В прошлом году мы писали о том, что правоохранительные органы США объявили в розыск автора известной банковской вредоносной программы Zeus. С использованием этой вредоносной программы были украдены сотни миллионов долларов с банковских счетов у пользователей по всему миру, а сам бот уже давно породил большое количество своих клонов. Недавно ФБР увеличили награду за информацию, ведущую к его поимке до суммы в $3 млн. Это максимальная награда, которая когда-либо объявлялась для фигурантов кибер-дел (cyber).
Фигурант под псевдонимом «slavik» известен в преступном мире уже давно и упоминается как автор одних из самых ранних версий Zeus. В начале прошлого года мы также писали про поимку правоохранителями другого киберпреступника. Речь идет об авторе другой банковской троянской программы SpyEye под псевдонимом «Gribodemon». Этот бот был основан на исходных текстах Zeus.
Рис. Ориентировка на автора Zeus с сайта fbi.gov.
История с Zeus тянется уже довольно давно. Первые версии бота появились на свет в 2007 г. или даже раньше. От других вредоносных программ Zeus отличало то, что он стал своего рода первым crimeware toolkit или полнофункциональным инструментом для кражи данных онлайн-банкинга различных банков и передачи этой информации на сервер злоумышленников. Для проведения подобных операций он имел в своем составе конфигурационный файл, что позволяло злоумышленникам быстро переориентировать его на необходимые им цели (банковские сайты). С тех пор появилось несколько поколений или версий Zeus, совокупный финансовый урон от которых оценивается в более чем полмиллиарда долларов. Количество различных семейств или модификаций этой вредоносной программы и ботнетов на ее основе уже составляет несколько десятков.
Рис. Типичная схема работы киберпреступников, которые используют банковские вредоносные инструменты, в т. ч. и Zeus.
- Автор трояна занимается разработкой необходимых функциональных возможностей бота.
- Оператор (хакер) отвечает за распространение скомпилированных исполняемых файлов троянской программы. Он может обращаться к услугам спамеров для организации спам-рассылок, к «ифреймерам» для перенаправления легальных пользователей взломанных сайтов на троян или другие известные в киберпреступном мире способы.
- Пользователь заражается банковским трояном, после чего использует браузер (в процессе которого находится вредоносный код) для работы с онлайн-банкингом. Указанные при работе с системой онлайн-банкинга конфиденциальные данные отправляются на сервер злоумышленников.
- Оператор (хакер) получает данные, отправленные ботом на предыдущем шаге.
- Оператор может использовать другой скомпрометированный компьютер (прокси) для проведения мошеннических операций со счетом жертвы, скрывая, таким образом, источник проведения атаки.
- Используя прокси, указанный в предыдущем пункте, оператор осуществляет вход в аккаунт онлайн-банкинга пользователя с помощью похищенных на этапе 4 пары логин/пароль.
- Средства со счета жертвы переводятся на несколько подставных банковских счетов небольшими порциями, а затем обналичиваются в банкоматах различными лицами, участвующими в преступной схеме (мулы).
- Организатор (координатор) всей преступной схемы получает средства от «мулов», при этом каждый из них «мулов» получает свою долю.
Автор: esetnod32