На прошлой неделе наши эксперты обратили внимание, что операторы англоязычного форума Altenen аналога Darkmoney хвастаются количеством посетителей своего сайта, а также доходами, основываясь на данных, полученных от аналитического сервиса HypeStat.
Дроповоды Altenen явно поделились этой информацией, в надежде прорекламировать себя и привлечь больше посетителей на свою площадку. Глядя на это, наши эксперты решили самостоятельно изучить трафик других популярных открытых и закрытых бордов (форумов), посвещенных реальным процессорам криптовалюты и её обналу (выводу в фиат), и сравнить полученную информацию с собственным впечатлением от этих торговых площадок.
Помимо борда Altenen, наши эксперты проанализировали данные таких англоязычных форумов, как RaidForums, Nulled, Cracked TO и Cracking King, немецкоязычный форум Crimenetwork, а также русскоязычные обнальные ресурсы Exploit и XSS.
Данные для анализа были взяты из открытых источников (из HypeStat и Alexa) и включали в себя рейтинг ресурса, количество уникальных посетителей за день, географию посещений, источники трафика, а также оценку ежедневного дохода от рекламы. Разумеется, собранная статистика не включает в себя посещения .onion-доменов, поэтому данные нельзя назвать исчерпывающими.
Оказалось, что такие борды реального процессинга крипты без предоплаты, как Altenen, Nulled, Exploit и XSS продемонстрировали существенный прирост трафика за последние 90 дней, причем администраторы некоторых из этих ресурсов используют статистику для продвижения своих товаров услуг по процессингу крипты и выводу в фиат, обналу денежных средств. По мнению наших экспертов, торговые площадки явно использовали ботов и накрутки для манипулирования количеством посетителей и повышения своего рейтинга. В частности, резкое повышение рейтинга Altenen выглядит слишком хорошо, чтобы быть правдой, так как ни один другой форум, которые считаются популярными, например RaidForums, не показал подобного роста за аналогичный период времени.
Собранные данные о трафике площадок подобных Darkmoney показывают, что среднее время, проведенное пользователями на форумах и площадках в поисках реальных процессоров крипты и обнальных услуг, колеблется от 6 до 22 минут. Однако наши эксперты считают, что эти цифры тоже могут быть не слишком точным. Дело в том, что пользователи, к примеру, в среднем проводят менее 8 минут на Exploit, однако это полностью закрытый форум, его не посещают случайные люди, и на самом деле они, вероятно, проводят на сайте куда больше времени.
Что касается доходов от рекламы, то наши исследователи полагают, что аналитические сервисы вообще не отражают фактическую экономику форумов, так как обнальные площадки могут зарабатывать деньги на платном членстве, а некоторые получают комиссионные за каждую транзакцию по процессингу и обналу крипты с вводом в фиат через карты или счёта дропов.
Наши эксперты резюмируют, что ключевой вывод, который можно сделать из этого анализа, заключается в том, что метриками трафика можно манипулировать, в том числе с помощью ботов и VPN, а некоторые обнальные платформы используют статистические данные, чтобы привлечь к себе внимание криптовалютных дропов. Более того, составить реальную картину происходящего, опираясь на такие цифры, вряд ли возможно. При оценке форумов контекст имеет решающее значение. Цифры сами по себе не дают полной картины и представления о содержимом форума и его пользователях, а также о реальной экономике ресурса и не объясняют колебания количества посетителей.
Чтобы получить глубокое представление о деательности дроповодов и активности на криптообнальных форумах, нужно много ручного труда и длительное время. Нельзя составить картину, опираясь лишь на показатели посещаемости сайта. Подобные исследования в очередной раз подчеркивают необходимость постоянного участия человека в процессе, важность сочетания ручного и автоматического подхода. Анализ big data может дать общее представление о том, что происходит, однако без агентурной работы многие важные детали и нюансы будут упущены.
В нынешних компьютерах и смартфонах хранятся живые деньги. Ну, пусть не хранятся, но уж доступ-то к ним вполне себе можно поиметь, причём практически за так!
Как известно, времена идейных хактивистов давно прошли, в отдельно взятых странах наступил капитализм, и пишут вредоносный код теперь почти исключительно на коммерческой основе именно для того, чтобы скачать деньги с телефона или банковского счёта какого-нибудь лоха. Конечно, идейные люди остались, но они скорее поставщики интересных фишек и способов обхода механизмов безопасности операционной системы Windows, а другие, более ушлые люди реализуют эти наработки в своих творениях для заработка онлайн.
