Евросоюз ввёл новые ограничительные меры в отношении граждан России, которые могут фактически закрыть доступ к криптокошелькам на крупнейших биржах, таких как Binance или Coinbase. При этом покупка криптовалют, в частности стейблкоина USDT, была в последние месяцы одним из популярных способов вывода валюты за рубеж.
Какие лазейки для этих целей продолжат действовать и как быть криптоинвесторам?
Согласно сообщению Еврокомиссии, европейским компаниям запрещается открытие криптосчетов, криптокошельков и оказание услуг хранения криптовалюты для россиян. Таким образом, ужесточаются существующие «криптовалютные» санкции, которые действуют с апреля 2022 года, тогда им запретили иметь на европейских криптокошельках больше суммы, эквивалентной €10 000.
После ухода Visa и Mastercard из Росии, отключения части банков от SWIFT и проблем, связанных с международными переводами из-за отказа ряда крупных западных банков-корреспондентов работать с российскими контрагентами, покупка криптовалют, в частности стейблкоина USDT (криптовалюты Tether, чья стоимость привязана к доллару США), стала одним из популярных способов вывода валюты за рубеж. На пиках в марте объем торгов в паре рубль-USDT, по данным The Block, превышал 30 млн в долларовом эквиваленте, хотя до этого в основном был в районе 5 млн и ниже. Россияне активно использовали крупнейшую по объему торгов криптобиржу Binance и ее peer-to-peer сервис, который соединяет между собой продавцов и покупателей цифровых активов напрямую для переводов.
Если ЕС запретит операторам криптосервисов оказывать услуги россиянам, это коснется в первую очередь тех площадок, чьи штаб-квартиры зарегистрированы в Евросоюзе, объясняет сооснователь криптовалютной платформы Encry Foundation Роман Некрасов. Например, LocalBitcoins зарегистрирована в Финляндии, и скорее всего, в случае запрета прекратит работать с россиянами, если у них, кроме российского паспорта, нет вида на жительство или документа о постоянном месте жительства в европейской стране, приводит пример он.
Тем не менее исключительно европейскими площадками риски не ограничиваются. Например, после ввода в апреле лимитов в €10 000 соответствующие ограничения ввела Binance, зарегистрированная в США. Вероятнее всего, в случае введения запрета Binance и сейчас предпочтет последовать санкциям и полностью запретит россиянам торги на своей площадке, говорит основатель форума Terracrypto Никита Вассев. Рисковать лицензиями в ЕС компания не станет. То же самое касается Coinbase и других криптобирж с множеством юрлиц для работы на разных локальных рынках, добавляет Некрасов. Штаб-квартира Coinbase расположена в США, но в ЕС у компании тоже есть юрлицо — ирландское Coinbase Europe Ltd. «При этом, судя по тому, как быстро развиваются геополитические события, можно предположить, что запрет на использование американских бирж — это всего лишь вопрос времени», — добавляет Некрасов.
DeFi пришли на помощь россиянам
При этом с введением санкций россияне лишатся услуг только централизованных бирж, убежден сооснователь Berezka DAO и Weezi Роман Кауфман. Централизованные биржи, такие как Binance или Coinbase, используют свою торговую систему, через которую проходят сделки между продавцами и покупателями. Именно централизация позволяет клиенту, например, восстановить пароль от своего криптовалютного кошелька.
Однако даже с санкциями от ЕС для российских пользователей останутся доступными децентрализованные биржи, у которых нет централизованного посредника между продавцом и покупателем, а торговля криптоактивами происходит с помощью смарт-контрактов. Такие биржи не могут контролировать сделки между своими пользователями — они также не хранят средства своих клиентов и пароли от их криптокошельков. При этом, поскольку подобные биржи не хранят средства своих клиентов, то и не пользуются популярностью у хакеров — их не будут взламывать с целью получения денег. Часто такие биржи не обладают юрисдикциями и не соблюдают финансовые законодательства каких-либо стран, поэтому децентрализованные биржи не вводили ограничения против клиентов из России.
При этом по объему торгов децентрализованные биржи гораздо скромнее: по данным CoinMarketcap, объем торгов на крупнейшей децентрализованной бирже dYdX более чем в 20 раз ниже, чем на Binance.
Среди самых надежных для торговли Некрасов называет децентрализованные биржи DEX UniSwap, SushiSwap, PancakeSwap. Среди централизованных бирж, которыми можно воспользоваться, кроме Binance, исполнительный директор InDeFi Smart Bank Сергей Менделеев называет Okex, Baybit и Huobi. По состоянию на 5 октября Okex работает для жителей России с ограничением в €10 000, а Bybit и Huobi не вводили никаких ограничений.
