Троянец-счетовод

Александр Панасенко 07 Октября 2009 - 15:58

...

Исследователи компании Finjan предупреждают о появлении банковского троянца нового поколения, которому они присвоили наименование URLZone/Bebloh. Вредоносная программа не только охотится за пользовательскими данными и делает скриншоты часто посещаемых веб-страниц, но и переводит деньги жертвы на подставные счета, ведет баланс и подменяет выписку о состоянии счета, отображаемую на экране.

Злоумышленники распространяют бот URLZone через сайты-ловушки, атакующие браузер посетителя набором эксплойтов LuckySpoilt. После инсталляции троянец загружает с командного сервера конфигурационный файл, в котором содержатся команды и определены целевые веб-страницы, объемы отчислений со счета жертвы, реквизиты подставного счета, на который следует перевести деньги, и т.п. Когда пользователь осуществляет https-транзакцию в системе интернет-банкинга или на платежном сервисе, резидентный бот на лету подменяет данные и переводит часть денег на счет «дропа».

Чтобы незаконные операции не были обнаружены банковской защитой, операторы URLZone в настройках задают определенные ограничения. Они следят, чтобы на донорском счету всегда был остаток, а незаконно снятые суммы варьировались и не превышали 4-15 тыс. долларов. По окончании транзакции троянец в реальном времени показывает владельцу счета фальшивую выписку.
Как удалось установить, связь резидентного бота с центром управления осуществляется отсылкой шифрованного текста по http-каналу. Периодичность обращения к серверу за новыми командами и обновлениями составляет 3 часа, проверка статуса браузера проводится ежесекундно. Сам сервер находится на Украине, а объектом интересов его операторов пока являются клиенты европейских банков, в особенности германских.

На настоящий момент зафиксировано около 6400 случаев заражения URLZone – немногим более 7% от общего числа попыток. Троянец плохо детектируется: по данным Virus Total, 24 сентября его обнаружили как угрозу только 2 из 41 антивируса, 29 сентября – 5. За три недели злоумышленникам удалось украсть порядка 300 тыс. евро.

Источник

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 02 Декабря 2025 - 11:22

Сбои программ Домашние пользователи Корпорации Лаборатория Касперского

У россиян массово сбоит Kaspersky Secure Connection

Ряд российских пользователей сталкивается со сбоями в работе Kaspersky Secure Connection — сервиса «Лаборатории Касперского» для безопасной передачи трафика. У людей появляются ошибки подключения, приложение зависает на этапе «подключение к удалённому серверу» и не проходит инициализацию.

В пресс-службе компании подтвердили, что неполадки действительно есть:

«В последние несколько дней часть пользователей Kaspersky Secure Connection могут испытывать сложности с подключением. Чтобы приложение работало корректно, пользователям из России следует убедиться, что они используют лицензию, выпущенную для российского региона, а также что приложение обновлено до актуальной версии».

По данным Runet, техподдержка уже несколько дней не отвечает на обращения некоторых пользователей. Представители компании эту ситуацию не прокомментировали.

Модератор пользовательского форума «Лаборатории Касперского» пояснил, что проблемы чаще всего возникают у тех, кто покупал лицензии не для российского региона, а также оформлял подписку на «Яндекс Маркете». По его словам, таких пользователей в пятницу автоматически перевели на другой сетевой сервис.

«Таких подписчиков перевели на Pure. Но он из России практически не работает. Кроме того, там меньше серверов, всего один протокол, отсутствует двойной и нет конфигураций для роутеров», — сообщил модератор.

Ситуация с последними сбоями остаётся не до конца ясной. Пока пользователям рекомендуют проверять актуальность лицензии и версии приложения, но часть владельцев зарубежных подписок сообщает, что сервис фактически перестал работать.

Троянец-счетовод

Читайте также