В России может появиться новый состав преступлений — дроперство

В России может появиться новый состав преступлений — дроперство

МВД РФ вместе с другими ведомствами прорабатывает вопрос о введении уголовной ответственности за пособничество кибермошенникам — перевод и обналичивание денег, украденных со счетов жертв. Об этом стало известно на круглом столе МИЦ «Известия», где присутствовал врио замначальника управления ведомственного и процессуального контроля Следственного департамента министерства Роман Бубнов.

Представитель МВД подчеркнул, что основным способом минимизации кибермошенничества являются превентивные меры, которые можно разделить на два направления: повышение осведомленности населения и совершенствование законодательства. Сейчас суды рассматривают помощь преступникам в отмывании денег в рамках статьи 172 УК РФ (незаконная банковская деятельность, до семи лет лишения свободы со штрафом до 1 млн рублей); силовики предлагают вынести такие деяния в отдельный состав. 

Посредники, помогающие киберворам выводить чужие деньги на подставные счета и обналичивать их через банкоматы, известны в ИБ-сообществе как «денежные мулы» (money mule), или дропы. Их обычно вербуют в соцсетях, на сайтах знакомств, через доски объявлений, суля легкий заработок.

При этом наемник зачастую даже не осознает, что становится соучастником преступления. Предприимчивые рекрутеры создают для киберкриминала специальные сервисы по отмыванию денег, а в прошлом многие ОПГ обзаводились собственной сетью дропов, действия которых координировал специально назначенный «менеджер».

В настоящее время перевод денег из России за рубеж осложнен из-за санкций, и спрос на агентов по отмыванию денег растет — в особенности на обладателей криптокошельков. Доверчивым россиянам предлагают сотни тысяч рублей за проводку средств через их собственные или специально открытые счета. 

По оценкам ИБ-проекта «Мошеловка», выручка современного дропа может составлять до 40% от суммы перевода, и это многих привлекает, в первую очередь подростков. К сожалению, в России таким людям пока часто удается избежать ответственности.

«Мы пытаемся давать юридическую оценку их действиям, получается в разных случаях по-разному, — пояснил Бубнов. — Есть случаи, когда привлекаем к ответственности тоже как соучастников». 

Выявить дропа намного легче, чем работодателя, которому он помогает скрывать происхождение денежных средств. Опрошенные «Известиями» эксперты сошлись во мнении, что введение уголовной ответственности за дроперство юных граждан не остановит, но может испортить им будущее, поэтому делать это нужно очень осторожно и параллельно усилить работу с родителями. 

МВД продвигает еще одну меру по профилактике кибермошенничества — введение механизмов дополнительной идентификации личности при использовании ДБО. Силовики предлагают ограничить возможность подключения новых абонентских номеров к сервисам «Мобильный банк»: для этого клиент должен будет лично обратиться в офис банка. Подобная мера позволит исключить схему отъема денег, при которой мошенник добывает ПДн гражданина или взламывает личный кабинет либо приложение и привязывает свой номер к целевому аккаунту.

Вместе с тем представитель министерства отметил, что эффективность расследования киберпреступлений растет. В 2021 году за их совершение к уголовной ответственности привлечено более 86 тыс. лиц, за пять месяцев этого года — уже 20 тысяч.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

DuckLogs: многофункциональный троян-конструктор, уже пущенный в ход

Специалисты Cyble изучили нового Windows-зловреда, найденного в дикой природе. Как оказалось, DuckLogs умеет воровать информацию, подменять данные в буфере обмена, регистрировать клавиатурный ввод, открывать удаленный доступ к зараженной машине.

Вредонос предоставляется в пользование как услуга (по модели Malware-as-a-Service, MaaS), с подпиской на месяц, три месяца или на неограниченный срок. Новинка активно продвигается на хакерских форумах и, видимо, пользуется спросом: эксперты обнаружили в интернете множество активных экземпляров C2-сервера DuckLogs.

 

Админ-панель, предоставляемая клиентам MaaS-сервиса, позволяет создать бинарник с кастомным набором функций, мониторить ход вредоносной кампании, загрузку краденого и т. п. В панель можно добавить билдер для дроппера, который будет доставлять DuckLogs.

Анализ образца (скомпилированного с помощью .NET 32-битного файла BkfFB.exe) показал, что зловред при исполнении извлекает модуль Bunifu.UI.dll и загружает его в память, используя метод Invoke. Тот, в свою очередь, получает из ресурсов BkfFB.exe растровое изображение Gmtpo с вредоносной начинкой.

После декодирования растра в память загружается еще один .NET-файл — MajorRevision.exe. Этот модуль отвечает за проверку окружения, позволяющую избежать исполнения в песочнице или виртуальной машине.

На финальной стадии в память загружается DuckLogs.exe — по методу process hollowing. С этой целью BkfFB.exe создает новый экземпляр запущенного процесса, чтобы можно было подменить легитимный код вредоносным.

Устанавливаемый в систему вредонос обладает устойчивостью (прописывается на автозапуск), исполняется с админ-привилегями, умеет обходить UAC, отключать Microsoft Defender, Диспетчер задач, CMD, редактор системного реестра.

Его основной модуль, Stealer, обеспечивает кражу данных из разных программ:

  • браузеров (длинный список имен, в том числе экзотических вроде Librewolf и Waterfox),
  • почтовых клиентов (Outlook, ThunderBird),
  • мессенджеров,
  • VPN и FTP,
  • игровых приложений (Steam, Minecraft, Battle.net, Uplay).

Стилера также могут заинтересовать приложения-криптошельки или файлы пользователя по выбору — документы, исходные коды, базы данных, картинки.

Модуль Clipper тоже позволяет похитить криптовалюту, но иным способом: он изменяет адрес кошелька в буфере обмена с тем, чтобы транзакции проводились в пользу оператора DuckLogs. 

Модуль Logger регистрирует нажатия клавиш при вводе, Grabber ворует файлы из браузеров — избранное, историю, куки, учетные данные, загрузки.

Модуль Control позволяет оператору выполнять следующие действия в системе жертвы:

  • передавать и запускать другие файлы;
  • открывать любые страницы в браузере;
  • выключать и перезапускать компьютер, завершать сеанс, блокировать доступ;
  • деинсталлировать зловреда;
  • отправлять сообщения;
  • вызывать состояние отказа в обслуживании (DoS);
  • выводить «синий экран смерти» (BSOD);
  • отключать мышь и клавиатурный ввод.

Краденые данные выводятся на удаленный сервер в домене ducklogs[.]com. Исследователи выявили также несколько других C2-доменов, активно используемых DuckLogs: lovableduck[.]ru, ilovetheducks[.]ru, quackquack[.]ru, smallduck[.]ru, а также определили IP-адрес сервера — швейцарский 179.43.187[.]84.

Новую угрозу распознают больше половины антивирусов из коллекции VirusTotal (49/71 по состоянию на утро 2 декабря).

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru