За поимку автора Zeus назначена максимальная награда

    В прошлом году мы писали о том, что правоохранительные органы США объявили в розыск автора известной банковской вредоносной программы Zeus. С использованием этой вредоносной программы были украдены сотни миллионов долларов с банковских счетов у пользователей по всему миру, а сам бот уже давно породил большое количество своих клонов. Недавно ФБР увеличили награду за информацию, ведущую к его поимке до суммы в $3 млн. Это максимальная награда, которая когда-либо объявлялась для фигурантов кибер-дел (cyber).



    Фигурант под псевдонимом «slavik» известен в преступном мире уже давно и упоминается как автор одних из самых ранних версий Zeus. В начале прошлого года мы также писали про поимку правоохранителями другого киберпреступника. Речь идет об авторе другой банковской троянской программы SpyEye под псевдонимом «Gribodemon». Этот бот был основан на исходных текстах Zeus.


    Рис. Ориентировка на автора Zeus с сайта fbi.gov.

    История с Zeus тянется уже довольно давно. Первые версии бота появились на свет в 2007 г. или даже раньше. От других вредоносных программ Zeus отличало то, что он стал своего рода первым crimeware toolkit или полнофункциональным инструментом для кражи данных онлайн-банкинга различных банков и передачи этой информации на сервер злоумышленников. Для проведения подобных операций он имел в своем составе конфигурационный файл, что позволяло злоумышленникам быстро переориентировать его на необходимые им цели (банковские сайты). С тех пор появилось несколько поколений или версий Zeus, совокупный финансовый урон от которых оценивается в более чем полмиллиарда долларов. Количество различных семейств или модификаций этой вредоносной программы и ботнетов на ее основе уже составляет несколько десятков.


    Рис. Типичная схема работы киберпреступников, которые используют банковские вредоносные инструменты, в т. ч. и Zeus.

    1. Автор трояна занимается разработкой необходимых функциональных возможностей бота.
    2. Оператор (хакер) отвечает за распространение скомпилированных исполняемых файлов троянской программы. Он может обращаться к услугам спамеров для организации спам-рассылок, к «ифреймерам» для перенаправления легальных пользователей взломанных сайтов на троян или другие известные в киберпреступном мире способы.
    3. Пользователь заражается банковским трояном, после чего использует браузер (в процессе которого находится вредоносный код) для работы с онлайн-банкингом. Указанные при работе с системой онлайн-банкинга конфиденциальные данные отправляются на сервер злоумышленников.
    4. Оператор (хакер) получает данные, отправленные ботом на предыдущем шаге.
    5. Оператор может использовать другой скомпрометированный компьютер (прокси) для проведения мошеннических операций со счетом жертвы, скрывая, таким образом, источник проведения атаки.
    6. Используя прокси, указанный в предыдущем пункте, оператор осуществляет вход в аккаунт онлайн-банкинга пользователя с помощью похищенных на этапе 4 пары логин/пароль.
    7. Средства со счета жертвы переводятся на несколько подставных банковских счетов небольшими порциями, а затем обналичиваются в банкоматах различными лицами, участвующими в преступной схеме (мулы).
    8. Организатор (координатор) всей преступной схемы получает средства от «мулов», при этом каждый из них «мулов» получает свою долю.
    ESET NOD32
    Компания
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 16

      –2
      Что то мало платят :-) Автора какой из версий Zeus? Только Zeus или всю экосистему?
        –2
        <сарказм>* </сарказм>
        +1
        Люблю популярные проги, раньше был такой троян — Пинч, интересно, что случилось с автором
          +2
          Авторов было несколько. Вначале был один, потом передал проект другому, тот еще… часть сорцев расползлась другим, а кто-то начал бизнес и без сорцев. Самого известного российского торгаша пинчем (Дамрая) ловили, дали (судя по всему) условный, после чего он свернул проект пинча и он потихоньку в течение года умер (пинч).
          Дальнейшую судьбу Дамрая не отслеживал. Все это было относительно давно, лет 8 назад.
            +1
            Добавлю, после дамрая была следующая версия пинча, и писал её coban2k(https://xakep.ru/2006/06/27/32451/) вроде как, и вроде как на дельфи.
            Потом эта версия стала отдельным софтом MPR(http://www.passrecovery.com/ru/).
            Потом часть наработок утекла в проект Pony, который сейчас в каждой второй малвари идёт отдельным модулем.
              +2
              Наоборот только все было — вначале был coban2k, потом Дамрай.
            0
            ахахахах, им ещё аськи воровали у друзей)) было дело…
            +1
            а как такого рода софт работает с двухфакторными формами авторизации?
              0
              Можно использовать коды (обычно есть список кодов, который может получить пользователь, чтобы несколько раз возможно было обойтись без двухэтапки).
                0
                Есть некая функция, называется «автозалив». Номер счёта в транзакции скрыто подменяется. Пользователю создаётся видимость, что он переводит деньги на нужный ему счёт, а на самом деле на счёт мошенника и поэтому двух факторная аутентификация тут не спасает.
                  +1
                  Тогда уж если продолжать тему, то есть активные автозаливы и пассивные. То что вы описали, это пример пассивного. Используется для обхода двухфакторной авторизации с надеждой на то, что человек не заметит что пришло ему в смс сообщении. Активный создает видимость блокировки банковского аккаунта и просит ввести в специально сгенерированные поля код из смс, код со скретч карты, номер банковской карты и тд. После ввода, в фоне производится инициализация платежа с данными, которые ввел пользователь. После успешного прохождения платежа, подменяется сумма на счете и для пользователя все выглядит так, как и должно быть.
                  0
                  2FA совершенно беспомощна против man in the browser, давно известный факт. Только 2фа провайдеры продолжают говорить что это спасет людей. А то что вирусы это основная угроза для онлайн банкинга люди походу не могут понять.

                  Между прочим защиту то сделать можно, нужно сделать правильный out of band канал с отдельным приватным ключем. Этим я и занимаюсь кстати.
                    0
                    а можно детали?
                      +1
                      детали out of band? каждый месадж шифруется ключем юзера и его можно прочесть только на другом девайсе смартфоне. Подписывать транзакции например
                        0
                        Можно сделать не один канал. Есть коротковолновое радио, например. Масса месcенджеров. IMHO
                  +1
                  прочитав заголовок поста, первая мысль — " смертная казнь? "

                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                  Самое читаемое