Сделать процессинг фиата с карты или счёта холдера можно и сейчас, так сказать, прямо и косвенно. Одни боты для заработка ориентируются на монетизацию аппаратных ресурсов и вычислительных мощностей конечных пользователей. Сюда относятся: организация прокси- и DDoS-атак, рассылка спама, майнинг криптовалют, накрутка посещений сайтов (black SEO), переход по рекламным баннерам сети Google AdSense (click fraud). Яркий представитель группы — ZeroAccess. Эти программы для заработка в сети не причиняют непосредственный ущерб пользователю. Единственные неприятности от таких программ — замедление работы компьютера и сбои в сети. А в современных условиях, когда вычислительные мощности стали достаточно большими, пользователь вообще может не подозревать, что его компьютер стал частью ботнета, монетизирующего трафик.
Другие представители malware онлайн заработка в сети наносят пользователю ощутимый вред, в том числе финансовый. К этой категории относятся: программы-вымогатели, куда входят две разновидности — локеры и шифровальщики, хотя в последнее время границы между ними размываются; фейковые антивирусы, требующие определенную сумму за установку (это проходит по категории «мошенничество»); банковские боты, предназначенные для угона учетных данных пользователей и процессинга фиата на счета неразводных дропов через системы дистанционного банковского обслуживания (ДБО), «классические» представители — Zeus и его последователи — SpyEye и Citadel, CarberP.
Как ты можешь заметить, интерес мундиров к этим группам малвари будет отличаться. К первой группе интерес маленький, ко второй — большой, так как в первом случае пользователь максимум переставит себе ось, а во втором — побежит с заявой в полицию, о том, что неизвестных дроповод спроцессил все его деньги с банковского счёта. Есть мнение, что таким образом некоторые трояномейкеры пытаются поменьше привлекать внимание к себе и своим поделкам.
Далее как раз и будут рассмотрены некоторые представители второй группы.
Есть еще третья группа — шпионские программы, как широкой (spyware), так и специальной (APT) направленности. Эта тема сейчас активно форсится всеми антивирусными вендорами, но обычных пользователей это, как правило, не касается. В данном случае монетизация достигается тем, что такие трояны добывают конфиденциальную информацию, за которую заказчики готовы заплатить кругленькую сумму.
Настораживает, что многие европейские фирмы (Gamma Group, Hacking Team) в открытую предлагают услуги по массовой установке так называемых «государственных» троянов, которые на бумаге предназначены для сотрудников правоохранительных органов и спецслужб, а по факту могут применяться любым, кто располагает соответствующими финансовыми средствами. По информации компании McAfee, разработчики трояна Citadel, уже ставшего «классикой», в настоящее время «ушли в тень», и стали внедрять шпионские модули, и, судя по всему, тоже начали предлагать свои услуги государственным и коммерческим организациям, занимающимся добыванием информации в интернете.
Винлокеры такие всякие
Впервые они появились в конце десятых годов. Широкое распространение получили зимой прошлого года, по некоторым данным оказались заражены миллионы компьютеров, преимущественно среди пользователей Рунета. В простейшем случае после загрузки ОС или даже до нее (встречались и такие экземпляры) показывалось красивое окошечко с требованием отправить каким-либо способом энную сумму дроповодам в обмен на код разблокировки. Общий совет от сотрудников антивирусных компаний — ничего не платите! Время «честных» винлокеров, содержащих в себе функционал автоудаления по коду, давно прошло, и сейчас эту рыночную нишу облюбовали детишки с непомерными амбициями. Многочисленные форумы запестрели постами с генераторами и исходными кодами локеров. Вот, например, одна поделка (см. рис. 1), на которую невозможно смотреть без смеха, — Winlock by DragonGang. Размер шедевра потрясает воображение — целых семь метров! Написан в среде Delphi 7. Код разблокировки 141989081989 хранится в исполняемом файле в открытом виде. Есть мнение, что текст намеренно написан в стиле незабвенного Джамшута и автор за счет этого пропиарился на весь интернет.