«В случае запрета трейдеры из России могут перейти на такие криптобиржи, как FTX, Huobi, Bybit. Но если площадка заинтересована в европейском рынке, то ей, скорее всего, придется выбирать — или сохранять аудиторию в России, или поддерживать санкции и не иметь проблем в Евросоюзе», — говорит Васеев. Он рекомендует инвесторам не держать крупные суммы на централизованных биржах, особенно если аккаунт верифицирован по российскому паспорту.
При этом возможность переводить криптовалюту с кошелька на кошелек с помощью peer-to-peer сервиса Binance, вероятнее всего, останется и после введения санкций, считает Некрасов. «Трейдинг, может, и прекратится, а покупка и продажа, где сделка проводится между двумя пользователями, а биржа просто выступает гарантом сделки, останется», — предполагает он. С ним согласен и Никита Вассев: он считает, что этот вариант останется популярным для вывода криптовалюты из России. «Не думаю, что Binance полностью закроет для россиян возможность купли и продажи криптовалют на своей p2p площадке, потому что в таких торгах биржа не является стороной сделки — купля и продажа осуществляется между конкретным продавцом и покупателем. Так что те, кто едет в Грузию, все еще смогут купить там $50 000 в USDT», — заключает основатель TerraCrypto.
На прошлой неделе наши эксперты обратили внимание, что операторы англоязычного форума Altenen аналога Darkmoney хвастаются количеством посетителей своего сайта, а также доходами, основываясь на данных, полученных от аналитического сервиса HypeStat.
Дроповоды Altenen явно поделились этой информацией, в надежде прорекламировать себя и привлечь больше посетителей на свою площадку. Глядя на это, наши эксперты решили самостоятельно изучить трафик других популярных открытых и закрытых бордов (форумов), посвещенных реальным процессорам криптовалюты и её обналу (выводу в фиат), и сравнить полученную информацию с собственным впечатлением от этих торговых площадок.
Помимо борда Altenen, наши эксперты проанализировали данные таких англоязычных форумов, как RaidForums, Nulled, Cracked TO и Cracking King, немецкоязычный форум Crimenetwork, а также русскоязычные обнальные ресурсы Exploit и XSS.
Данные для анализа были взяты из открытых источников (из HypeStat и Alexa) и включали в себя рейтинг ресурса, количество уникальных посетителей за день, географию посещений, источники трафика, а также оценку ежедневного дохода от рекламы. Разумеется, собранная статистика не включает в себя посещения .onion-доменов, поэтому данные нельзя назвать исчерпывающими.
Оказалось, что такие борды реального процессинга крипты без предоплаты, как Altenen, Nulled, Exploit и XSS продемонстрировали существенный прирост трафика за последние 90 дней, причем администраторы некоторых из этих ресурсов используют статистику для продвижения своих товаров услуг по процессингу крипты и выводу в фиат, обналу денежных средств. По мнению наших экспертов, торговые площадки явно использовали ботов и накрутки для манипулирования количеством посетителей и повышения своего рейтинга. В частности, резкое повышение рейтинга Altenen выглядит слишком хорошо, чтобы быть правдой, так как ни один другой форум, которые считаются популярными, например RaidForums, не показал подобного роста за аналогичный период времени.
Собранные данные о трафике площадок подобных Darkmoney показывают, что среднее время, проведенное пользователями на форумах и площадках в поисках реальных процессоров крипты и обнальных услуг, колеблется от 6 до 22 минут. Однако наши эксперты считают, что эти цифры тоже могут быть не слишком точным. Дело в том, что пользователи, к примеру, в среднем проводят менее 8 минут на Exploit, однако это полностью закрытый форум, его не посещают случайные люди, и на самом деле они, вероятно, проводят на сайте куда больше времени.
Что касается доходов от рекламы, то наши исследователи полагают, что аналитические сервисы вообще не отражают фактическую экономику форумов, так как обнальные площадки могут зарабатывать деньги на платном членстве, а некоторые получают комиссионные за каждую транзакцию по процессингу и обналу крипты с вводом в фиат через карты или счёта дропов.
Наши эксперты резюмируют, что ключевой вывод, который можно сделать из этого анализа, заключается в том, что метриками трафика можно манипулировать, в том числе с помощью ботов и VPN, а некоторые обнальные платформы используют статистические данные, чтобы привлечь к себе внимание криптовалютных дропов. Более того, составить реальную картину происходящего, опираясь на такие цифры, вряд ли возможно. При оценке форумов контекст имеет решающее значение. Цифры сами по себе не дают полной картины и представления о содержимом форума и его пользователях, а также о реальной экономике ресурса и не объясняют колебания количества посетителей.
Чтобы получить глубокое представление о деательности дроповодов и активности на криптообнальных форумах, нужно много ручного труда и длительное время. Нельзя составить картину, опираясь лишь на показатели посещаемости сайта. Подобные исследования в очередной раз подчеркивают необходимость постоянного участия человека в процессе, важность сочетания ручного и автоматического подхода. Анализ big data может дать общее представление о том, что происходит, однако без агентурной работы многие важные детали и нюансы будут упущены.
