Зловред GameOver ZeuS неплохо выступил, заработав неназванное число миллионов долларов для своих создателей. Но это выступление кончилось межконтинентальной операцией правоохранительных органов и исследователей-безопасников по демонтажу его инфраструктуры. Теперь же исследователи идентифицировали новый вариант зловреда Cridex, который перенял часть техник, обеспечивших успех GOZ.

GOZ был одним из самых успешных образчиков финансового зловреда, появившихся за последние годы, и применялся своими создателями в масштабных мошеннических схемах по всему миру. Зловред отличался от своего родственника ZeuS тем, что использовал P2P-архитектуру для своей инфраструктуры управления и контроля, что сделало более сложным ее обнаружение и уничтожение. Несмотря на то что большая совместная операция исследователей-безопасников и правоохранительных агентств в США и Европе положила конец инфраструктуре GOZ еще в июне, эксперты утверждают, что замечали четкие следы того, что GOZ возвращается к жизни.

В июле исследователи обнаружили возможную новую версию зловреда GOZ, и лишь на этой неделе исследователи из Arbor Networks заявили, что у них есть доказательство того, что ботнет GOZ возвращается к жизни. Компания запустила пять различных синкхолов GOZ и увидела более 12 тысяч уникальных IP, зараженных GOZ, подключающихся к серверам. Теперь исследователи из команды X-Force компании IBM нашли новую версию Cridex, также известного как Bugat и Feodo, которая применяет те же техники, что и GOZ. В частности, новый штамм зловреда перенял склонность GOZ к использованию HTML-внедрений, и эта техника, по словам исследователей, практически идентична тому, как работал GOZ.

«Есть два возможных объяснения этому. Первое — кто-то из группы GOZ мог перейти в команду Bugat. Это был бы не первый случай, когда такое происходит, мы были свидетелями такого в других случаях, включая ZeuS и Citadel. Тем не менее это не слишком вероятно, так как Bugat и GOZ определенно соперники, в то время как ZeuS и Citadel близко связаны. Второе, более вероятное объяснение состоит в том, что команда Bugat проанализировала и, возможно, провела обратный инжиниринг GOZ и скопировала HTML-внедрение, которое сделало GOZ таким прибыльным для его операторов», — написал Этай Маор, старший стратег по предотвращению мошенничеств IBM, в анализе нового зловреда.

Как и в случае других похожих зловредов, Cridex/Bugat разработан специально для кражи ценных банковских учетных данных и другой финансовой информации. Ключевым элементом атак этого вида является возможность захватывать учетные данные зараженного пользователя, когда он посещает сайт своего банка. Cridex/Bugat имеет способность определять, когда пользователь пытается зайти на сайт онлайн-банкинга, и перенаправлять жертву на идентичный сайт, но контролируемый злоумышленниками и затем красть учетные данные, которые она введет. После этого зловред подключается к банку и IP-адресу пользователя и проводит денежный перевод или другую мошенническую транзакцию.

«В случае когда банк запрашивает дополнительную информацию у преступника во время выполнения транзакции, преступник может получить эти данные, используя социальную инженерию и HTML-внедрение. Эти запросы показываются жертвам в реальном времени. Такие запросы могут включать секретные вопросы и элементы двухфакторной аутентификации, такие как одноразовые пароли», — сказал Маор.

Для банд вирусописателей довольно обычное дело перенимать успешные техники, которые они наблюдают в продуктах других злоумышленников, да и сотрудничество между авторами зловредов и киберпреступными бандами не является чем-то неслыханным. Так что не будет сюрпризом увидеть, как другие группы осваивают и другие свойства, которые сделали GOZ столь успешным.

Категории: Вредоносные программы, Мошенничество