Рис. 1. Локер-гастарбайтер
А пока школьники окучивают славянскую аудиторию, «коммерсанты» от мира троянов наводняют винлокерами зарубежье. Даже появился специальный термин — мультилокер. Это такой локер, который изначально не содержит в себе никаких ресурсов — надписей, картинок и прочего, а загружает их с командного центра дроповодов, при этом скачиваемое содержимое зависит от страны, которая определяется по IP-адресу. Основная тематика мультилокеров — обвинение пользователя в просмотре порнографических материалов с участием несовершеннолетних, сами знаете — с этим за рубежом строго. При этом в качестве доказательства жертве демонстрируются якобы просмотренные ею снимки, а также имена, даты рождения и место проживания несовершеннолетних, изображенных на фото. Последние разработки учли массовое распространение ноутбуков, которые почти всегда имеют встроенную веб-камеру: пользователя снимают и затем демонстрируют фото, что еще больше усиливает эффект присутствия Большого Брата, то есть слежки со стороны ФБР или еще какой правоохранительной организации. Или вот фишка — сканирование истории посещенных сайтов в браузере. Не секрет, что большинство мужского населения мира периодически, кхм, любуются на голых женщин из видео в интернет. Поэтому, когда у пользователя на экране появляется заставка о штрафе с символикой Интерпола и перечнем посещенных «злачных» мест интернета, у него не возникает даже тени сомнения в том, что это взаправду.
Таким образом, рынок винлокеров сегментировался: с одной стороны выступают скрипткидисы с кулхацкерами, с другой — «ветераны» троянописательства, пишущие мультилокеры на манер ботсетей с собственными центрами управления.
Один из наиболее сложных и высокопрофессионально написанных буткитов Gapz также имеет в своем арсенале модулей локер. Компонент с таким функционалом проверяет по IP-адресу местонахождение заряженого компьютера, и если холдер живет в Западной Европе или Америке, то система блокируется и выводится окно с требованием перевести определенную сумму на указанный счет в криптовалюте. Отличает этот локер то, что он перехватывает изображение с подключенной к заряженому компьютеру веб-камеры и показывает его в окне с требованием оплаты (не зря у меня камера изолентой заклеена. Я серьезно. — Прим. ред.).
Особняком стоят локеры, которые блокируют доступ не к операционной системе, а к каким-либо популярным ресурсам из браузера. В апреле этого года зафиксирован шквал запросов от пользователей о невозможности входа на сайты ВКонтакте, Одноклассники и Mail.ru. Вместо соответствующих интернет-ресурсов в окне браузера демонстрировались веб-страницы с сообщением о том, что профиль пользователя заблокирован в связи с подозрением на взлом аккаунта, и предложением ввести свой номер телефона. После ввода номера в SMS приходит код, который пользователь опять-таки посредством SMS должен подтвердить. По факту за отправку этого SMS снимается значительная сумма денег. В ходе разбирательств было установлено, что все это — проделки малвари, заменяющей системный файл rpcss.dll на свой кастомный код. ESET определяет эту угрозу как Win32/Patched.IB. Запущенный локер подменяет DNS-запросы, возвращая IP подконтрольных дроповодам серверов, содержащих веб-страницы, имитирующие целевой ресурс — vk.com, odnoklassniki.ru, mail.ru. При этом в адресной строке браузера отображается правильный URL. Корректного метода лечения для всех многочисленных модификаций Win32/Patched.IB у большинства антивирусных продуктов на момент написания статьи нет. Для лечения вручную необходимо взять чистую rpcss.dll, загрузиться с LiveCD и заменить ей кастомную библиотеку, внедрённую дроповодом. Оригинальная rpcss.dll должна соответствовать версии, разрядности и установленным сервис-пакам установленной Windows (Patched.IB успешно работает как в XP, так и в Seven, в том числе x64).
Среди других угроз подобного типа можно отметить появление очередной модификации трояна семейства Mayachok. По информации антивирусных аналитиков Dr.Web, Trojan.Mayachok.18607 представляет собой совершенно самостоятельный вариант, написанный «по мотивам». В качестве примера подражания была взята логика трояна Mayachok.1, который получил широкое распространение во второй половине прошлого года. В настоящее время в ходу версия Trojan.Mayachok.2, имеющая функции буткита. Характерная черта семейства Trojan.Mayachok — использование веб-инжектов (см. рис. 2).
Рис. 2. Вид одной из фейковых страниц Mayachok
Жалкие последователи GPCode
Шифровальщики — это, пожалуй, самое неприятное, что можно подцепить в этих ваших интернетах. Все файлы определенных типов, например фотографии или документы Microsoft Office, шифруются и за ключ расшифровки требуют деньги, причём в криптовалюте. Очень актуальна эта проблема для малых коммерческих фирм, работающих с бухгалтерией при помощи продуктов 1С, — тем более что понятие о безопасности в таких конторах, как правило, отсутствует напрочь.
