Миллионные онлайн-кражи: привет из Бразилии

В конце 2014 года исследователи IBM Trusteer обнаружили новый пакет вредоносного ПО KL-Remote, значительно упрощающий жизнь банковским мошенникам.

defragmentИнструментарий, получивший название KL-Remote, используется для удаленных атак, которые позволяют кибер-преступникам получить доступ к банковским онлайн-счетам прямо с компьютеров жертв, не вызывая много подозрений.

Опасное программное обеспечение было обнаружено в Бразилии – стране, где, согласно исследованиям, в 2013 году, благодаря операциям на чужих счетах, преступники «заработали» $ 264 млн.

KL-Remote интересен тем, что в отличие от многих других финансовых вредоносных программ, он требует ручного вмешательства человека, который его контролирует.

По мнению исследователей, атака с участием KL-Remote начинается тогда, когда злоумышленник устанавливает инструментарий на компьютер будущей жертвы, как правило, при помощи других вредоносных программ. После установки, опасное программное обеспечение контролирует деятельность жертв в Интернет, чтобы увидеть, заходят ли они на веб-сайты финансовых учреждений.

Когда потенциальная жертва заходит на соответствующие сайты, человек, который управляет вредоносной программой, предупреждается об этом и ему предоставляется информация об устройстве, в том числе информация об IP-адресе, операционной системе, процессоре и скорости соединения.

Инструментарий наделен простым графическим интерфейсом, который отображает рабочий стол жертвы и то, что она печатает.  Интерфейс также включает в себя функции для получения контроля над мышью и клавиатурой, а также для представления жертвам различных сообщений, которые могут быть использованы для получения ценной информации.

Опасное программное обеспечение делает скриншот банковского сайта и передает его пользователю уже в виде привычного интерфейса. Затем злоумышленник использует инструмент чтобы прикрепить сообщение на этот снимок. Сообщение уведомляет о необходимости ввести информацию, которая необходима злоумышленнику для получения доступа к банковскому счету. Эта информация может включать имена пользователей и пароли, а также одноразовые пароли, которые генерируются устройствами безопасности, предоставляемые банками своим клиентам.

Далее KL-Remote отображает новое сообщение, уведомляя жертву подождать, пока процесс не будет завершен. В то время пока пользователь ждет, злоумышленник получает контроль над его компьютером и учетной записью. Действия мошенника не видны жертве, так как все происходит за отображаемым на экране скриншотом.

Исследователи IBM Trusteer подчеркивают, что такой инструмент может быть весьма эффективным в обходе традиционных механизмов борьбы с мошенничеством. Это потому, что злоумышленник может получить информацию, необходимую для доступа к учетной записи, просто запросив ее у потерпевшего, а так как действие выполняется непосредственно с компьютера пользователя, который считается доверенным устройством, никакое особое внимание на это не обращается.

Сейчас KL-Remote распространен лишь на территории Бразилии.

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*