Русские атакуют

Фото: Сергей Кузнецов / РИА Новости

Российские киберпреступники создали крупный ботнет, который крадет данные клиентов американских банков

Михаил Карпов

9 октября, 2014 12:13

4 мин

Специалистам компании Proofpoint, которая занимается вопросами безопасности в интернете, удалось обнаружить группировку киберпреступников, промышляющих кражей банковских данных пользователей из США и европейских стран. В основном атаке подвергались американские компьютеры и онлайн-аккаунты клиентов американских банков. Исследователи обнаружили, что интерфейс программного обеспечения, используемого преступниками, написан на русском языке. На основе этого факта, а также наличия русскоязычных документов, в которых хакеры предлагают свои услуги заинтересованным лицам, эксперты заключили, что группировка состоит из россиян. В задачи исследователей не входило раскрытие личностей ее членов, а также обращение в правоохранительные органы.

Для реализации своих намерений злоумышленники создали крупный ботнет (сеть инфицированных компьютеров), где на момент составления доклада исследователями Proofpoint (PDF) было зарегистрировано более полумиллиона машин. С помощью этой сети хакеры смогли перехватить информацию примерно о 800 тысяч денежных переводов и скомпрометировать личные банковские данные пользователей, совершавших операции.

Киберпреступники использовали вредоносное ПО Qbot, способное перехватывать платежные данные финансовых транзакций, зашифрованных с помощью технологии SSL/TLS. Получить такую информацию без ключа невозможно, но Qbot крадет ее уже в расшифрованном виде напрямую из браузера, используя какую-либо из известных уязвимостей.

В качестве отправной точки для заражения киберпреступники использовали сайты, основанные на системе публикаций WordPress. Они покупали списки нелегально полученных паролей от административной панели этих ресурсов и инициировали с помощью встроенных инструментов системы публикаций рассылку на адреса электронной почты пользователей сайта.

Письма содержали ссылку на подставной ресурс, при заходе на который определялся факт наличия или отсутствия известных уязвимостей в браузере и операционной системе цели атаки. При их обнаружении на машину пользователя устанавливалась вредоносная программа, подключавшая его компьютер к ботнету.

В докладе отмечается, что российские злоумышленники помимо кражи банковских данных пользователей также монетизировали зараженные ПК. Группировка продавала доступ к своему серверу, контролирующему сеть «компьютеров-зомби». Клиенты киберпреступников с помощью административной панели могли бронировать управляемые ботнетом машины для анонимизации своих действий в интернете. Помимо этого они получали доступный и действенный инструмент для рассылки и внедрения своего вредоносного кода.

Злоумышленники предлагали своим клиентам безлимитный доступ к ботнету за определенную плату. Например, один день стоил $10, семь дней — $50, а месяц — $100. Оплату предлагалось производить с помощью электронной системы расчетов WebMoney. При этом зайти в контрольную панель мог кто угодно, и этот факт позволил исследователям из Proofpoint собрать детальную статистику по деятельности группировки.

Специалисты по безопасности выяснили, что большая часть пользователей инфицированных компьютеров (52%) работали под управлением Windows XP. В апреле 2014 года компания Microsoft прекратила техническую поддержку этой системы. Новые уязвимости ОС продолжают обнаруживать, а обновления, устраняющие их, не выпускаются.

Выяснилось также, что большинство пользователей работало в браузере Internet Explorer. Как пишут исследователи, этого стоило ожидать, так как любая современная версия Windows поставляется с предустановленным IE. Они также указывают на большое количество уязвимостей этого браузера.

Исследователи отмечают, что большинство администраторов сайтов на основе WordPress могут избежать взлома, просто своевременно сменив пароль. По их словам, на многих ресурсах владельцы оставляют пароль системы публикаций, установленный по умолчанию. Что касается финансовых последствий применения ботнета, то, по мнению составителей доклада, ущерб от взлома банковских учетных записей может составлять десятки миллионов долларов.

ТЕГИ

поддержать проект

Для поднятия хорошего настроения, вы можете угостить наших редакторов чашечкой кофе

Маленькая чашка кофе