Троянцы научились отсылать украденные пароли через «аську» // 02 Января 2013

Исследователи из лаборатории FraudAction Research Lab компании RSA обнаружили новые особенности в поведении троянца Zeuss, известного также под названиями Torpig и Mebroot. Теперь этот троянец отправляет похищенные реквизиты банковских счетов с помощью протокола Jabber, который обычно используется для интернет-пейджеров.

То, что похитители банковских реквизитов переходят на инструменты ускоренной передачи данных, является серьезным сигналом для специалистов по безопасности, а также для конечных пользователей. Все больше и больше банков переходят на одноразовые пароли для выполнения транзакций. Злоумышленники отреагировали на новую технологию и теперь получают возможность похищения денег до того, как пользователь завершить очередной сеанс работы с банковским веб-приложением.

Раньше троянцы отправляли похищенные пароли и реквизиты на специальный сервер-«отстойник», где их потом находили злоумышленники. Похищенные данные перепродавались, либо использовались напрямую для похищения денег со счетов добропорядочных граждан. Развитие онлайн-банкинга привело к тому, что время существования похищенных данных сокращается до минимума – пока злоумышленники, которые не всегда имеют выход в Интернет, доберутся до «отстойника», данные теряют актуальность.

Переход на протоколы Интернет-пейджеров символизирует новый этап в развитии троянцев – специальные PHP-сценарии вируса отправляют украденную информацию напрямую преступникам. Теперь реакция злоумышленников может быть мгновенной: вы заходите на сайт своего банка с зараженного компьютера, а в это время преступники уже видят ваши реквизиты в специальной программе, получая некоторое время для похищения денег с вашего счета с использованием актуального одноразового пароля. Пока вы просматриваете состояние своего счета, у злоумышленников хватает времени для выполнения всех своих действий от вашего имени.

Такое важное изменение в поведении троянцев поднимает важность антивирусов и других инструментов для борьбы с вредоносным ПО на совершенно новый уровень – заражение может оказаться совершенно незаметным. Кроме того, в новых троянцах используются гибкие сценарии и дублирование информации по электронной почте. Специалистам RSA удалось обнаружить две разновидности троянца Zeus – одна охотилась за реквизитами пользователей только одного финансового учреждения в США, а другая - за реквизитами сразу в пяти банках. Интересно, что конкурирующий троянец под названием Sinowal применяет такую же технологию ускоренной отправки похищенных реквизитов еще с прошлого года.

По материалам сайта The Register.