Троян Zeuss отсылает похищеннные данные через Jabber

image

Теги: троян

Все больше и больше банков переходят на одноразовые пароли для выполнения транзакций. Злоумышленники отреагировали на новую технологию и теперь получают возможность похищения денег до того, как пользователь завершить очередной сеанс работы с банковским веб-приложением.

Исследователи из лаборатории FraudAction Research Lab компании RSA обнаружили новые особенности в поведении трояна Zeuss, известного также под названиями Torpig и Mebroot.

По словам исследователей, переход похитителей банковских реквизитов на инструменты ускоренной передачи данных - серьезный сигнал для специалистов по безопасности, а также для конечных пользователей. Все больше и больше банков переходят на одноразовые пароли для выполнения транзакций. Злоумышленники отреагировали на новую технологию и теперь получают возможность похищения денег до того, как пользователь завершит очередной сеанс работы с банковским веб-приложением.

Раньше троянские программы отправляли похищенные пароли и реквизиты на специальный сервер-«отстойник», где их потом находили злоумышленники. Похищенные данные перепродавались, либо использовались напрямую для похищения денег со счетов граждан. Развитие онлайн-банкинга привело к тому, что время существования похищенных данных сокращается до минимума – пока злоумышленники, которые не всегда имеют выход в Интернет, доберутся до «отстойника», данные теряют актуальность.

Переход на протоколы Интернет-пейджеров символизирует новый этап в развитии троянов – специальные PHP-сценарии вируса отправляют украденную информацию напрямую преступникам. Теперь реакция злоумышленников может быть мгновенной: вы заходите на сайт своего банка с зараженного компьютера, а в это время преступники уже видят ваши реквизиты в специальной программе, получая некоторое время для похищения денег с вашего счета с использованием актуального одноразового пароля. Пока вы просматриваете состояние своего счета, у злоумышленников есть время для выполнения всех своих действий от вашего имени.

Такое важное изменение в поведении троянов поднимает важность антивирусов и других инструментов для борьбы с вредоносным ПО на совершенно новый уровень – заражение может оказаться совершенно незаметным. Кроме того, в новых троянах используются гибкие сценарии и дублирование информации по электронной почте. Специалисты RSA обнаружили две разновидности троянца Zeus – одна собирала реквизиты пользователей только одного финансового учреждения в США, а другая - реквизиты сразу в пяти банках. Интересно, что конкурирующий троян под названием Sinowal применяет такую же технологию ускоренной отправки похищенных реквизитов еще с прошлого года.


или введите имя

CAPTCHA
гы
31-08-2009 11:09:53
Чушь какая-то.. если пароль одноразовый и я по нему уже вошел, как кто-то может его повторно использовать? Это должен быть либо временный пароль, а не одноразовый, либо был перехват сессии, а тогда пароли вообще не причем. ЗЫ а про жаббер в заголовке для холивара написали?
0 |
Антитролль
31-08-2009 11:48:11
Чушь какая-то.. если пароль одноразовый и я по нему уже вошел, как кто-то может его повторно использовать? Ну пложим что данный троян может работать как прокси, то есть перехватывает транзакции пользователя в рамках текущей сессии и подменяет данные на свои. Все лох ушастый без денег, хакир доволен.
0 |
...
31-08-2009 12:21:52
Все больше и больше банков переходят на одноразовые пароли для выполнения транзакций....пароли для выполнения транзакций.транзакций.Поясняю: Тебе дают карточка с сотней чисел, замазанных краской. Ты заходишь в бакнк-клиент под одним паролем - своим "мегасложныйпарольсцифрамиибольшимибуквами". Потом для ЛЮБОЙ операции, как то оплата телефона или перевод денег, с тебя требуют циферку определенную с карточки. Понятно, что злоумышлинникам, которые рулят трояном неизвестна твоя карточка и после 3 попыток неверной цифирки (6-8 знаков) транзакции залочатся и тебе нужно будет идти в банк и говорить им, чтоб разблокировали и заявление СБ писать.
0 |
!
31-08-2009 13:50:03
и что ? перехватили пароль - дык после выполнения операции он уже невалиден. Это надо сразу подменять и сумму и целевой счет - жаббер тут ни разу не при делах. Очередной к_ал от секлаба.
0 |
протев
31-08-2009 11:14:52
Срочно в заголовке напишите про ICQ !!!
0 |
usul
31-08-2009 11:16:07
Здесь Попуп не пробегал? ________________________
0 |
---
31-08-2009 19:58:53
Нет. Но недавно его БГ на xyю вертел...
0 |
-
31-08-2009 11:57:25
Каак страшно жить. Я уже года 4 как назад ловил троян, который по асе команды получал и файлы отсылал. на ЖД тогда такой зверь жил.
0 |
KM
31-08-2009 14:03:44
Первоисточник: http://www.rsa.com/blog/blog_entry.aspx?id=1515
0 |