В конце 2014 года исследователи IBM Trusteer обнаружили новый пакет вредоносного ПО KL-Remote, значительно упрощающий жизнь банковским мошенникам. Как утверждают специалисты в блоге компании, KL-Remote позволяет даже начинающим киберпреступникам похищать платежную информацию у легитимных пользователей и использовать ее для проведения мошеннических транзакций.
Новый вид вредоносного ПО был впервые обнаружен в Бразилии. KL-Remote интересен тем, что, в отличие от других видов банковских вредоносов, им должен управлять сам мошенник.
По данным исследователей, KL-Remote проникает в систему с помощью троянов-дропперов или через уязвимости на web-сайтах. После этого вредонос отслеживает активность пользователей в интернете, и, если жертва пользуется услугами определенных банков, отправляет киберпреступнику информацию о компьютере и сетевом подключении пользователя.
KL-Remote поставляется с простым графическим интерфейсом, показывающим рабочий стол жертвы и перехваченные данные с клавиатуры. Вредонос позволяет киберпреступнику удаленно захватить контроль над мышью и клавиатурой, а также отправлять жертве произвольные сообщения.
Вредоносное ПО делает снимок экрана с открытым банковским сайтом и отображает его жертве с прикрепленным текстовым сообщением. В нем пользователя просят ввести определенные данные, необходимые мошеннику для входа в учетную запись жертвы – к примеру, логины, пароли и временные коды двухфакторной аутентификации.
Получив информацию, киберпреступник отправляет жертве сообщение с просьбой подождать, пока будет завершена определенная операция. В то же время мошенник захватывает контроль над ПК пользователя и входит в его учетную запись. Пользователь не сможет заметить вредоносную активность, поскольку на экране будет отображаться скриншот банковского сайта, который не удастся свернуть или закрыть.
Исследователи утверждают, что подобное ПО может обойти большинство традиционных способов защиты, внедряемых банками для обеспечения безопасности клиентов. Поскольку все действия киберпреступников выполняются на компьютере жертвы, который обычно считается доверенным устройством, системы безопасности финучреждений зачастую не смогут обнаружить обман. Банкам придется более детально проверять ПК клиентов – к примеру, анализировать историю их браузеров, проверять устройства на наличие средств удаленного управления и так далее.
В настоящее время KL-Remote распространен лишь на территории Бразилии. Разработчики вредоноса продают его всем желающим примерно за $400.
