Алгоритм работы трояна URLzone
Троян URLzone, с помощью которого украинские хакеры обворовывают банки, работает следующим образом: потенциальная жертва инфицирует свой компьютер через загрузку вредоносного кода с сайта или открытие спам-вложений. Затем система бекдоров, проникающая на компьютер, устанавливает сам троян в фоновом режиме, или же троян проходит напрямую через какую-нибудь уязвимость в браузере.
После входа пользователя ПК систему онлайн-банкинга, троян автоматически выполняет перехват данных по балансу и вычисляет максимальные и минимальные диапазоны возможного снятия средств, после этого показывает пользователю в режиме реального времени уже обновленную сумму баланса. Троян может самостоятельно связываться с системой онлайн-банкинга и получать от нее ответ без его отображения в браузере.
В результате этого средства переводятся на счета пользователей, которые специально открыты для аккумулирования денег. Затем деньги передаются злоумышленникам, а пользователи с фиктивными счетами берут себе определенные проценты. Иногда в роли таких пользователей выступают некоторые сотрудники банков. Если пользователь не знает точную сумму денег, лежавшую на его счету, то факт кражи он может и не заметить.
Троян, одновременно со снятием денег также пытается очистить свои следы работы на компьютере, удаляет всю историю и удалить историю банковских транзакций, если это доступно в системе банкинга.