Zeus: вирус, который грабит банки Юрий Ильин

Zeus: вирус, который грабит банки

Юрий Ильин

Опубликовано 11 августа 2010 года

Новая версия трояна Zeus, ориентированного на хищение денег с банковских счетов, уже увела у граждан Великобритании около 1 миллиона евро, сообщает CNet со ссылкой на компанию M86 Security.

Только в одном из британском банков (M86 не упоминает, в каком именно) пострадали в общей сложности 3000 счетов. При этом банк распространял специальные средства защиты от мошенничества, но либо пострадавшие ими пренебрегли, либо средства оказались неэффективными.

Вероятны оба варианта, поскольку троян действует по крайне хитроумной многоуровневой схеме, включающей несколько способов заражения, кражи личных данных и, в конечном счёте, незаметного перевода денежных средств на чужие счета.

Стандартные средства безопасности, предлагаемые банками, часто оказываются неэффетивными. В частности, двухуровневая система авторизации, включающая одноразовые пропуска и идентификационные жетоны, не может остановить Zeus, поскольку он начинает действовать уже после того, как пользователь получает доступ к своему счёту.

Основным источником заражения оказываются вредоносные баннеры, располагающиеся как на специально для этого созданных сайтах, так и во вполне легитимных хостингах. Вредоносные баннеры распространялись даже через Yieldmanager.com. Баннеры перенаправляют пользователей к вредоносным тулкитам (Eleonore Exploit Toolkit или Phoenix Exploit Toolkit), которые отправляют троян и клавиатурный «жучок» уже непосредственно на пользовательские компьютеры — через найденные уязвимости в браузерах, Adobe Reader и Java.

По данным M86, около 280 тысяч машин — компьютеры на базе Windows, ещё 3000 — «Маки»... А вот дальше начинается самое интересное: M86 обнаружили 300 заражённых трояном Sony PlayStation и семь Nintendo Wii. Немного, но всё-таки.

Троян обменивается зашифрованными данными с контрольным сервером, расположенным где-то в Восточной Европе, получая инструкции о дальнейших действиях, и ждёт возможности их исполнить.

Когда пользователь обращается к своему банковскому счёту, keylogger отправляет на контрольный сервер его авторизационные данные (включая дату рождения). Как только пользователь проходит авторизацию, троян получает с контрольного сервера код JavaScript, которым подменяет код формы запроса на сервере банка.

При этом троян анализирует количество средств на счету жертвы и определяет, сколько можно умыкнуть, не спровоцировав автоматическую защиту банка на активные действия.

Деньги переводятся на счета т.н. «денежных мулов» — людей, предоставивших свои счета для подобных операций. В М86 говорят, что эти люди зачастую используются втёмную, не зная, откуда, куда и кем через их счета переводятся деньги.

В этой статье на SecureList отдельная секция посвящена именно «мулам» (или «дропам»). Там отдельно упоминается, что хотя их вербуют на вполне, казалось бы, легальную работу, закон рассматривает их как соучастников махинаций, и, как следствие, в случае, если их выследят, отвечать придётся по всей строгости местного законодательства.

От «мулов» деньги уже переходят непосредственно злоумышленникам, обыкновенно — в другие страны.

ZeuS — крайне хитроумно выполненная деструктивная программы. Его способности к полиморфизму значительно затрудняют обнаружение трояна антивирусами, с чем, вероятно, и связаны размеры его ботнета — в начале года только в США насчитывалось 3,6 млн. заражённых компьютеров. Среди функций вируса — возможность фактически ликвидировать системный реестр Windows, что означает полное обрушение операционной системы.

По данным «Лаборатории Касперского», в конфигурационных файлах ZeuS встречаются адреса платёжных сервисов QIWI, «Яндекс.Деньги» и WebMoney. Кроме того, ZeuS уже успели «навострить» против «Альфа-Банка», Citibank и «Промсвязьбанка», активно продвигающих свои услуги интернет-банкинга.

Защититься от ZeuS можно соблюдая стандартные правила «гигиены»: не открывать подозрительные ссылки, даже если они пришли от знакомых по ICQ или через социальные сети (ZeuS особенно любит Facebook), не посещать подозрительные сайты и ставить все обновления ПО, связанные с безопасностью. Ну, и просто соблюдать максимальную бдительность.

К оглавлению