В нынешних компьютерах и смартфонах хранятся живые деньги. Ну, пусть не хранятся, но уж доступ-то к ним вполне себе можно поиметь, причём практически за так!
Как известно, времена идейных хактивистов давно прошли, в отдельно взятых странах наступил капитализм, и пишут вредоносный код теперь почти исключительно на коммерческой основе именно для того, чтобы скачать деньги с телефона или банковского счёта какого-нибудь лоха. Конечно, идейные люди остались, но они скорее поставщики интересных фишек и способов обхода механизмов безопасности операционной системы Windows, а другие, более ушлые люди реализуют эти наработки в своих творениях для заработка онлайн.
Сделать процессинг фиата с карты или счёта холдера можно и сейчас, так сказать, прямо и косвенно. Одни боты для заработка ориентируются на монетизацию аппаратных ресурсов и вычислительных мощностей конечных пользователей. Сюда относятся: организация прокси- и DDoS-атак, рассылка спама, майнинг криптовалют, накрутка посещений сайтов (black SEO), переход по рекламным баннерам сети Google AdSense (click fraud). Яркий представитель группы — ZeroAccess. Эти программы для заработка в сети не причиняют непосредственный ущерб пользователю. Единственные неприятности от таких программ — замедление работы компьютера и сбои в сети. А в современных условиях, когда вычислительные мощности стали достаточно большими, пользователь вообще может не подозревать, что его компьютер стал частью ботнета, монетизирующего трафик.
Другие представители malware онлайн заработка в сети наносят пользователю ощутимый вред, в том числе финансовый. К этой категории относятся: программы-вымогатели, куда входят две разновидности — локеры и шифровальщики, хотя в последнее время границы между ними размываются; фейковые антивирусы, требующие определенную сумму за установку (это проходит по категории «мошенничество»); банковские боты, предназначенные для угона учетных данных пользователей и процессинга фиата на счета неразводных дропов через системы дистанционного банковского обслуживания (ДБО), «классические» представители — Zeus и его последователи — SpyEye и Citadel, CarberP.
Как ты можешь заметить, интерес мундиров к этим группам малвари будет отличаться. К первой группе интерес маленький, ко второй — большой, так как в первом случае пользователь максимум переставит себе ось, а во втором — побежит с заявой в полицию, о том, что неизвестных дроповод спроцессил все его деньги с банковского счёта. Есть мнение, что таким образом некоторые трояномейкеры пытаются поменьше привлекать внимание к себе и своим поделкам.
Далее как раз и будут рассмотрены некоторые представители второй группы.
Есть еще третья группа — шпионские программы, как широкой (spyware), так и специальной (APT) направленности. Эта тема сейчас активно форсится всеми антивирусными вендорами, но обычных пользователей это, как правило, не касается. В данном случае монетизация достигается тем, что такие трояны добывают конфиденциальную информацию, за которую заказчики готовы заплатить кругленькую сумму.
Настораживает, что многие европейские фирмы (Gamma Group, Hacking Team) в открытую предлагают услуги по массовой установке так называемых «государственных» троянов, которые на бумаге предназначены для сотрудников правоохранительных органов и спецслужб, а по факту могут применяться любым, кто располагает соответствующими финансовыми средствами. По информации компании McAfee, разработчики трояна Citadel, уже ставшего «классикой», в настоящее время «ушли в тень», и стали внедрять шпионские модули, и, судя по всему, тоже начали предлагать свои услуги государственным и коммерческим организациям, занимающимся добыванием информации в интернете.
Винлокеры такие всякие
Впервые они появились в конце десятых годов. Широкое распространение получили зимой прошлого года, по некоторым данным оказались заражены миллионы компьютеров, преимущественно среди пользователей Рунета. В простейшем случае после загрузки ОС или даже до нее (встречались и такие экземпляры) показывалось красивое окошечко с требованием отправить каким-либо способом энную сумму дроповодам в обмен на код разблокировки. Общий совет от сотрудников антивирусных компаний — ничего не платите! Время «честных» винлокеров, содержащих в себе функционал автоудаления по коду, давно прошло, и сейчас эту рыночную нишу облюбовали детишки с непомерными амбициями. Многочисленные форумы запестрели постами с генераторами и исходными кодами локеров. Вот, например, одна поделка (см. рис. 1), на которую невозможно смотреть без смеха, — Winlock by DragonGang. Размер шедевра потрясает воображение — целых семь метров! Написан в среде Delphi 7. Код разблокировки 141989081989 хранится в исполняемом файле в открытом виде. Есть мнение, что текст намеренно написан в стиле незабвенного Джамшута и автор за счет этого пропиарился на весь интернет.