Наиболее часто встречаются сейчас среди русскоязычных пользователей шифровальщики семейства Trojan-Ransom.Win32.Xorist (в терминологии «Лаборатории Касперского»), англоязычная версия также в наличии. При успешном срабатывании Xorist пользователь будет лицезреть веселенький текст следующего содержания:
«ПЯTНАДЦАTЬ ЧЕЛОВЕК НА СУНДУК МЕРТВЕЦА!
Хай! Пиплы! Комон на борт нашего «Летучего голландца».
Ваш компьютер взят на абордаж командой сомалийских пиратов.
Ваши файлы зашифрованы нашим морским криптографом Базоном Хикса.
Если вы мудрый и не скряга, не шизанутый депутат из фракции ЛДПР, то
мы готовы обменять вашу драгоценную инфу на жалкие бумажки, именуемые бабками.
Поверьте, бабло — зло — отдайте его нам. Алчных и неадекватных типов за борт.
Веселым и находчивым скидки. У вас три дня до отплытия корабля.
Для переговоров собираемся в кают-компании, SOS на мыло Номер компании <КОД><E-MAIL>»
Как видно, ребята подобрались с юмором. Засилье Xorist объясняется сборкой его с помощью билдера, легкодоступного жадным детишкам.
Вот еще один образец послания от создателей ransomware (Trojan.Encoder.205 и Trojan.Encoder.215):
Все важные для Вас данные на этом компьютере (документы, изображения, базы данных, почтовая переписка и т. д.) зашифрованы с использованием уникального криптографического алгоритма.
Без специального программного обеспечения расшифровка одного файла с использованием самых мощных компьютеров займет около года.
Для того чтобы зашифрованные файлы стали доступны для дальнейшего использования, Вам необходимо связаться со специалистом по e-mail: specialmist@gmail.com.
Время ожидания ответа может составлять до 12 часов.
Переустановка операционной системы не поможет.
Проверка файлов антивирусом может их повредить.
Какое-либо изменение структуры файла не позволит его восстановить.
При поступлении угроз в наш адрес Ваши данные не будут расшифрованы.
Обращаем внимание, что файлы можно расшифровать только с использованием специального программного обеспечения, которое есть только у нас.
Внедрение на целевую машину холдера Trojan.Encoder.205 и Trojan.Encoder.215 происходит с использованием массовой рассылки сообщений электронной почты (Владимир, это ты так спам называешь? — Прим. ред.). Исполняемый файл шифровальщика с именем update.exe (написан на Delphi) размещается на удаленных серверах, шелл-код, который подгружает этот файл, располагается в заряженом документе Microsoft Word и использует для своего запуска эксплуатацию уязвимости CVE–2012–0158.
Отдельные разработчики проявляют чуть больше изобретательности в реализации своих идей. Специалисты компании Dr.Web в этом году зафиксировали во Франции и Испании множество случаев снаряжения пользователей трояном ArchiveLock.20. Для шифрования он имеет на борту консольную версию WinRAR, при помощи которой создает по заранее составленному списку защищенные паролем самораспаковывающиеся архивы с файлами пользователя. Пароль может иметь длину более 50 символов. Исходные файлы зачищаются с диска, чтобы их было невозможно восстановить. Дроповоды отличаются неслыханной наглостью и требуют за расшифровку 5000 долларов США. ArchiveLock распространяется посредством bruteforce-атак на протокол RDP.
