Для того чтобы лучше понять масштабы и механизмы работы финансовых троянов, эксперты Symantec проанализировали более 1000 конфигурационных файлов восьми троянских программ, направленных против банковских систем.
«Потому что там были деньги!» - такой ответ якобы дал известный в США грабитель банков, Вилли Саттон, когда его спросили, почему он совершал свои преступления. И хотя на самом деле Саттон этих слов не говорил, они - чистая правда.
Это также верно, когда речь заходит о современных вредоносных программах в сфере финансов. Электронные банковские системы – это то место, где сейчас осуществляются все денежные операции, и именно поэтому они привлекают внимание злоумышленников. Не является неожиданностью так же и то, что трояны, нацеленные против электронных банковских систем, становятся все более изощренными. Одним из таких примеров является недавно упомянутый специалистами Symantec троян Neverquest, преемник Trojan.Snifula, который впервые появился еще в 2006 г., однако применяется до сих пор.
В 2007 г. появился продвинутый финансовый троян под названием Zbot (Zeus). Он был создан Российским вирусописателем под ником Slavik/Monstr и продавался на черном рынке за тысячи долларов. Два года спустя у этого трояна появился конкурент под названием Spyeye, автором которого был некий Gribodemon. Цена нового продукта была более доступной и составляла $700. Подпольный рынок финансовых троянов процветал.
С тех пор рынок претерпел значительные изменения: в 2011 г. исходный код Zeus был украден и выложен в открытый доступ, что привело к резкому обвалу его цены. С этого момента начало появляться множество версий Zeus, включая доработанные Ice IX и Citadel, которые стали бороться за рынок. Банды киберпреступников также создали альтернативные варианты Zeus, предназначенные для частного использования, как, например, знаменитый Gameover, который появился в июле 2011 г. Через месяц после публикации исходного кода Zeus некто Xylibox путем взлома получил доступ к исходному коду Spyeye, что привело к аналогичному обвалу цены. На данный момент какая-либо информация о дальнейшей разработке двух этих троянов их создателями отсутствует. Многие нынешние финансовые трояны позаимствовали приемы и архитектуру Spyeye и Zeus.
К маю 2003 г. существовало около 20 различных банковских троянов. И по мере того как финансовые учреждения укрепляли защиту и системы выявления мошенничеств, злоумышленники приспосабливались. С тех пор появилось множество банковских троянов. К сожалению, внедрение новых, надежных технологий защиты происходит довольно медленно, и злоумышленники успешно пользуются уязвимостями нынешних, пока еще несовершенных, механизмов. За последние несколько лет трояны стали значительно более изощренными, и именно финансовые трояны на сегодняшний день являются одним из самых распространенных типов угроз.
За первые девять месяцев 2013 г. число случаев заражения финансовых учреждений увеличилось на 337%. Это почти полмиллиона заражений в месяц. Для того чтобы лучше понять масштабы и механизмы работы финансовых троянов, эксперты Symantec проанализировали более 1000 конфигурационных файлов восьми троянских программ, направленных против банковских систем. В этих файлах хранится информация об атакуемых URL-адресах, а также о стратегии атаки. Стратегии варьируются от простого перенаправления пользователей до сложных веб-инжектов (Web-injects), способных автоматически осуществлять транзакции в фоновом режиме. Проанализированные конфигурационные файлы содержали более 2000 адресов, принадлежащих 1486 организациям-жертвам, из которых почти 95% – финансовые учреждения. Оставшиеся 5% – это компании, предлагающие онлайн-услуги, например СМИ, сайты поиска работы, аукционы и сервисы электронной почты. Это указывает на широкий охват таких троянов: злоумышленники атакуют любые цели, способные принести прибыль. Объектами атак являются финансовые учреждения практически всех типов – от коммерческих банков до кредитных кооперативов. Основной целью злоумышленников являются сайты классических банков, однако, помимо этого, в качестве потенциальных объектов атак рассматриваются и учреждения нового типа. В попытках максимизировать прибыль злоумышленники начинают атаковать популярные и, соответственно, прибыльные сети финансовых транзакций, такие как американская Automated Clearing House, а также европейская Single Euro Payments Area (SEPA), подвергшаяся атаке совсем недавно.
Злоумышленники выходят и на новые рынки, расширяют сферу своей деятельности и ищут новые цели, против которых бы работали существующие приемы. В таких регионах, как Ближний Восток, Африка и Азия, число объектов атак продолжает расти. При этом густонаселенные и богатые районы представляют для них больший интерес, и именно поэтому такие районы, как Саудовская Аравия, Объединенные Арабские Эмираты, Гонконг и Япония, недавно подверглись многочисленным атакам.
Современные финансовые трояны отличаются невероятной гибкостью и поддерживают широкий спектр приемов, помогающих упростить осуществление мошеннических транзакций в различных банковских системах. Такие трояны во многом схожи между собой. Так, например, техника MITB (Man in the Browser, «Человек-в-браузере») характерна для всех рассмотренных экземпляров. Степень же изощренности атаки зависит от уровня защищенности конкретного учреждения - в конечном итоге, выбор трояна зависит от финансовых ресурсов злоумышленника и того, насколько продвинута система защиты атакуемого учреждения.
По данным исследования, наиболее часто атакуемый банк расположен на территории США, и его данные присутствовали в 71,5% всех проанализированных конфигурационных файлов. Другие банки из Топ-15 самых атакуемых были обнаружены более чем в 50% всех конфигурационных файлов. Это значит, что каждый второй троян был нацелен хотя бы на один из этих банков. Вероятно, такой высокий показатель связан с тем, что эти URL выступают в качестве примеров при конфигурировании троянов. Другая причина может состоять в том, что эти трояны все еще работают против этих организаций, т. к. не все фирмы успели обновить свои системы защиты. Конечно, большинство организаций осведомлены об этих угрозах и внедряют новые механизмы защиты, способные блокировать подобные атаки. К сожалению, на внедрение новых технологий требуются время и средства, так что здесь злоумышленники всегда будут обладать преимуществом. В конечном итоге, слабым звеном любой финансовой операции остается пользователь, и даже лучшие технологии не гарантируют защиты от атак, использующих методы социальной инженерии. Можно ожидать, что в ближайшие годы троянские атаки на финансовые учреждения продолжатся.
Ключевые пункты исследования: