Sophos: Citadel атакует канадские банки и системы чекаута

Sophos: Citadel атакует канадские банки и системы чекаута

Преступники адаптируют вредоносное ПО для достижения определенной цели – получения сверхвысокой прибыли.

Согласно отчету, который представила компания Sophos, вирус Citadel был разработан на основе Zeus, и преступники, ответственные за операции с бот-сетью, предпочитают качество атаки количеству жертв.

Вирус Citadel появился вскоре после того, как исходный код Zeus просочился в Интернет , и практически сразу преступники принялись за его использование. В отличие от других аналогов, данный вирус заработал в преступном мире репутацию системы получения прибыли.

Как и Zeus, вирус Citadel направлен на хищение финансовых данных, однако является более избирательным в выборе жертв. Так, исследователи SophosLabs отметили, что часто целью является сбор максимального количества данных из системы жертвы, что гарантирует злоумышленникам больше шансов на получение заработка. При этом особое внимание уделяется важности похищаемых данных, нежели их количеству.

Конфигурационный файл, загружаемый данным вирусом, показывает его направленность на небольшое количество финансовых учреждений, при этом все они размещены в Канаде. В их число входит одна компания, которая обрабатывает платежи, используя системы чекаута, а также кредитные и дебетовые карты.

Данные фиксируются с помощью скриншотов и клавиатурных шпионов для получения большей прибыли от каждой записи. Во время анализа образца эксперты Sophos обнаружили, что текущая сборка была названа «тест» («test»), что может свидетельствовать о проведении подобных атак в будущем.

В отчете также подчеркивается, что обладатели лицензии на вредоносное ПО стали более продвинутыми в осуществлении целенаправленных атак для получения сверхвысокой прибыли. Таким образом, одна атака может принести колоссальный ущерб атакуемой организации.

Напомним, что в августе прошлого года компания Trusteer обнаружила, что новая версия Citadel позволила злоумышленникам перехватить управление защищенным VPN-соединением в системе международного аэропорта. Тогда мишенью являлись сотрудники аэропорта, поскольку с помощью их данных можно было получить доступ к VPN-соединению и внутренним приложениям.

Кроме того в октябре прошлого года исследователи из RSA заметили важное изменение в структуре Citadel – динамическую конфигурацию, благодаря которой администраторы созданной бот-сети могут внедрять вредоносный контент в скомпрометированные браузеры в режиме реального времени.

Устали от того, что Интернет знает о вас все?

Присоединяйтесь к нам и станьте невидимыми!