Naukowcy odkrywają szkodliwe oprogramowanie ukierunkowane na internetowe oprogramowanie do handlu akcjami

Naukowcy zajmujący się bezpieczeństwem z rosyjskiej firmy zajmującej się dochodzeniami w sprawie cyberprzestępczości Groub-IB niedawno zidentyfikowali nowy rodzaj złośliwego oprogramowania, którego celem jest kradzież danych logowania z wyspecjalizowanego oprogramowania używanego do handlu akcjami i innymi papierami wartościowymi. online.

Szkodliwym oprogramowaniem internetowym o nazwie QUIK i FOCUS IVonline są rosyjskie firmy zajmujące się tworzeniem oprogramowania ARQA Technologies i EGAR Technology, według badań przeprowadzonych przez grupę Group-IB w środę w poście na blogu.

Oprogramowanie może być używane do handlu na giełdzie w Moskwie (MICEX), giełdzie w Sankt Petersburgu, giełdzie ukraińskiej i innych giełdach ges. Jest również używany przez inne firmy brokerskie, takie jak BrokerCreditService na Cyprze, Otkritie w Wielkiej Brytanii i Rosji, InstaForex, a także przez duże banki, takie jak Sbierbank, Alfa-Bank i Promsvyazbank, Grupa-IB.

[Czytaj dalej: usuwaj złośliwe oprogramowanie z komputera z systemem Windows]

Po zainstalowaniu na komputerze, złośliwe oprogramowanie sprawdza obecność wybranych aplikacji i zaczyna monitorować, w jaki sposób użytkownik wchodzi w interakcje, wykonując zrzuty ekranu. Ponadto kradnie dane logowania i przesyła je do serwera sterowania i kontroli, jak twierdzą naukowcy z Grupy IB.

Klienci powinni mieć na swoich komputerach standardową ochronę przed złośliwym oprogramowaniem, taką jak programy antywirusowe i zapory sieciowe, jeśli używają oprogramowania finansowego, Vladimir Kurlyandchik, szef działu rozwoju biznesu w ARQA Technologies, powiedział w czwartek za pośrednictwem poczty elektronicznej. "To jest nasze standardowe zalecenie".

Klienci, którzy podejrzewają, że ich konta mogły uzyskać dostęp bez zezwolenia, powinni natychmiast zmienić swoje klucze dostępu, powiedział.

Według Kurlyandchika oprogramowanie QUIK obsługuje kilka mechanizmów, które mogą blokować konto porwanie. Obejmuje to możliwość ograniczenia dostępu tylko do określonych adresów IP (adresów internetowych), a także dwuetapowego uwierzytelniania za pomocą SMS-ów lub tokenów RSA SecureID.

Klienci i brokerzy mogą wybrać najlepszą opcję dostosowaną do ich sytuacji, powiedział Kurlyandchik. Firmy maklerskie mogą również korzystać z niektórych narzędzi do monitorowania aktywności i blokowania dostępu do podejrzanych adresów IP, powiedział.

Jednak nawet jeśli takie funkcje zabezpieczeń są dostępne, niekoniecznie oznacza to, że wszyscy z nich korzystają. Istnieje wiele sposobów na wyodrębnienie funduszy z kont internetowych z powodu złej ochrony przed oszustwami po stronie serwera, powiedział Andrey Komarov, szef międzynarodowych projektów w Group-IB.

Na przykład, FOCUS IVonline jest zwykle używany przez szyfrowany kanał VPN (Virtual Private Network) dostarczany przez rosyjski produkt bezpieczeństwa, ale to nie wystarcza i hakerzy mogą nadal łatwo nadużywać oprogramowania, powiedział Komarov. Szkodliwe oprogramowanie może wykorzystywać narzędzia zdalnego dostępu, takie jak VNC lub RDP, umożliwiające atakującym połączenie się z komputerem ofiary.

Większość tych specjalistycznych aplikacji handlowych jest dobrze zaprojektowana i ma dobre zabezpieczenia, ale instaluje się je w niezaufanych środowiskach, więc trudno jest chroń ich, powiedział Komarow. Według niego, głównym problemem jest bezpieczeństwo komputera klienckiego.

Wcześniejsze doniesienia o włamaniach hakerów do internetowych kont brokerskich. Ataki te dotyczyły przede wszystkim chwytaczy formularzy i wstrzyknięć sieciowych, takich jak te, które są widziane w złośliwym oprogramowaniu bankowym online, powiedział Komarov.

Ukierunkowanie kont internetowych jest częścią dużego i rosnącego trendu wśród cyberprzestępców, powiedział.