В компании RSA Security рассказали, что анализировали проводимую хакерами банковскую атаку и пришли к выводу, что специально для нее хакерами был создан кастомизированный троянец, предназначенный для проникновения на компьютеры клиентов крупных американских банков и кражи с них разных данных. В свою очередь краденные данные применяются хакерами для незаконного перевода денег при помощи систем онлайн-банкинга.
Мор Ахавиа, специалист по коммуникациям RSA FraudAction Team, говорит, что по расчетам их компании в атаке задействована крупнейшая в истории международная хакерская группа, насчитывающая не менее сотни бот-мастеров, каждый из которых использует ресурсы подконтрольной ему бот-сети для проведения атак и распространения банковских вредоносов. "За каждым из бот-мастеров стоят так называемые инвесторы, которые дают деньги на покупку программного и аппаратного обеспечения, необходимого для атак", - говорит Ахавиа. "Мы впервые видим, когда финансово-мотивированные группы достигают таких масштабов и такого уровня взаимодействия".
Напомним, что на этой неделе крупные американские банки уже получили циркуляр о переходе на высший уровень готовности ко внешним угрозам. Сами банки, в частности JP Morgan Chase, Bank of America, Citigroup и Wells Fargo, еще на прошлой неделе подверглись массированным DDoS-атакам, в результате которых их системы онлайн-банкинга, эквайринга и торговли акциями стали недоступны и тысячи клиентов не смогли выполнить нужные финансовые операции.
Ранее ответственность за организацию DDoS на ряд банков в США взяла на себя ближневосточная хакерская группировка Cyber fighters of Izz ad-din Al qassam, однако западные эксперты сомневаются, что она является подлинным или единственный организатором кампании. Сама группировка заявляла, что DDoS - это месть США за отказ от удаления антиисламского ролика.
Примечательно, что незадолго до начала атак американский центр FS-ISAC (Financial Services Information Sharing and Analysis Center) предупредил банки о высокой вероятности кибератак и кампаний, связанных с онлайн-мошенничеством. В сообщении говорилось, что велика вероятность всплеска троянской активности, исходящей из Азии и Ближнего Востока.
В RSA говорят, что за последние несколько кварталов хакеры сосредоточились на атаке в направлении малого бизнеса и правительственных ведомств локального масштаба. Сейчас же атака ведется при помощи малоизвестного троянца Gozi Prinimalka, ориентированного именно на частных клиентов именно американских банков.
Ранее антивирусные компании уже сообщали о троянце Gozi, который был использован для кражи нескольких миллионов долларов со счетов в западных банках. Новая версия вредоноса представляет собой сильно модернизированную версию оригинала. Новинка может не только связываться с C&C-сервером мощенников, но и имеет расширенный функционал по работе на компьютере-жертве. Такой как поддержка виртуальных ОС, клонирование настроек ПК, перехват тайм-зон, данных о браузерах и др.
В RSA говорят, что хакеры связываются с жертвами через SOCKS-прокси, что позволяет взаимодействовать с машиной на низком уровне, получая более широкие привилегии.
В RSA также заявили, что рекомендовали банкам развернуть более жесткие нормы по аутентификации для клиентов на всех уровнях и провести общий аудит систем онлайн-банкинга.
.png)