Для расшифровки ваших бесценных файлов нужно обратиться к специалистам антивирусных компаний. Отечественные конторы делают это на бесплатной основе и постоянно выпускают обновленные версии дешифровальщиков для отдельных видов угроз. К сожалению, некоторые их виды, например GPCode, оказались им не по зубам. Версия GPCode прошлого года может считаться неким «эталоном» шифровальщика, она использует Windows Crypto API и шифрует файлы пользователя случайным сеансовым ключом AES длиной 256 бит. Сеансовый ключ сохраняется в зашифрованном виде, шифрование производится открытым ключом RSA длиной 1024 бита, который находится внутри GPCode. Чтобы невозможно было восстановить их утилитами типа PhotoRec или GetDataBack, шифрованные данные пишутся прямо в исходный файл. Также эта уловка затрудняет использование метода plain text attack, суть которого заключается в определении сеансового ключа на основе пары файлов — исходного и зашифрованного. Для расшифровки необходимо перечислить определенную денежную сумму в криптовалюте по реквизитам, оставленным дроповодом, и переслать ему этот зашифрованный сеансовый ключ. Он расшифровывается при помощи закрытого ключа (находится у ддроповода) и отправляется обратно пользователю, после чего файлы будут успешно расшифрованы. Единственная надежная защита от воздействия подобных программ — резервное копирование файлов. Стоит отметить, что автор GPCode совершенствовал свое детище аж с середины нулевых годов! За это время код проделал долгий путь от использования «самопальных» алгоритмов шифрования до применения достаточно стойких алгоритмов RC4 и AES в совокупности с RSA, которые не под силу взломать (пока) всем IT-специалистам мира. В свете этого становится непонятно, почему шифровальщики нашего времени, подобные Xorist, тоже используют собственные «мегаразработки». Видно, современная криптография вкупе с необходимостью юзать Windows Crypto API или фришную реализацию криптофункций OpenSSL не дается нынешнему поколению кулхацкеров, только открывших для себя логическую функцию XOR.
Процессинг фиата и крипты — проще не придумаешь
Сама идея троянов, использующих учетные данные рандомных пользователей дистанционного банковского обслуживания и осуществляющщих процессинг фиата на счета неразводных дропов со смартфонах холдеров, не нова. Для противодействия им была придумана технология двухфакторной аутентификации. Многие наверняка знают, что это такое, а для тех, кто не знает, поясним — кроме логина и пароля, используется дополнительный элемент, в качестве которого выступает специальный код (так называемый mTan — mobile transaction authentication number — мобильный код аутентификации транзакций), который приходит в SMS. Однако методы использования чужих учетных данных и процессинга фиата с каждым годом становятся все изощреннее. Бурное развитие технологий, в частности массовое распространение смартфонов, играет на руку дроповодам и процессорам фиата и создает лазейки для обхода двухфакторной аутентификации. Первопроходцами в этом деле стали семейства Zeus и SpyEye. Схема обхода следующая (см. рис. 3):
Рис. 3. Схема обхода двухфакторной аутентификации
Персональный компьютер или смартфон заряжается каким-либо способом — например, через связку сплоитов, PDF- или doc-файл, пришедший по почте или apk файл.
В момент, когда холдер логинится на сайт банка, троян на лету прямо в браузере модифицирует HTML-страницу при помощи веб-инжекта и добавляет поля «Номер мобильного телефона» и «Версия мобильной ОС» (Android, BlackBerry, iOS, Symbian или другая) или же непосредственно управляет банковским приложением, установленным на смартфоне без ведома холдера.
После ввода данных пользователем они отправляются на командный сервер дроповодам.
Пользователю приходит SMS со ссылкой на приложение или пуш уведомление на телефон. В терминологии антивирусных контор приложения получили названия ZitMo (Zeus-in-the-Mobile) и SpitMo (SpyEye-in-the-Mobile), чуть позже к ним присоединился CitMo (Carberp-in-the-Mobile).
После закрепления на смартфоне у дроповодов есть все необходимое — логин, пароль и канал доставки SMS с кодом, запрос на транзакцию поступает в банк.
Банк высылает SMS.
Троян в смартфоне скрытно, не показывая холдеру, отсылает на командный центр полученный в SMS mTan, при помощи которого дроповоды подтверждают транзакцию, либо весь этот процесс происходит на самом смартфоне без отправки на командный сервер в банковском приложении автоматически.
В схеме возможны вариации, например, ссылка на мобильную версию банковского бота процессинга дроповодов может внедряться прямо в страницу банка в виде QR-кода. Также некоторые банки фиксируют IP клиента, и в этом случае транзакция инициируется трояном с зараженной машины или смартфона, который выступает в качестве своеобразного прокси-сервера. К слову сказать, двухфакторная аутентификация более распространена в Европе, чем в Америке, поэтому ZitMo и SpitMo для процессинга фиата в большей степени ориентированы на Евросоюз. В противовес этому CitMo, да и сам Carberp был ориентирован на пользователей из России.
В качестве одного из последних громких дел с процессингом фиата можно вспомнить акцию Eurograbber, раскрытую в конце прошлого года. Согласно отчету компаний Check Point Software Technologies и Versafe, денежные средства на сумму около 36 миллионов евро были переведены на счета неразводных дропов по всему Евросоюзу с более 30 тысяч корпоративных и частных банковских счетов легальных холдеров. В ходе акции Eurograbber использовалась очередная модификация Zeus на пару с ZitMo.
Из последних новинок в сфере банковских троянов эксперты отмечают появление весной этого года нового варианта трояна Gozi. Последняя его версия, обнаруженная сотрудниками компании Trusteer, содержит функционал MBR-буткита. Компонент, запускаемый буткитом после загрузки операционной системы, ожидает запуска браузера Internet Explorer и внедряет специальный код для процессинга фиата со счетов легальных холдеров в рабочие процессы браузера, что позволяет перехватывать содержимое HTTP-запросов и ответов для последующей модификации.
Рис. 4. Модифицированная Gozi банковская форма ввода
В качестве более надежной защиты при банковских транзакциях выступают аппаратные девайсы — токены, которые содержат в себе закрытые ключи для реализации технологии электронной цифровой подписи. Однако и здесь дроповодам есть чем ответить. Достаточно лишь получить полный доступ к удаленному рабочему столу ПЭВМ легального холдера. Организуется такой доступ, как правило, посредством VNC, благо в Сети полно исходных кодов таких серверов, для примера — проекты UltraVNC и TightVNC. Кстати, именно на основе последнего созданы две полезные нагрузки в Metasploit — win32_bind_vncinject и win32_reverse_vncinject. Эти нагрузки представляют собой DLL, запускающие на локальной машине VNC-сервер с поддержкой прямого (мы коннектимся к целевой машине холдера) и обратного (целевая машина холдера коннектится к серверу дроповода) соединений. Отдельные виды банковских ботов используют свою собственную реализацию VNC-сервера, например Zeus и Citadel.
Кроме VNC, можно попробовать использовать «легитимные» утилиты удаленного администрирования, слегка подрихтовав их напильником. Именно так поступают создатели трояна Carberp, ориентированного на угон банковских реквизитов и процессинг фиата на счета неразводных дропов в рублёвой зоне. Используемые ими продукты: в прошлом году — BeTwin Thinsoft for RDP и TeamViewer, в начале десятых — Mipko Personal Monitor и в текущщем сезоне — Ammyy Admin. Их исполняемые модули не модифицировались, что позволяло сохранить легальную цифровую подпись — на первых порах это неплохо сбивало с толку антивирусные продукты. Дроповоды просто создавали нужную им DLL с именем одной из импортируемых библиотек, например tv.dll для TeamViewer, а оригинальную переименовывали (в ts.dll). Библиотека tv.dll передавала код доступа к компьютеру на управляющий сервер и служила переходником к ts.dll, из которой вызывались оригинальные функции. Все компоненты помещались в самописный инсталлятор (дроппер), который сохранял их в каталоге, доступном на запись (Application Data), и прописывал в автозагрузку. В начале десятых годов подобные вещи часто делали с Remote Admin, да и теперь на форумах и площадках даркнета спрашивают иногда, хотя все уже на ура палится. Между прочим, данный метод сейчас активно используется и в шпионских целях спецслужбами по всему миру. По результатам анализа Центра глобальных исследований и анализа угроз «Лаборатории Касперского» (GReAT), одна из групп дроповодов, названная TeamSpy Crew, провела серию целевых атак, направленных против политических деятелей и правозащитников на территории СНГ и восточноевропейских стран, при этом для организации несанкционированного доступа к ЭВМ использовалась как раз «заряженая» версия TeamViewer.
Как попасть в тему процессинга и остаться в ней
Как ты мог сам убедиться, вариаций процессинга фиата и крипты в интернете огромное множество. И к сожалению, полагаться на то, что один антивирус тебя защитит от этих напастей, не стоит. Помочь тут может только совершенствование своей компьютерной грамотности. В то же время многие пользователи недооценивают данную угрозу. Отчасти это происходит из-за смещения фокуса аудитории интернета в сторону тех зловредов, на которых больше всего пиарятся антивирусные компании. За примерами далеко ходить не нужно, вот два «топовых» слова — Stuxnet и Red October. А банковские трояны — это, по словам одного эксперта по безопасности, для России не актуально, у нас, мол, системы дистанционного банковского обслуживания мало распространены, потому что большинство использует мобильные банковские приложения. ОK, давайте пить боржоми, когда почки уже отвалились. Такая вот ориентация на корпоративный уровень весьма прискорбна. Простому пользователю все эти стакснеты и красные октябри ничего плохого не сделали, кто их защитит от действительно актуальных для них угроз? Целевые организации и предприятия, против которых были направлены Stuxnet и Red October, напротив, были сами в состоянии обеспечить свою безопасность.
