В Сети распространяется вирус, способный осуществлять хищения с банковских счетов и умело «заметать следы», сообщает Wired. Помимо своей «основной деятельности», которая заключается в хищении пользовательских денег, URLZone (так называется троян) существенно преуспел в маскировке.
Троян перехватывает платежные данные пользователя и пересылает их на центральный сервер - в Украину. Из контрольного центра поступают дальнейшие инструкции - сколько денег списать и куда их отправить. После этого деньги через цепочку подставных счетов выводятся. Цепочка эта всякий раз отличается. Способы, которыми троян списывает деньги со счета и скрывает свою деятельность, также могут меняться. Один из них - подмена платежной страницы, когда пользователь подтверждает платеж на одну сумму, а на самом деле отдает другую - так, исследователям удалось стать свидетелями того, как под видом платежа размером 53,94 евро было осуществлено списание на сумму 8576,31 евро.
Поселившийся в памяти URLZone перехватывает коды веб-страниц, вносит в них свои изменения и отдает пользователю уже в измененном виде. В частности, он может подменять данные в интернет-банке, что позволяет дольше маскировать активность, списывая деньги со счета ничего не подозревающей жертвы.
«Основная опасность подобных атак - их целевая направленность. Они конкретно направлены на ресурсы, в которых хранится, обрабатывается или передается в незащищенном виде чувствительная информация платежных карт. Цель - кража чувствительной информации, поэтому жертвы - пользователи атакованных ресурсов, причем без привязки к географии», - сообщил старший консультант по информационной безопасности компании Sysnet Алексей Гребенюк. Однако есть у этой новости хоть и не приятная, но несколько успокаивающая сторона. Для граждан СНГ и России в частности риск существенно ниже, полагает г-н Гребенюк. Во-первых, целевых атак на подобные ресурсы не отмечено, скорее, в силу их малой распространенности и загрузки. Во-вторых, пока соблюдается некое «джентльменское» соглашение хакеров из СНГ - по своим сайтам они не «бьют», а корни у URLZone, по крайней мере, если судить по центральным серверам, украинские.
