При помощи ботнета Eurograbber злоумышленники украли более $47 млн с банковских счетов

Как сообщают аналитики по вопросам безопасности из компаний Check Point Software и Versafe, в этом году в Европе был зафиксирован ботнет, получивший название Eurograbber. С его помощью злоумышленники сумели организовать мошеннические переводы денежных средств на сумму более €34 млн (около $47 млн), а жертвами ботнета стали 30 тыс пользователей услуг цифрового банкинга. Причем сумма одной транзакции могла составлять от €500 (около $650) до €25 тыс (около $32 тыс).

Злоумышленниками была разработана достаточно сложная схема, предназначенная для доступа к денежным средствам жертвы. Схема включала несколько этапов. Заражение начиналось с того, что пользователь переходил по вредоносной ссылке. Получить эту ссылку можно было в результате проведения фишинговой атаки. После перехода по ссылке пользователь попадал на сайт, с которого осуществлялась попытка установки различных модификаций троянской программы Zeus. Эти программы отслеживали переходы пользователя по сайтам, а также позволяли злоумышленнику внедрять в браузер определенный код HTML и JavaScript. При очередном посещении сайта банка пользователем троян осуществлял захват данных учетной записи и запускал JavaScript, который выводил обманное сообщение с сайта о необходимости обновления системы безопасности, чтобы защитить мобильное устройство от атак. После этого осуществлялся сбор данных об используемой ОС и номере мобильного устройства. Эти данные затем использовались для осуществления атаки второго уровня. Злоумышленником отправлялось текстовое сообщение на номер мобильного устройства жертвы, в котором содержалась ссылка на сайт, с которого осуществлялась загрузка ПО якобы для осуществления шифрования. На самом деле это было зловредное ПО ZITMO (Zeus in the mobile). Этот троян был создан для мобильных операционных систем Android и BlackBerry. Он внедрялся в браузер и ПО по работе с текстовыми сообщениями.

После того, как заражению подверглись оба устройства жертвы, злоумышленник дожидался очередного доступа пользователя к своему банковскому счету, после чего осуществлял перевод части средств на собственный счет. При этом осуществлялся перехват подтверждающего сообщения от банка и его перенаправление на контролирующий сервер. Затем осуществлялось подтверждение платежа. Такой процесс повторялся при каждом обращении пользователя к своему банковскому счету.