализировали более 1000 конфигурационных файлов восьми троянских программ, направленных против банковских систем. В этих файлах хранится информация об атакуемых URL-адресах, а также о стратегии атаки. Стратегии варьируются от простого перенаправления пользователей до сложных веб-инжектов (Web-injects), способных автоматически осуществлять транзакции в фоновом режиме. Проанализированные конфигурационные файлы содержали более 2000 адресов, принадлежащих 1486 организациям-жертвам, из которых почти 95% – финансовые учреждения. Оставшиеся 5% – это компании, предлагающие онлайн-услуги, например СМИ, сайты поиска работы, аукционы и сервисы электронной почты. Это указывает на широкий охват таких троянов: злоумышленники атакуют любые цели, способные принести прибыль. Объектами атак являются финансовые учреждения практически всех типов – от коммерческих банков до кредитных кооперативов. Основной целью злоумышленников являются сайты классических банков, однако, помимо этого, в качестве потенциальных объектов атак рассматриваются и  учреждения нового типа. В попытках максимизировать прибыль злоумышленники начинают атаковать популярные и, соответственно, прибыльные сети финансовых транзакций, такие как американская Automated Clearing House, а также европейская Single Euro Payments Area (SEPA), подвергшаяся атаке совсем недавно.

Злоумышленники выходят и на новые рынки, расширяют сферу своей деятельности и ищут новые цели, против которых бы работали существующие приемы. В таких регионах, как Ближний Восток, Африка и Азия, число объектов атак продолжает расти. При этом густонаселенные и богатые районы представляют для них больший интерес, и именно поэтому такие районы, как Саудовская Аравия, Объединенные Арабские Эмираты, Гонконг и Япония, недавно подверглись многочисленным атакам.

Современные финансовые трояны отличаются невероятной гибкостью и поддерживают широкий спектр приемов, помогающих упростить осуществление мошеннических транзакций в различных банковских системах. Такие трояны во многом схожи между собой. Так, например, техника MITB (Man in the Browser, «Человек-в-браузере») характерна для всех рассмотренных экземпляров. Степень же изощренности атаки зависит от уровня защищенности конкретного учреждения - в конечном итоге, выбор трояна зависит от финансовых ресурсов злоумышленника и того, насколько продвинута система защиты атакуемого учреждения.

По данным исследования, наиболее часто атакуемый банк расположен на территории США, и его данные присутствовали в 71,5% всех проанализированных конфигурационных файлов. Другие банки из Топ-15 самых атакуемых были обнаружены более чем в 50% всех конфигурационных файлов. Это значит, что каждый второй троян был нацелен хотя бы на один из этих банков. Вероятно, такой высокий показатель связан с тем, что эти URL выступают в качестве примеров при конфигурировании троянов. Другая причина может состоять в том, что эти трояны все еще работают против этих организаций, т. к. не все фирмы успели обновить свои системы защиты.

Конечно, большинство организаций осведомлены об этих угрозах и внедряют новые механизмы защиты, способные блокировать подобные атаки. К сожалению, на внедрение новых технологий требуются время и средства, так что здесь злоумышленники всегда будут обладать преимуществом. В конечном итоге, слабым звеном любой финансовой операции остается пользователь, и даже лучшие технологии не гарантируют защиты от атак, использующих методы социальной инженерии. Можно ожидать, что в ближайшие годы троянские атаки на финансовые учреждения продолжатся.

Ключевые пункты исследования:

  • Объектами атак с использованием финансовых троянов являются более 1400 финансовых учреждений;
  • Более 50% троянов атаковали топ-15 финансовых учреждений мира;
  • Самый «популярный» банк расположен в США, и он был атакован 71,5% из всех проанализированных троянов;
  • Распознаны две основные стратегии атаки: «сфокусированная атака» и «крупные мазки»;
  • Объектами атак стали учреждения в 88 странах;
  • Продолжается расширение зоны действий мошенников за счет регионов Ближнего востока, Африки и Азии;
  • Теперь объектами атак становятся не только электронные банковские системы, но и компании, занимающиеся иными видами деятельности;
  • Существующие приемы совершенствуются: обеспечивается автоматизация и повышается точность;
  • За первые три квартала 2013 г. число финансовых троянов возросло в три раза.
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Инфостилер Jarka прожил год на PyPI под видом инструментов интеграции ИИ

Эксперты «Лаборатории Касперского» нашли на PyPI два схожих пакета, якобы реализующих доступ к API популярных ИИ-моделей — GPT-4 Turbo и Claude AI. Анализ показал, что истинной целью в обоих случаях является внедрение зловреда JarkaStealer.

Вредоносные библиотеки gptplus и claudeai-eng были загружены в репозиторий Python-кодов в ноябре прошлого года, притом из-под одного и того же аккаунта. До удаления с подачи Kaspersky их скачали более 1700 раз пользователи из 30 стран (в основном жители США, Китая, Франции, Германии и России).

 

Описания содержали инструкции по созданию чатов для ИИ-ботов и примеры работы с большими языковыми моделями (БЯМ, LLM). Для имитации заявленной функциональности в код был встроен механизм взаимодействия с демопрокси ChatGPT.

При запуске параллельно происходит загрузка с GitHub файла JavaUpdater.jar — инфостилера Jarka. При отсутствии у жертвы софта Java с Dropbox скачивается JRE.

Внедряемый таким образом вредонос умеет выполнять следующие действия в системе:

  • собирать системную информацию;
  • воровать информацию из браузеров;
  • прерывать процессы Google Chrome и Microsoft Edge (чтобы вытащить сохраненные данные);
  • отыскивать сессионные токены в Telegram, Discord, Steam, чит-клиенте Minecraft;
  • делать скриншоты.

Украденные данные архивируются и передаются на C2-сервер. После этого файл с добычей удаляется с зараженного устройства, чтобы скрыть следы вредоносной активности.

Как оказалось, владельцы JarkaStealer продают его в Telegram по модели MaaS (Malware-as-a-Service, «вредонос как услуга»), однако за доступ уже можно не платить: исходники были опубликованы на GitHub. В рекламных сообщениях и коде зловреда обнаружены артефакты, позволяющие заключить, что автор стилера владеет русским языком.

«Обнаруженная кампания подчёркивает постоянные риски, связанные с атаками на цепочки поставок, — отметил эксперт Kaspersky GReAT Леонид Безвершенко. — При интеграции компонентов с открытым исходным кодом в процессе разработки критически важно проявлять осторожность. Мы рекомендуем организациям внедрять строгую проверку целостности кода на всех этапах разработки, чтобы убедиться в легитимности и безопасности внешнего программного обеспечения или внешних компонентов».

Тем, кто успел скачать gptplus или claudeai-eng, рекомендуется как можно скорее удалить пакет, а также обновить все пароли и сессионные токены.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru