«Черные шляпы» разработали вредоносное ПО для системы интернет-трейдинга

Исследователи безопасности обнаружили образец вредоносного ПО в системе интернет-трейдинга и брокерского обслуживания - Quickly Updatable Information Kit (QUIK). Эксперты российской компании по предотвращению и расследованию киберпреступлений Group-IB сообщили , что при помощи этого вредоносного ПО было осуществлено ряд атак в ноябре 2012 года.

Ранее киберпреступники осуществляли атаки на частные и корпоративные банковские учетные записи используя вредоносное ПО, к примеру, троян ZeuS, для перехвата авторизационных данных и получения доступа к аккаунтам.

Системы для совершения операций с акциями в прошлом уже подвергались атакам, однако, в основном, эти атаки проводились при помощи социальной инженерии, когда мошенники создавали фальшивые учетные записи. В настоящее время злоумышленники решили изменить тактику и использовать вредоносные программы.

«Черные шляпы» разработали новый вид вредоносного ПО, специально предназначенного для осуществления атак на программное обеспечение для обслуживания биржевых торгов - QUIK (Quik Broker, Quik Dealer). QUIK, созданное российскими разработчиками ARQA Technologies и нью-йоркской компанией EGAR Technology, используется многими финансовыми организациями России, в частности, Сбербанком, Альфа-Банком и Промсвязьбанком.

Приложения Quik Broker и Quik Dealer широко используются при проведении торгов на крупнейшей в России Московской бирже (ММВБ) для размещения акций, их продажи и листинга, а также для первичного публичного предложения акций (IPO) компаний, среди которых «Газпром», «Банк ВТБ», «РусГидро», МТС и др.

По словам эксперта Group-IB Андрея Комарова, вредоносное ПО для биржевых приложений основано на шпионском ПО Ranbyus, используемом для систем, работающих на базе Windows. Комаров сообщил, что функции вредоноса схожи с функциями ZeuS. Он использует VNC для обеспечения удаленной связи с компьютером жертвы и незаметного проведения мошеннических действий, благодаря чему его пропускают любые фильтры, поскольку кражи совершаются с IP-адреса жертвы. Для осуществления атак на QUIK также применяется троян Broker-J, который использует другую технику. Вредоносное ПО похищает ключ шифрования из хранилища QUIK и отправляет его злоумышленникам.