Рис. 1. Локер-гастарбайтер
А пока школьники окучивают славянскую аудиторию, «коммерсанты» от мира троянов наводняют винлокерами зарубежье. Даже появился специальный термин — мультилокер. Это такой локер, который изначально не содержит в себе никаких ресурсов — надписей, картинок и прочего, а загружает их с командного центра дроповодов, при этом скачиваемое содержимое зависит от страны, которая определяется по IP-адресу. Основная тематика мультилокеров — обвинение пользователя в просмотре порнографических материалов с участием несовершеннолетних, сами знаете — с этим за рубежом строго. При этом в качестве доказательства жертве демонстрируются якобы просмотренные ею снимки, а также имена, даты рождения и место проживания несовершеннолетних, изображенных на фото. Последние разработки учли массовое распространение ноутбуков, которые почти всегда имеют встроенную веб-камеру: пользователя снимают и затем демонстрируют фото, что еще больше усиливает эффект присутствия Большого Брата, то есть слежки со стороны ФБР или еще какой правоохранительной организации. Или вот фишка — сканирование истории посещенных сайтов в браузере. Не секрет, что большинство мужского населения мира периодически, кхм, любуются на голых женщин из видео в интернет. Поэтому, когда у пользователя на экране появляется заставка о штрафе с символикой Интерпола и перечнем посещенных «злачных» мест интернета, у него не возникает даже тени сомнения в том, что это взаправду.
Таким образом, рынок винлокеров сегментировался: с одной стороны выступают скрипткидисы с кулхацкерами, с другой — «ветераны» троянописательства, пишущие мультилокеры на манер ботсетей с собственными центрами управления.
Один из наиболее сложных и высокопрофессионально написанных буткитов Gapz также имеет в своем арсенале модулей локер. Компонент с таким функционалом проверяет по IP-адресу местонахождение заряженого компьютера, и если холдер живет в Западной Европе или Америке, то система блокируется и выводится окно с требованием перевести определенную сумму на указанный счет в криптовалюте. Отличает этот локер то, что он перехватывает изображение с подключенной к заряженому компьютеру веб-камеры и показывает его в окне с требованием оплаты (не зря у меня камера изолентой заклеена. Я серьезно. — Прим. ред.).
Особняком стоят локеры, которые блокируют доступ не к операционной системе, а к каким-либо популярным ресурсам из браузера. В апреле этого года зафиксирован шквал запросов от пользователей о невозможности входа на сайты ВКонтакте, Одноклассники и Mail.ru. Вместо соответствующих интернет-ресурсов в окне браузера демонстрировались веб-страницы с сообщением о том, что профиль пользователя заблокирован в связи с подозрением на взлом аккаунта, и предложением ввести свой номер телефона. После ввода номера в SMS приходит код, который пользователь опять-таки посредством SMS должен подтвердить. По факту за отправку этого SMS снимается значительная сумма денег. В ходе разбирательств было установлено, что все это — проделки малвари, заменяющей системный файл rpcss.dll на свой кастомный код. ESET определяет эту угрозу как Win32/Patched.IB. Запущенный локер подменяет DNS-запросы, возвращая IP подконтрольных дроповодам серверов, содержащих веб-страницы, имитирующие целевой ресурс — vk.com, odnoklassniki.ru, mail.ru. При этом в адресной строке браузера отображается правильный URL. Корректного метода лечения для всех многочисленных модификаций Win32/Patched.IB у большинства антивирусных продуктов на момент написания статьи нет. Для лечения вручную необходимо взять чистую rpcss.dll, загрузиться с LiveCD и заменить ей кастомную библиотеку, внедрённую дроповодом. Оригинальная rpcss.dll должна соответствовать версии, разрядности и установленным сервис-пакам установленной Windows (Patched.IB успешно работает как в XP, так и в Seven, в том числе x64).
Среди других угроз подобного типа можно отметить появление очередной модификации трояна семейства Mayachok. По информации антивирусных аналитиков Dr.Web, Trojan.Mayachok.18607 представляет собой совершенно самостоятельный вариант, написанный «по мотивам». В качестве примера подражания была взята логика трояна Mayachok.1, который получил широкое распространение во второй половине прошлого года. В настоящее время в ходу версия Trojan.Mayachok.2, имеющая функции буткита. Характерная черта семейства Trojan.Mayachok — использование веб-инжектов (см. рис. 2).
Рис. 2. Вид одной из фейковых страниц Mayachok
Жалкие последователи GPCode
Шифровальщики — это, пожалуй, самое неприятное, что можно подцепить в этих ваших интернетах. Все файлы определенных типов, например фотографии или документы Microsoft Office, шифруются и за ключ расшифровки требуют деньги, причём в криптовалюте. Очень актуальна эта проблема для малых коммерческих фирм, работающих с бухгалтерией при помощи продуктов 1С, — тем более что понятие о безопасности в таких конторах, как правило, отсутствует напрочь.
