В последние пару месяцев, после двух-трех лет относительного затишья, наблюдается рост активности криминальной группы, стоящей за банковским троянцем URLZone. Он атакует пользователей по всей Европе, а с января — и в Японии.

О возобновлении деятельности URLZone в понедельник предупредила Лимор Кессем (Limor Kessem), ИБ-эксперт IBM. Атакующие начали рассылать спам-письма с вредоносными вложениями клиентам 14 японских банков.

«Сам зловред считается тщательно проработанным и сложным, однако список текущих мишеней и набор веб-инжектов говорят о том, что это базовый вариант, скорее всего, производимый теневым вендором для продажи», — полагает Кессем.

В принципе этот троянец способен действовать очень скрытно. Украв деньги, он иногда прячет строку транзакции с помощью HTML-инъекции, чтобы жертва ничего не заподозрила. Стремясь сохранить в тайне подставные счета дропов, командный сервер может возвращать URLZone произвольные банковские аккаунты, что еще больше затрудняет работу исследователей и ИБ-служб банков.

Со слов Кессем, URLZone способен выполнять следующие функции:

  • воровать идентификаторы клиентов банков;
  • делать скриншоты;
  • производить веб-инъекции для введения в заблуждение пользователей и сокрытия состояния счета;
  • обеспечивать проведение мошеннических транзакций из консоли;
  • использовать алгоритм генерации доменов (DGA) в качестве резервной связи с C&C;
  • поддерживать шифрованную связь с C&C;
  • расшифровывать конфигурационный файл с данными о веб-инжектах;
  • использовать средства самозащиты и обхода анализаторов.

По данным IBM, данный банкер был почти незаметен в период с 2013 по 2015 год, однако в минувшем августе объявилась его новая версия, с усовершенствованной защитой и модулями для проведения атак на клиентов британских, итальянских, польских и хорватских банков. В декабре интересы URLZone распространились на Испанию, которой он продолжает оказывать внимание, хотя в настоящее время отдает предпочтение японским банкам.

URLZone существует в Сети в том или ином виде с 2009 года. В одной из ранних кампаний злоумышленники раздавали его с помощью эксплойт-пака LuckySploit и за три недели смогли украсть порядка 300 тыс. евро у клиентов немецких банков. Примерно в то же время они впервые ввели в обращение новую уловку — генерацию фальшивых данных своих помощников по отмыванию денег, с тем чтобы сбить со следа борцов с банковскими угрозами.

Эксперты полагают, что активизации URLZone способствовали Shifu и Rovnix, несколько ранее проторившие дорогу в Японию: первый — в минувшем августе, второй — к началу декабря. «Поскольку группа, стоящая за URLZone, пришла в Японию после других, уже обосновавшихся в этой стране, вполне возможно, что она будет использовать аккаунты, уже открытые дропами, а также местных агентов, проверенных в полевых условиях», — заключает Кессем.

Категории: Вредоносные программы, Спам