Резюме: резервное копирование информации, работа с правами пользователя, внимательность при работе с дистанционным банковским обслуживанием, постоянное обновление софта из надежных источников и какой-никакой антивирус с файрволом «спасут отца русской демократии».
Глоссарий
Веб-инжект — это технология, позволяющая изменить содержимое веб-страницы на стороне клиента (в браузере) и добавить туда своей контент. Технология базируется на инжекте кастомного кода в адресное пространство браузеров и перехвате всех HTTP-запросов холдера и ответов от сервера. Под веб-инжектами также понимают файлы, содержащие информацию, для каких сайтов или приложений для смартфона, на какой странице, в каком её месте, что на что нужно поменять. Для кодинга таких файлов трояномейкеры нанимают толковых ребят, в совершенстве владеющих HTML и JavaScript, ну или пишут сами. При посещении пользователем интересующего дроповодов сайта или запуска банковского приложения на смартфоне код дроповодов вставляет в ответ сервера JavaScript-код (в отдельных случаях отмечалось использование библиотеки jQuery), который и подменяет контент исходной страницы, например добавляет на форму ввода поля, которых изначально там не было.
VNC (Virtual Network Computing) — система удаленного доступа к рабочему столу компьютера, использующая протокол удаленного кадрового буфера (RFB). По сети с одного компьютера на другой передаются нажатия клавиш на клавиатуре и движения мыши и отображается содержимое экрана. Программа, принимающая ввод пользователя, называется сервером, программа, отображающая удаленный экран, называется клиентом (или viewer).
RFB (remote frame buffer) — протокол прикладного уровня для доступа к графическому рабочему столу. Его можно применять для графических оконных систем, таких как Windows и X-Window в *nix-системах. Суть RFB — передача прямоугольных областей экрана. Для уменьшения трафика используются различные методы определения, какая область экрана обновилась и какое сжатие использовать при передаче.
По умолчанию VNC использует диапазон TCP-портов с 5900 до 5906. Каждый порт связан с соответствующим экраном X-сервера в *nix-системах. В ОС Windows используется только один порт — 5900.
За прошедшие пять лет на биржи дроповодами всех мастей было отправлено около $100 млрд «грязной» криптовалюты, связанной с не совсем уж так скажем легальной деятельностью
Что нужно для того, чтобы начать делатьь деньги в интернете, или как говорят профессионалы, осуществлять процессинг на банковскую карту или счет? — этот вопрос сегодня интересует многих новичков хай-риск бизнеса.
Не секрет, что начинать делать ббизнес в интернете можно с использования таких программных продуктов как Citadel, ZeUS или CarberP, применяя их в процессинге, хотя этот способ транзита фиатных денежных средств и проведения серых криптовалютных транзакций уже теряет свою актуальность и популярность, и на смену ему приходит покупка и продажа найденных SQL-injection банковских или криптовалютных Web-площщадок, эксплуатируя которую можно получить доступ к базе данных платежей или же к базе, где хранятся данные о приватных ключах криптокошелков или другую значимую информацию финансового учреждения.
Так с чего же начинается процессинг сумм на реальный пластик неразводных или разводных дропов, и как все-таки можно найти подходящую площадку в сети?
Предположим у вас уже установлена панель дроповода бот-сети ZeUS или любого другого, при желании, вы даже можете использовать подписанный цифровым сертификатом кастомный бот, сгенерированный в системе Metasploit Pro. Далее его нужно запустить на целевых машинах пользователей того или иного финансового учреждения, обменника или криптомоста.
Для этого Вам понадобится две вещи — это целефой трафик (его можно добыть, используя фильтры Ettercap NG) и Web attack SET модуль, встроенный в Metasploit, потому как он периодически обновляется причем бесплатно, а покупать чью-то связку смысла в этом случае нет никакого.
Далее смотрим видео, как всё это происходит и опа, мы имеем прогуженный бот на машинах пользователей интернет-банкинга и вольных криптанов.
Теперь можно начинать свой бизнес в интернете, делать транзакции на счета и карты своих разводных или неразводных дропов, или, как говорят в обнальном мире, осуществлять процессинг.