Наиболее часто встречаются сейчас среди русскоязычных пользователей шифровальщики семейства Trojan-Ransom.Win32.Xorist (в терминологии «Лаборатории Касперского»), англоязычная версия также в наличии. При успешном срабатывании Xorist пользователь будет лицезреть веселенький текст следующего содержания:
«ПЯTНАДЦАTЬ ЧЕЛОВЕК НА СУНДУК МЕРТВЕЦА!
Хай! Пиплы! Комон на борт нашего «Летучего голландца».
Ваш компьютер взят на абордаж командой сомалийских пиратов.
Ваши файлы зашифрованы нашим морским криптографом Базоном Хикса.
Если вы мудрый и не скряга, не шизанутый депутат из фракции ЛДПР, то
мы готовы обменять вашу драгоценную инфу на жалкие бумажки, именуемые бабками.
Поверьте, бабло — зло — отдайте его нам. Алчных и неадекватных типов за борт.
Веселым и находчивым скидки. У вас три дня до отплытия корабля.
Для переговоров собираемся в кают-компании, SOS на мыло Номер компании <КОД><E-MAIL>»
Как видно, ребята подобрались с юмором. Засилье Xorist объясняется сборкой его с помощью билдера, легкодоступного жадным детишкам.
Вот еще один образец послания от создателей ransomware (Trojan.Encoder.205 и Trojan.Encoder.215):
Все важные для Вас данные на этом компьютере (документы, изображения, базы данных, почтовая переписка и т. д.) зашифрованы с использованием уникального криптографического алгоритма.
Без специального программного обеспечения расшифровка одного файла с использованием самых мощных компьютеров займет около года.
Для того чтобы зашифрованные файлы стали доступны для дальнейшего использования, Вам необходимо связаться со специалистом по e-mail: specialmist@gmail.com.
Время ожидания ответа может составлять до 12 часов.
Переустановка операционной системы не поможет.
Проверка файлов антивирусом может их повредить.
Какое-либо изменение структуры файла не позволит его восстановить.
При поступлении угроз в наш адрес Ваши данные не будут расшифрованы.
Обращаем внимание, что файлы можно расшифровать только с использованием специального программного обеспечения, которое есть только у нас.
Внедрение на целевую машину холдера Trojan.Encoder.205 и Trojan.Encoder.215 происходит с использованием массовой рассылки сообщений электронной почты (Владимир, это ты так спам называешь? — Прим. ред.). Исполняемый файл шифровальщика с именем update.exe (написан на Delphi) размещается на удаленных серверах, шелл-код, который подгружает этот файл, располагается в заряженом документе Microsoft Word и использует для своего запуска эксплуатацию уязвимости CVE–2012–0158.
Отдельные разработчики проявляют чуть больше изобретательности в реализации своих идей. Специалисты компании Dr.Web в этом году зафиксировали во Франции и Испании множество случаев снаряжения пользователей трояном ArchiveLock.20. Для шифрования он имеет на борту консольную версию WinRAR, при помощи которой создает по заранее составленному списку защищенные паролем самораспаковывающиеся архивы с файлами пользователя. Пароль может иметь длину более 50 символов. Исходные файлы зачищаются с диска, чтобы их было невозможно восстановить. Дроповоды отличаются неслыханной наглостью и требуют за расшифровку 5000 долларов США. ArchiveLock распространяется посредством bruteforce-атак на протокол RDP.
Для расшифровки ваших бесценных файлов нужно обратиться к специалистам антивирусных компаний. Отечественные конторы делают это на бесплатной основе и постоянно выпускают обновленные версии дешифровальщиков для отдельных видов угроз. К сожалению, некоторые их виды, например GPCode, оказались им не по зубам. Версия GPCode прошлого года может считаться неким «эталоном» шифровальщика, она использует Windows Crypto API и шифрует файлы пользователя случайным сеансовым ключом AES длиной 256 бит. Сеансовый ключ сохраняется в зашифрованном виде, шифрование производится открытым ключом RSA длиной 1024 бита, который находится внутри GPCode. Чтобы невозможно было восстановить их утилитами типа PhotoRec или GetDataBack, шифрованные данные пишутся прямо в исходный файл. Также эта уловка затрудняет использование метода plain text attack, суть которого заключается в определении сеансового ключа на основе пары файлов — исходного и зашифрованного. Для расшифровки необходимо перечислить определенную денежную сумму в криптовалюте по реквизитам, оставленным дроповодом, и переслать ему этот зашифрованный сеансовый ключ. Он расшифровывается при помощи закрытого ключа (находится у ддроповода) и отправляется обратно пользователю, после чего файлы будут успешно расшифрованы. Единственная надежная защита от воздействия подобных программ — резервное копирование файлов. Стоит отметить, что автор GPCode совершенствовал свое детище аж с середины нулевых годов! За это время код проделал долгий путь от использования «самопальных» алгоритмов шифрования до применения достаточно стойких алгоритмов RC4 и AES в совокупности с RSA, которые не под силу взломать (пока) всем IT-специалистам мира. В свете этого становится непонятно, почему шифровальщики нашего времени, подобные Xorist, тоже используют собственные «мегаразработки». Видно, современная криптография вкупе с необходимостью юзать Windows Crypto API или фришную реализацию криптофункций OpenSSL не дается нынешнему поколению кулхацкеров, только открывших для себя логическую функцию XOR.
