В этот раз хакеры нацелились на бразильскую платежную систему Boleto, второй по популярности платежный метод в стране, и провели сотни тысяч мошеннических транзакций общим объемом порядка $4 млрд.

Платежная система Boleto Bancario работает на основе Boleto, финансовых документов, выпускаемых банками, которые клиенты могут использовать для проведения платежей за жилищно-коммунальные и другие товары и услуги. Boleto либо распечатываются и отсылаются клиентам по почте, либо генерируются и отправляются по электронным каналам. В обоих случаях документ содержит штрихкод и идентификационное поле либо цифровое представление штрихкода и идентификационный номер.

Исследователи RSA Security сообщили об обнаружении обширной и эффективной вредоносной кампании, которая действует на протяжении двух лет и имеет целью хитроумное мошенничество, заключающееся в составлении поддельных платежных документов.

Вредоносные атаки на Boleto используют заражение браузера для атаки на уязвимости в Chrome, Firefox и Internet Explorer, работающие под управлением Windows, и перенаправляют платежи Boleto на перевалочный счет злоумышленника.

«Так как этот зловред относится к MITB, вся вредоносная активность невидима как для жертвы, так и для веб-приложения», — сообщила RSA в своем отчете, добавив, что существует 19 вариантов зловреда.

RSA сообщила, что выявила 495 753 мошеннические транзакции Boleto начиная с 2012 года объемом $3,75 млрд.

«Boleto-зловред — крупная мошенническая операция, представляет собой серьезную киберпреступную угрозу банкам, торговым организациям и клиентам банков в Бразилии, — сообщила RSA. — Хотя масштаб явления, возможно, и недотягивает до некоторых международных киберпреступных операций, но оно является чрезвычайно прибыльным предприятием для его хозяев».

При легитимной онлайновой транзакции Boleto онлайн-магазин, к примеру, создает и отправляет Boleto клиенту. Как только Boleto отображается в браузере, клиент может выбрать, где его использовать. Когда компьютер заражен, данные Boleto похищаются вместе со всеми данными браузера и отправляются на сервер злоумышленника. Затем преступник модифицирует данные Boleto и отправляет платежи на специальный перевалочный счет хакера.

RSA сообщила, что обнаружила 192 227 ботов или уникальных IP-адресов, которые были заражены. В ходе кампании были затронуты более 30 банков и украдено более 83 тыс. учетных данных для электронной почты и других данных.

По сообщению RSA, этот тип мошенничества клиенту определить сложно, потому что поля идентификаторов не связаны с получателем платежа и клиент обычно не проверяет информацию такого рода. Банки, как сказали в RSA, не могут сразу опознать мошеннические транзакции, так как они приходят с компьютеров клиентов, а клиенты часто совершают платежи через Boleto.

Мошеннические номера идентификаторов Boleto и другие характеристики атаки были переданы в ФБР и федеральную позицию Бразилии.

«Хотя зловред Boleto и способ, которым он модифицирует транзакции Boleto, сложно обнаружить, он, похоже, задействует только те Boleto, которые создаются или платятся на зараженных Windows-компьютерах в трех популярных веб-браузерах, — сообщила RSA. — RSA Research не видит доказательств компрометации транзакций через мобильные приложения Boleto или электронные кошельки DDS (авторизованного прямого дебетования)».

Категории: Вредоносные программы, Главное