Подбор низовых исполнителей мошеннической схемы, которые держат счета для приема краденых денег и периодически снимают их для пересылки в «общак», — процесс достаточно трудоемкий. Стремясь облегчить себе жизнь, операторы ZeuS нашли весьма остроумное решение. Они использовали функционал зловреда, чтобы направлять посетителей CareerBuilder.com на ресурс, специализирующийся на вербовке дропов.

Эксперты Trusteer обнаружили необычную схему атаки Man-in-the-Browser (MitB), анализируя один из конфигурационных файлов ZeuS. Отслеживая заходы на популярный сервис трудоустройства, зловред на лету внедрял рекламную ссылку в отображаемую в браузере html-страницу. По свидетельству исследователей, продвигаемый таким образом сайт MarketAndTarget.com предлагал горячие вакансии, был броско оформлен, но, как и все подобные ему ресурсы, пестрил грамматическими и синтаксическими ошибками. На нем была также размещена реклама родственного сайта с похожим именем, уже зарекомендовавшего себя как мошеннический. По данным Trusteer, опекаемый «Зевсом» рекрутинговый веб-сервис уже закрыт.

Руководитель разработок Trusteer в области профилактики мошенничества Итей Маор (Etay Maor) отмечает, что впервые столкнулся со случаем html-инъекции в виде ссылки. Злоумышленники используют ее в качестве промежуточного звена мошеннической схемы и при этом не пытаются украсть персональные идентификаторы или иную информацию. ZeuS — это банковский троянец, использующий веб-инжекты, которые обычно ориентированы на конкретные банковские приложения. Когда жертва заражения регистрируется в системе онлайн-банкинга, зловред активируется и перехватывает вводимые идентификаторы, данные платежной карты и прочую информацию приватного характера.

«В данном случае мы наблюдаем редкий способ применения html-инъекции, когда жертву пытаются перенаправить на рекламу фальшивой вакансии, — комментирует Маор. — Поскольку внедренная ссылка отображается в процессе активного поиска работы, жертва, скорее всего, примет такое предложение за чистую монету. Использование CareerBuilder в качестве плацдарма позволяет операторам ZeuS расширить охват потенциальных кандидатов в дропы».

Первичный способ заражения новым ZeuS пока не установлен. Обычно этот троянец распространяется через drive-by-загрузки или посредством спам-рассылок. Атаки по типу MitB умеют проводить не только представители семейства ZeuS, но и многие другие банкеры.

В заключение стоит отметить, что случаи злоупотреблений на сайтах трудоустройства нередки. Этот сервис издавна пользуется повышенным вниманием со стороны криминальных элементов, особенно тех, которые занимаются вербовкой дропов — сознательных или невольных соучастников мошеннических схем. «Я знаю случаи, когда злоумышленники атаковали сайт трудоустройства семь, восемь лет подряд, — говорит Маор. — Обычно они действуют изнутри, то есть размещают на сайте вакансии в рамках мошеннической схемы и вербуют дропов. В моей практике встречались также публикации резюме со ссылкой на drive-by-страницу, награждавшую посетителя ворующим пароли зловредом».

Категории: Вредоносные программы, Главное, Мошенничество