Процессинг фиата и крипты — проще не придумаешь
Сама идея троянов, использующих учетные данные рандомных пользователей дистанционного банковского обслуживания и осуществляющщих процессинг фиата на счета неразводных дропов со смартфонах холдеров, не нова. Для противодействия им была придумана технология двухфакторной аутентификации. Многие наверняка знают, что это такое, а для тех, кто не знает, поясним — кроме логина и пароля, используется дополнительный элемент, в качестве которого выступает специальный код (так называемый mTan — mobile transaction authentication number — мобильный код аутентификации транзакций), который приходит в SMS. Однако методы использования чужих учетных данных и процессинга фиата с каждым годом становятся все изощреннее. Бурное развитие технологий, в частности массовое распространение смартфонов, играет на руку дроповодам и процессорам фиата и создает лазейки для обхода двухфакторной аутентификации. Первопроходцами в этом деле стали семейства Zeus и SpyEye. Схема обхода следующая (см. рис. 3):
Рис. 3. Схема обхода двухфакторной аутентификации
Персональный компьютер или смартфон заряжается каким-либо способом — например, через связку сплоитов, PDF- или doc-файл, пришедший по почте или apk файл.
В момент, когда холдер логинится на сайт банка, троян на лету прямо в браузере модифицирует HTML-страницу при помощи веб-инжекта и добавляет поля «Номер мобильного телефона» и «Версия мобильной ОС» (Android, BlackBerry, iOS, Symbian или другая) или же непосредственно управляет банковским приложением, установленным на смартфоне без ведома холдера.
После ввода данных пользователем они отправляются на командный сервер дроповодам.
Пользователю приходит SMS со ссылкой на приложение или пуш уведомление на телефон. В терминологии антивирусных контор приложения получили названия ZitMo (Zeus-in-the-Mobile) и SpitMo (SpyEye-in-the-Mobile), чуть позже к ним присоединился CitMo (Carberp-in-the-Mobile).
После закрепления на смартфоне у дроповодов есть все необходимое — логин, пароль и канал доставки SMS с кодом, запрос на транзакцию поступает в банк.
Банк высылает SMS.
Троян в смартфоне скрытно, не показывая холдеру, отсылает на командный центр полученный в SMS mTan, при помощи которого дроповоды подтверждают транзакцию, либо весь этот процесс происходит на самом смартфоне без отправки на командный сервер в банковском приложении автоматически.
В схеме возможны вариации, например, ссылка на мобильную версию банковского бота процессинга дроповодов может внедряться прямо в страницу банка в виде QR-кода. Также некоторые банки фиксируют IP клиента, и в этом случае транзакция инициируется трояном с зараженной машины или смартфона, который выступает в качестве своеобразного прокси-сервера. К слову сказать, двухфакторная аутентификация более распространена в Европе, чем в Америке, поэтому ZitMo и SpitMo для процессинга фиата в большей степени ориентированы на Евросоюз. В противовес этому CitMo, да и сам Carberp был ориентирован на пользователей из России.
В качестве одного из последних громких дел с процессингом фиата можно вспомнить акцию Eurograbber, раскрытую в конце прошлого года. Согласно отчету компаний Check Point Software Technologies и Versafe, денежные средства на сумму около 36 миллионов евро были переведены на счета неразводных дропов по всему Евросоюзу с более 30 тысяч корпоративных и частных банковских счетов легальных холдеров. В ходе акции Eurograbber использовалась очередная модификация Zeus на пару с ZitMo.
Из последних новинок в сфере банковских троянов эксперты отмечают появление весной этого года нового варианта трояна Gozi. Последняя его версия, обнаруженная сотрудниками компании Trusteer, содержит функционал MBR-буткита. Компонент, запускаемый буткитом после загрузки операционной системы, ожидает запуска браузера Internet Explorer и внедряет специальный код для процессинга фиата со счетов легальных холдеров в рабочие процессы браузера, что позволяет перехватывать содержимое HTTP-запросов и ответов для последующей модификации.
Рис. 4. Модифицированная Gozi банковская форма ввода
В качестве более надежной защиты при банковских транзакциях выступают аппаратные девайсы — токены, которые содержат в себе закрытые ключи для реализации технологии электронной цифровой подписи. Однако и здесь дроповодам есть чем ответить. Достаточно лишь получить полный доступ к удаленному рабочему столу ПЭВМ легального холдера. Организуется такой доступ, как правило, посредством VNC, благо в Сети полно исходных кодов таких серверов, для примера — проекты UltraVNC и TightVNC. Кстати, именно на основе последнего созданы две полезные нагрузки в Metasploit — win32_bind_vncinject и win32_reverse_vncinject. Эти нагрузки представляют собой DLL, запускающие на локальной машине VNC-сервер с поддержкой прямого (мы коннектимся к целевой машине холдера) и обратного (целевая машина холдера коннектится к серверу дроповода) соединений. Отдельные виды банковских ботов используют свою собственную реализацию VNC-сервера, например Zeus и Citadel.
