Троянец-счетовод

Александр Панасенко 07 Октября 2009 - 15:58

...

Исследователи компании Finjan предупреждают о появлении банковского троянца нового поколения, которому они присвоили наименование URLZone/Bebloh. Вредоносная программа не только охотится за пользовательскими данными и делает скриншоты часто посещаемых веб-страниц, но и переводит деньги жертвы на подставные счета, ведет баланс и подменяет выписку о состоянии счета, отображаемую на экране.

Злоумышленники распространяют бот URLZone через сайты-ловушки, атакующие браузер посетителя набором эксплойтов LuckySpoilt. После инсталляции троянец загружает с командного сервера конфигурационный файл, в котором содержатся команды и определены целевые веб-страницы, объемы отчислений со счета жертвы, реквизиты подставного счета, на который следует перевести деньги, и т.п. Когда пользователь осуществляет https-транзакцию в системе интернет-банкинга или на платежном сервисе, резидентный бот на лету подменяет данные и переводит часть денег на счет «дропа».

Чтобы незаконные операции не были обнаружены банковской защитой, операторы URLZone в настройках задают определенные ограничения. Они следят, чтобы на донорском счету всегда был остаток, а незаконно снятые суммы варьировались и не превышали 4-15 тыс. долларов. По окончании транзакции троянец в реальном времени показывает владельцу счета фальшивую выписку.
Как удалось установить, связь резидентного бота с центром управления осуществляется отсылкой шифрованного текста по http-каналу. Периодичность обращения к серверу за новыми командами и обновлениями составляет 3 часа, проверка статуса браузера проводится ежесекундно. Сам сервер находится на Украине, а объектом интересов его операторов пока являются клиенты европейских банков, в особенности германских.

На настоящий момент зафиксировано около 6400 случаев заражения URLZone – немногим более 7% от общего числа попыток. Троянец плохо детектируется: по данным Virus Total, 24 сентября его обнаружили как угрозу только 2 из 41 антивируса, 29 сентября – 5. За три недели злоумышленникам удалось украсть порядка 300 тыс. евро.

Источник

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 19 Сентября 2025 - 13:36

Мошенничество Онлайн-мошенничество Соответствие законодательству РФ Общее

Росреестр выявил 61 ресурс по торговле данными из ЕГРН

За девять месяцев 2025 года Росреестр выявил 61 ресурс, где незаконно распространялись данные из Единого государственного реестра недвижимости (ЕГРН). Среди них — 46 веб-сайтов и 15 телеграм-каналов. Для сравнения: за тот же период 2024 года было обнаружено и заблокировано 57 ресурсов, включая 51 сайт и 6 телеграм-каналов.

«Выявлены 46 сайтов-двойников Росреестра и публичной кадастровой карты, а также 15 телеграм-каналов, осуществлявших незаконную продажу сведений из ЕГРН. 12 телеграм-каналов уже заблокированы по решению суда», — сообщили в Росреестре.

Во ведомстве отметили, что количество подобных ресурсов постепенно сокращается. Росреестр и органы прокуратуры регулярно выявляют и пресекают их деятельность.

Так, в марте 2025 года Останкинский суд Москвы по представлению прокуратуры постановил заблокировать сразу 11 телеграм-каналов, через которые за плату предлагались выписки из ЕГРН.

Кроме того, в Росреестре подчеркнули, что пользователи таких ресурсов нередко сталкиваются с недостоверной информацией. Были зафиксированы случаи мошенничества, когда деньги собирали, а данные так и не предоставляли.

Напомним, с 2021 года предоставление данных из Росреестра является незаконным. Исключение сделано только для профессиональных участников рынка. Граждане могут получить выписки из ЕГРН исключительно через сервис Роскадастра.

Троянец-счетовод

Читайте также