«Великолепная» четверка банковских троянов

[KL FC Bot]

Банковские трояны подобны крысам, снующим около мусорного ящика, — стоит их пнуть, как они разбегутся в разные стороны. И вы их больше не увидите, только если услышите что-то о них. Однако есть квартет, который, кажется, никогда не сойдет с банковской сцены: Carberp, Citadel, SpyEye и, конечно же, Zeus.

Проблемы с этими банкерами таковы, что часто мы ловим их за занятием плохими вещами, при этом никак не связанными напрямую с кражей финансовой информации. Слишком все непросто в этом темном мире киберпреступности, однако в любом случае эти трояны представляют собой реальную проблему, так как они отлично отлажены для поиска и кражи банковской информации. Совсем не просто писать интересный материал о банковских троянах, так как все они одного поля ягоды, но тем не менее пробежимся по четырем наиболее известным.

Carberp

По мнению исследователей, Carberp стал первой программой-трояном, сгенерировавшей случайный код вместо до того применявшихся статических ключей.

Оригинальная версия Carberp является типичным представителем троянов. Она была создана для кражи конфиденциальной информации пользователей некоторых сайтов. Троян успешно воровал учетные данные и информацию о банковских картах. Все данные Carberp передавал своему создателю через специальный C&C-сервер, управляющий трояном. Работало все довольно просто. Единственной сложностью было непосредственное заражение системы жертвы, будучи при этом незаметным. И вот следующее поколение Carberp обзавелось плагинами. Один из них удалял антивирусное ПО из системы, а остальные убирали следы своей деятельности. Все стало еще интереснее, когда этот троян получил возможность шифровать передаваемые им данные. По мнению исследователей, Carberp стал первой программой-трояном, сгенерировавшей случайный код вместо до того применявшихся статических ключей.

С некоторых пор Carberp стал работать в команде с печально известным эксплойтом Blackhole, вместе с которым они создавали довольно серьезную эпидемию. Для создателей и самого трояна все было отлично. Им даже удалось разработать специальный модуль для Facebook, который пытался обманным путем выманить деньги у пользователей.

Немножко помешали в этом правоохранительные органы. В России было арестовано сразу 8 человек, ответственных за Carberp, однако сам троян до конца удалить из сетей не удалось. С тех пор и Carberp никуда не пропадал, и арестов больше не производилось. Некоторое время назад для того, чтобы использовать этот троян в своих целях, нужно было заплатить на хакерской бирже около $40 000. Однако вскоре исходный код был выложен в открытый доступ всем желающим.

Citadel

Этот троян является вариацией на тему «короля троянов» Zeus, о котором позже. Известно, что вместе с другими троянами этот возник из исходного кода Zeus в 2011 году. Троян имеет много общего с романом «Цитадель», в честь которого и назван. Изначально это был просто исходный код, который пользователи могли изменить так, как считали нужным. Группа, разрабатывавшая Citadel, организовала целое сообщество, в рамках которого обсуждалось, какие новые возможности должны быть у вредоносных программ. Наиболее интересными предложениями было внедрение AES-шифрования для файлов конфигурации и соединения с управляющим сервером, а также такие функции, как отключение систем безопасности компьютера для того, чтобы можно было записывать видео действий пользователя. Организаторы Citadel-сообщества продолжили добавлять в троян новые особенности, которые делали его более адаптивным и производительным, после чего он превратился в рабочий инструмент для кражи данных.

Троян Citadel имел большой успех, пока Microsoft и другие крупные компании не проснулись и не начали масштабную чистку, удалив порядка 88% этой заразы из своих систем.

SpyEye

Шпионский глаз, вообще-то, был создан в качестве конкурента для Zeus. Однако царем горы ему стать не удалось, но шуму наделал он много. Частично работу этого трояна взял на себя ботнет Zeus, объединившись с оным в мегабанковскую бот-сеть. Правда, это сотрудничество продлилось недолго.

Злоумышленники нацеливали этого троянца для нападения на пользователей Verizon, где можно было бы безнаказанно красть конфиденциальную информацию покупателей. Попал троян в облако Amazon, что интересно. Затем появился и на Android-устройствах. Однако на этом славная пора закончилась серией арестов. Или, что тоже вероятно, его забросили, так как эффективность его была не такой высокой, чтобы уделять этому трояну много внимания. Трое прибалтов были арестованы за использование SpyEye летом 2012 года, когда они пытались развернуть сеть крупных краж банковской информации. В мае этого года был арестован и предполагаемый создатель, который скрывался в Таиланде, но был передан властям США, где его ожидали более 30 пунктов обвинения за киберпреступления и мошенничества.

С тех пор о SpyEye не слышно ничего серьезного.

Zeus

А затем в мир спустился «Зевс». Метко названный в честь главного олимпийского бога, Zeus отличался беспрецедентными масштабом и эффективностью. С момента своего рождения из исходного кода в 2011 году этот троян, кажется, побывал во всех банковских операциях мира. Среди всех себе подобных троянов именно Zeus имеет такую славу, что удостоен отдельной странички в «Википедии». Кстати, на Threatpost имеется целых 22 длиннющие страницы со ссылками на материалы, в которых упоминается этот банковский троян. Полное описание злодеяний «Зевса» было бы похоже на роман Льва Толстого или Марселя Пруста, поэтому ограничимся лишь несколькими основными моментами.

Вообще троян Zeus  ворвался в нашу спокойную жизнь в далеком 2007 году, когда была зафиксирована его деятельность в связи с кражами данных в департаменте транспорта США. С тех пор этот троян заразил десятки миллионов машин и был причастен к кражам многих сотен миллионов долларов. И все это было сделано до того, как создатель не сообщил, что выкладывает исходный код для свободного доступа. С тех пор довольно большое количество киберпреступников, использовавших «Зевса», село в тюрьму отбывать пложенные ворам сроки.

Именно Zeus был в числе первых вредоносов, который продавался по принципу лицензионного ПО до тех пор, пока исходный код не стал доступен всем. До тех пор «Зевс» был настоящим бичом для многих корпораций и банков. Список его жертв весьма приличный, и состоит он из многих крупных банков, известных компаний и государственных учреждений по всему миру.

Zeus также известен такой инновацией, как использование «младшего брата» по имени ZitMo, который позволял обходить популярные схемы двухфакторной авторизации с кодом безопасности в виде текстовых сообщений. Кстати, SpyEye и Carberp также имели своих мобильных подельников.

Среди банковских вредоносов Zeus имеет наиболее широкую известность, уступая только Stuxnet, хотя это еще вопрос.

Защищаемся

Вся эта четверка банковских троянов имеет много общего: все они пытаются быть незаметными для антивирусов, перехватывают нажатия клавиш, историю и кэш браузера, прочесывают сохраненные файлы и делают все, чтобы проникнуть в ваш банковский аккаунт с целью несанкционированного перевода некоторой суммы денег. Даже владельцам смартфонов нет покоя, так как они устанавливают мобильные вредоносы, позволяющие красть сообщения с одноразовыми кодами для совершения безопасных платежей. Среди остальных троянцев банкеры имеют наибольший потенциал по нанесению финансового ущерба своим жертвам, поэтому современные средства защиты должны включать конкретные меры противодействия каждому действию такого трояна. «Лаборатория Касперского» имеет арсенал средств борьбы с этими банкерами, собранный в инструмент «Деньги», имеющийся во всех свежих версиях Kaspersky Internet Security. О том, как можно воспользоваться этой функцией, можно узнать из наших советов.

Читать далее >>