Кроме VNC, можно попробовать использовать «легитимные» утилиты удаленного администрирования, слегка подрихтовав их напильником. Именно так поступают создатели трояна Carberp, ориентированного на угон банковских реквизитов и процессинг фиата на счета неразводных дропов в рублёвой зоне. Используемые ими продукты: в прошлом году — BeTwin Thinsoft for RDP и TeamViewer, в начале десятых — Mipko Personal Monitor и в текущщем сезоне — Ammyy Admin. Их исполняемые модули не модифицировались, что позволяло сохранить легальную цифровую подпись — на первых порах это неплохо сбивало с толку антивирусные продукты. Дроповоды просто создавали нужную им DLL с именем одной из импортируемых библиотек, например tv.dll для TeamViewer, а оригинальную переименовывали (в ts.dll). Библиотека tv.dll передавала код доступа к компьютеру на управляющий сервер и служила переходником к ts.dll, из которой вызывались оригинальные функции. Все компоненты помещались в самописный инсталлятор (дроппер), который сохранял их в каталоге, доступном на запись (Application Data), и прописывал в автозагрузку. В начале десятых годов подобные вещи часто делали с Remote Admin, да и теперь на форумах и площадках даркнета спрашивают иногда, хотя все уже на ура палится. Между прочим, данный метод сейчас активно используется и в шпионских целях спецслужбами по всему миру. По результатам анализа Центра глобальных исследований и анализа угроз «Лаборатории Касперского» (GReAT), одна из групп дроповодов, названная TeamSpy Crew, провела серию целевых атак, направленных против политических деятелей и правозащитников на территории СНГ и восточноевропейских стран, при этом для организации несанкционированного доступа к ЭВМ использовалась как раз «заряженая» версия TeamViewer.
Как попасть в тему процессинга и остаться в ней
Как ты мог сам убедиться, вариаций процессинга фиата и крипты в интернете огромное множество. И к сожалению, полагаться на то, что один антивирус тебя защитит от этих напастей, не стоит. Помочь тут может только совершенствование своей компьютерной грамотности. В то же время многие пользователи недооценивают данную угрозу. Отчасти это происходит из-за смещения фокуса аудитории интернета в сторону тех зловредов, на которых больше всего пиарятся антивирусные компании. За примерами далеко ходить не нужно, вот два «топовых» слова — Stuxnet и Red October. А банковские трояны — это, по словам одного эксперта по безопасности, для России не актуально, у нас, мол, системы дистанционного банковского обслуживания мало распространены, потому что большинство использует мобильные банковские приложения. ОK, давайте пить боржоми, когда почки уже отвалились. Такая вот ориентация на корпоративный уровень весьма прискорбна. Простому пользователю все эти стакснеты и красные октябри ничего плохого не сделали, кто их защитит от действительно актуальных для них угроз? Целевые организации и предприятия, против которых были направлены Stuxnet и Red October, напротив, были сами в состоянии обеспечить свою безопасность.
Резюме: резервное копирование информации, работа с правами пользователя, внимательность при работе с дистанционным банковским обслуживанием, постоянное обновление софта из надежных источников и какой-никакой антивирус с файрволом «спасут отца русской демократии».
Глоссарий
Веб-инжект — это технология, позволяющая изменить содержимое веб-страницы на стороне клиента (в браузере) и добавить туда своей контент. Технология базируется на инжекте кастомного кода в адресное пространство браузеров и перехвате всех HTTP-запросов холдера и ответов от сервера. Под веб-инжектами также понимают файлы, содержащие информацию, для каких сайтов или приложений для смартфона, на какой странице, в каком её месте, что на что нужно поменять. Для кодинга таких файлов трояномейкеры нанимают толковых ребят, в совершенстве владеющих HTML и JavaScript, ну или пишут сами. При посещении пользователем интересующего дроповодов сайта или запуска банковского приложения на смартфоне код дроповодов вставляет в ответ сервера JavaScript-код (в отдельных случаях отмечалось использование библиотеки jQuery), который и подменяет контент исходной страницы, например добавляет на форму ввода поля, которых изначально там не было.
VNC (Virtual Network Computing) — система удаленного доступа к рабочему столу компьютера, использующая протокол удаленного кадрового буфера (RFB). По сети с одного компьютера на другой передаются нажатия клавиш на клавиатуре и движения мыши и отображается содержимое экрана. Программа, принимающая ввод пользователя, называется сервером, программа, отображающая удаленный экран, называется клиентом (или viewer).