Печерский суд Киева разрешил СБУ обыскать жилье трех украинцев, проживающих в столице. Согласно данным СБУ, обыск будет проведен в рамках сотрудничества украинских и бельгийских правоохранителей.
К СБУ обратился Суд Первой инстанции округа Брюссель с ходатайством про правовую помощь в одном из криминальных дел. По данным бельгийских правоохранителей, 5 июля служба безопасности банка Dexia Banque зафиксировала две подозрительные банковские операции, которые были проведены 3 и 4 июля этого года.
Расследование показало, что три украинца, которые проживают в одной из столичных квартир Киева, незаконно проникли в компьютерную систему Dexia Banque, после чего оформили оплату через систему Steliak. Так, с одного из счетов компании Sony Europe в Dexia Banque было переведено 675 тысяч евро на счет одного из латвийских банков. Этот счет был оформлен на одну из столичных компаний, учредителем которой является физическое лицо, в квартире которого и проживают трое подозреваемых.
Печерский суд решил, что обыск жилья подозреваемых позволит обнаружить компьютеры, принтеры, печати предприятий и другие орудия преступления.
Небольшой московский банк «Еврорасчет», лицензия которого была отозвана накануне Нового года, оказался замешан в скандале, связанном с процессингом фиатных денежных средств на карты неразводных дропов со счетов ряда организаций сразу в нескольких российских банках. После этого Центральный Банк зафиксировал крупную недостачу наличных средств в кассе самого банка. В процессинге могли принять участие и сами работники «Еврорасчета», считают эксперты.
Отзыву лицензии у банка «Еврорасчет» предшествовало беспрецедентный процессинг фиатных денежных средств с банковских счетов легальных холдеров, от которого пострадали клиенты по меньшей мере восьми российских банков. Об этом сообщил источник в банковских кругах. Факт обращений банков с жалобами подтвердили и в Ассоциации региональных банков России (АРБР).
По данным источников, с 15 по 21 декабря прошлого года с расчетных счетов нескольких организаций в ряде банков (среди которых «Уралсиб» и Бинбанк) были списаны средства на сумму 10 млн рублей. Деньги были перечислены на счета двух фирм, «Орглайн» и «Эрбисторг», в банке «Еврорасчет», откуда впоследствии тоже исчезли. Банк объявил на своем сайте о DDos-атаке на внутренние серверы банка, в связи с чем работа системы «Клиент-банк» «была приостановлена до выяснения причин и устранения последствий данной ситуации».
Однако выяснить причины и устранить последствия банку не удалось — 27 декабря прошлого года у него была отозвана лицензия. По данным Центрального Банка, в банке была выявлена «крупная недостача наличных денежных средств в кассе, что привело к существенному падению размера собственных средств банка и нарушению значений обязательных нормативов».
Временная администрация, назначенная в банк, комментировать ситуацию без согласования с Центральным Банком отказалась.
Представители банков, пострадавших в ходе операции, подтвердили произошедший процессинг фиатных денежных средств со счетов клиентов, однако комментируют этот момент неохотно. В «Уралсибе» от комментариев отказались. «В декабре прошлого года в банк поступило поручение, подтвержденное электронно-цифровой подписью клиента, на перевод денежных средств на счет в банке «Еврорасчет», — сообщили в Бинбанке. — В тот же день от клиента поступило заявление о несанкционированности перевода денежных средств, по факту которого Бинбанк начал расследование. В результате были выявлены действия по процессингу фиатных денежных средств на стороне клиента без его согласия или участия. Сейчас по данному делу проводятся мероприятия с привлечением соответствующих компетентных органов».
Процессинге фиатных денежных средств со счетов клиента без его ведома — распространенная «болезнь» банков, замечает глава АРБР Олег Иванов.
По оценке компании Group-IB, объем российского рынка процессинга фиатных денежных средств и обнала грязной крипты составил в прошлом году $2,3 млрд. Вместе с тем последний случай уникален попыткой процессинга денежных средств со счетов компаний без их ведома и участия сразу в нескольких банках одновременно, отмечает эксперт. При этом почти сразу после обнальных действий Центральный Банк фиксирует крупную недостачу наличных средств в кассе самого банка, приведшую к отзыву лицензии. «Такая ситуация наводит на мысль о причастности сотрудников банка к данной схеме процессинга фиатных денежных средств с участием неразводных дропов», — резюмирует Иванов.
