URLzone - takiego trojana jeszcze nie widziałeś

.. / Biznes / Bankowość elektroniczna: E-banki
.. / Bezpieczeństwo / Bezpieczeństwo sieci: Wirusy/robaki/konie trojańskie

IDG.pl/Ludwik Krakowiak

Eksperci firmy Finjan zidentyfikowali nowy typ trojana, służącego do kradzieży środków z internetowych kont bankowych. URLzone reprezentuje nową generację robaków - może nie tylko wykraść dane logowania do konta, ale również obliczyć - w oparciu o stan konta - ile pieniędzy wykraść oraz spreparować saldo rachunku.

Ranking PC World - pakiety Internet Security

Fragment kodu trojana URLzone zwierający szczegółowe instrukcje odnośnie sposobu wyliczania kwoty do kradzieży Polecamy: Nie daj się okraść! Bezpieczne płatności w Internecie Pakiety Internet Security - ochrona prawie idealna Zobacz także: Clampi - wielki, złodziejski botnet? Polacy polubili bankowość elektroniczną Jak kupić Haxdoora, czyli spowiedź autora trojanów W sieci przekrętów Zawodowi przestępcy

Zwykle infekcja komputera złośliwym oprogramowaniem następuje w wyniku otwarcia wiadomości e-mail i kliknięcia linku prowadzącego do strony je dystrybuującej bądź też odwiedzenia witryny, na której przestępcy umieścili taki program. W wypadku trojana URLzone cyberprzestępcy posłużyli się oprogramowaniem malware o nazwie LuckySpoilt, wykorzystującym luki w przeglądarkach internetowych do instalacji trojana.

URLzone po zagnieżdżeniu w systemie pozostaje uśpiony do momentu, gdy użytkownik wejdzie na stronę internetową banku. Trojan wykrywa to zdarzenie, analizuje stan konta ofiary i kalkuluje kwotę, którą może ukraść bez wzbudzania podejrzeń. Korzysta z predefiniowanych, minimalnych i maksymalnych wartości, których nie może przekroczyć, by nie zaalarmować bankowych systemów bezpieczeństwa.

Następnie trojan dokonuje transferu środków komunikując się z serwisem bankowym bez wiedzy użytkownika - przesyła żądania dostępu do serwera banku i otrzymuje odpowiedzi, których nie wyświetla przeglądarka. Użytkownik nie wie nawet, że z jego rachunku właśnie dokonywany jest przelew.

Pieniądze przesyłane są na rachunek osoby, nieświadomie biorącej udział w przestępczym procederze - jej zadaniem jest przyjmowanie wykradzionych funduszy i przesyłanie ich dalej, najczęściej za granicę. Cybeprzestępcy często "wynajmują" takich użytkowników specjalnie w tym celu, ale ich konta są wykorzystywane ograniczoną ilość razy.

Trojan ukrywa też cały proces, kasując z konta informacje o dokonanym transferze i wyświetla fałszywy stan rachunku. URLzone przechowuje także logi z danymi identyfikatorem i hasłem użytkownika, wykonuje zrzuty ekranowe oraz śledzi inne konta internetowe, wymagające logowania (np. pocztę Gmail, profile Facebooka, usługę PayPal, itp.).

Trojan nowej generacji

Badacze Finjan dokonali analizy kont klientów kilku niemieckich banków. Odkryli, że trojan komunikuje się z serwerem na Ukrainie, skąd pobiera instrukcje.

Strony rozpowszechniające malware zostały odwiedzone za pośrednictwem ok. 90 tys. pecetów, z czego 6,4 tys. zostało zainfekowane. Kilkuset użytkowników z tej liczby straciło w ten sposób pewną kwotę pieniędzy. W ciągu nieco ponad trzech tygodni sierpnia br. cyberprzestępcy używający trojana zdołali wykraść z e-kont prawie 300 tysięcy euro. Eksperci Finjan szacują, że roczny zysk cybergangu używającego trojana URLzone mógłby wynieść nawet 5 mln. euro.



Bardziej znane trojany takie jak Zeus czy Clampi przynosiły swoim twórcom zyski w wysokości milionów dolarów wykradanych dziennie z bankowych e-kont. URLzone jest od nich jednak bardziej zaawansowany - posiadacz rachunku zachowuje (jak się okazuje) złudne poczucie kontroli nad swoimi finansami.

Szczegółowe informacje o trojanie URLzone znaleźć można w raporcie firmy Finjan (plik w formacie PDF).