RFB (remote frame buffer) — протокол прикладного уровня для доступа к графическому рабочему столу. Его можно применять для графических оконных систем, таких как Windows и X-Window в *nix-системах. Суть RFB — передача прямоугольных областей экрана. Для уменьшения трафика используются различные методы определения, какая область экрана обновилась и какое сжатие использовать при передаче.
По умолчанию VNC использует диапазон TCP-портов с 5900 до 5906. Каждый порт связан с соответствующим экраном X-сервера в *nix-системах. В ОС Windows используется только один порт — 5900.
За прошедшие пять лет на биржи дроповодами всех мастей было отправлено около $100 млрд «грязной» криптовалюты, связанной с не совсем уж так скажем легальной деятельностью
Что нужно для того, чтобы начать делатьь деньги в интернете, или как говорят профессионалы, осуществлять процессинг на банковскую карту или счет? — этот вопрос сегодня интересует многих новичков хай-риск бизнеса.
Не секрет, что начинать делать ббизнес в интернете можно с использования таких программных продуктов как Citadel, ZeUS или CarberP, применяя их в процессинге, хотя этот способ транзита фиатных денежных средств и проведения серых криптовалютных транзакций уже теряет свою актуальность и популярность, и на смену ему приходит покупка и продажа найденных SQL-injection банковских или криптовалютных Web-площщадок, эксплуатируя которую можно получить доступ к базе данных платежей или же к базе, где хранятся данные о приватных ключах криптокошелков или другую значимую информацию финансового учреждения.
Так с чего же начинается процессинг сумм на реальный пластик неразводных или разводных дропов, и как все-таки можно найти подходящую площадку в сети?
Предположим у вас уже установлена панель дроповода бот-сети ZeUS или любого другого, при желании, вы даже можете использовать подписанный цифровым сертификатом кастомный бот, сгенерированный в системе Metasploit Pro. Далее его нужно запустить на целевых машинах пользователей того или иного финансового учреждения, обменника или криптомоста.
Для этого Вам понадобится две вещи — это целефой трафик (его можно добыть, используя фильтры Ettercap NG) и Web attack SET модуль, встроенный в Metasploit, потому как он периодически обновляется причем бесплатно, а покупать чью-то связку смысла в этом случае нет никакого.
Далее смотрим видео, как всё это происходит и опа, мы имеем прогуженный бот на машинах пользователей интернет-банкинга и вольных криптанов.
Теперь можно начинать свой бизнес в интернете, делать транзакции на счета и карты своих разводных или неразводных дропов, или, как говорят в обнальном мире, осуществлять процессинг.
Чем больше людей переходят на 64-битные операционные системы, тем больше появляется 64-битных приложений, в том числе для операторов процессинга криптовалюты. Специалист «Лаборатории Касперского» Дмитрий Тараканов давно отслеживает криптовалютный троян Zeus. «Был лишь вопрос времени, когда появится 64-битный бот Zeus, но мы не ожидали увидеть его так скоро», — признается Дмитрий.
Дело в том, что выпускать 64-битную версию не было особой нужды. Криптовалютный троян работает в браузере, а люди до сих пор используют 32-битные браузеры, даже на 64-битных системах, так что Zeus нормально справлялся со своей задачей. Например, 64-битной версией IE пользуются менее 0,01% аудитории.
Однако, обнаруженный образец 32/64-битного криптовалютного трояна Zeus, предназначенного для процессинга крипты, как выяснилось, попал в сеть интернет не позднее июня прошлого года, а дата компиляции файла указана и вовсе 29 апреля прошлого года.
64-битный Zeus классифицирован в вирусной базе как Trojan-Spy.Win64.Zbot.a.
В 64-битной версии браузера IE при заходе на сайт определённой биржи или криптообменника, он внедряет код процессинга в HTML-страницу, собирая учетные данные пользователя, приватные ключи и другую конфиденциальную информацию. Всё это отправляется на удаленный сервер оператора процессинга, контролируемый дроповодами.
Еще одна особенность 64-битного криптовалютного трояна — использование сети анонимайзеров Tor. Программа tor.exe вызывается не напрямую, а через процесс svchost.exe, куда внедряется код tor.exe
В системе запускается прокси-сервер на порту 9050. Таким образом, если в настройках браузера указать прокси-сервер 127.0.0.1:9050, то весь трафик пойдет через Tor. Командный сервер этой версии Zeus находится на скрытом сервере оператора процессинга egzh3ktnywjwabxb.onion.
Более того, криптобот ZeUS на целевой машине терпилы поднимает скрытый сервис и генерирует для него уникальное доменное имя в сети Onion.
Запущенный веб-сервер способен обслуживать пользователей. Зная имя хоста и порт, к машине терпилы может подключиться опреатор процессинга для удаленного управления компьютером по VNC.
