троян

Исследовательской IT-компанией Finjan была опубликована информация о новом виде интернет-атак с использованием неизвестного ранее банковского трояна URLzone, который был создан и упралялся группировкой киберпреступников на территории Украины.
Троянская программа кроме кражи банковских реквизитов снимает деньги со счетов, а при посещении системы онлайн-банкинга пользователем, ему трояном показываются поддельные цифры на балансе.

В Finjan заявляют, что троян обладает рядом функций, которые созданны для обмана систем обнаружения мошенничества. Но из-за нестандартных операций, проводимых трояном, системы безопасности банков не всегда определяют угрозу. Например, новые программы на лету способны рассчитывать количество денег, которое можно относительно безопасно снять, исходя из доступной для снятия суммы.

Троян был обнаружен сотрудниками Finjan, во время их сотрудничества с несколькими немецкими банками, которые обратили внимание на странное поведение счетов. Специалисты совершенно точно утверждают, что троян управляется с территории Украины и там же располагаются командные серверы URLzone.

Как рассказали в Finjan, они смогли отследить процесс связи троянской программы с командным центром и перехватить всю информацию, благодаря тому, что данные передавались по незашифрованным каналам. Достоверно известно, что для управления трояном на сервере установлена система LockySploit, также выполняющая роль административной консоли и ведущая статистику.

Как утверждают некоторые специалисты по безопасности, доля Open Source на рынке троянских программ достигает 10% и продолжает расти. Открытый софт имеет множество преимуществ перед закрытым, потому что здесь намного легче изменить программу, что имеет высокую важность в этом специфическом программном обеспечении.

Некоторые трояны с открытыми исходниками сразу же становятся коллективными проектами, одной хакерской группировка туда будет добавлен модуль криптографии, другой — функционал видеотрансляций с удалённого компьютера и т.д. Авторы троянских программ при этом зарабатывают обычным для Open Source способом — за счёт открытия исходников они получают широкую известность, и выпускают платную версию ПО с расширенным функционалом.

Обычай выпускать троянские программ с открытыми исходниками начался в 1999 года, когда хакерской группировкой Cult of the Dead Cow были опубликованы исходники трояна Back Orifice.

В 2007 году появился троян Limbo, который стал самым активно используемым трояном в истории интернета после открытия исходных кодов. В данный момент этот троян значительно уступает по функционалу своему конкуренту Zeus, но благодаря открытым исходникам именно Limbo имеет все шансы стать первым трояном у начинающего хакера. До открытия исходников Limbo распространялся платно по $350, а Zeus на чёрном рынке стоит от $1000 до $3000.

Эксперты компании Symantec сообщили об обнаружении группы интернет-преступников, пользующихся сервисом телеконференций Google Groups, как командный центр для вредоносного ПО, заражавшего компьютеры. По словам представителей Symantec данный пример является еще одной иллюстрацией смены мошенниками способов взаимодействия со своими ботнетами.

Ранее на популярном сервисе блогов Twitter был обнаружен подобный механизм, когда один из блогов использовался, как своеобразный командный сервер для передачи команд троянам, ведущим атаки на IT-ресурсы. По прогнозам Symantec, популярность данных сервисов в качестве Comand and Control механизмов со временем будет лишь расти и администраторам сервисов придется закрывать «бот-конференции» и«бот-блоги» постоянно.

По словам экспертов Symante, киберпреступники пользовались Google Groups для управления трояном Trojan.Grups, который представлял собой злонамеренный код под ОС Windows. Эта вредоносная программа открывает путь к зараженному ПК с целью внедрения других вредоносных кодов. При проникновении трояна в компьютер, он начинает считывание сообщений из специальной конференции с командами для него. После считывания команды троян выполняет ее и публикует отчет о выполненной работе в конференции.