Эксперты центра глобальных исследований и анализа угроз «Лаборатории Касперского» обнаружили свидетельства крупномасштабной направленной атаки на клиентов крупного европейского банка. Кампания, которой дали кодовое обозначение Luuuk после обнаружения того, что более всего походит на панель управления для неизвестного пока троянца, обошлась потерпевшим в 500 000 евро.
Логи, найденные на сервере, который использовали злоумышленники, показали, что киберпреступникам понадобилась всего одна неделя, чтобы увести полмиллиона евро со 190 счетов клиентов банка, большинство из которых находятся в Италии и Турции. Суммы, похищенные с каждого банковского счета, если верить логам, варьировались от 1700 до 39 000 евро.
Первые признаки этой кампании были обнаружены еще 20 января этого года, когда специалисты «Лаборатории Касперского» нашли сервер в сети контрольный сервер. Его панель управления ясно указывала на использование троянца для кражи денег с банковских счетов клиентов.
Кампания просуществовала, по крайней мере, неделю, прежде чем был обнаружен контрольный сервер, и началась она не позднее 13 января 2014 г. За это время злоумышленники успешно похитили более 500 тысяч евро. Через два дня после обнаружения сервера экспертами центра глобальных исследований и анализа угроз «Лаборатории Касперского» преступники поспешно уничтожили все до единой улики, которые могли вывести на их след. Тем не менее, эксперты считают, что это было, скорее, связано с изменениями в использовавшейся технической инфраструктуре, нежели просто в сворачивании самой кампании Luuuk.
Была раскрыта новая мошенническая кампания против крупного европейского банка.
Tweet
Вскоре после обнаружения контрольного сервера эксперты связались со службой безопасности банка и правоохранительными органами, предоставив им все найденные свидетельства.
У специалистов есть основания полагать, что важные финансовые данные перехватывались автоматически, и мошеннические операции проводились, как только жертвы заходили в свои банковские счета в онлайне. По словам Висенте Диаса, ведущего эксперта «Лаборатории Касперского» по безопасности, на самом контрольном сервере отсутствовала какая-либо информация о том, какие конкретные вредоносные программы использовались в данной кампании. Однако ясно, что преступники использовали банковский троянец, выполнявший за человека операции в браузере, чтобы получить учетные данные своих жертв посредством вредоносной веб-инъекции. На основании информации некоторых лог-файлов эксперты предположили, что вредоносная программа воровала имена пользователей, пароли и одноразовые коды в реальном времени. Многие существующие вариации Zeus (Citadel, SpyEye, IceIX и т.п.) обладают такими возможностями, и все они хорошо известны в Италии.
«Мы считаем, что вредоносные программы, использованные в этой кампании, могли быть разновидностями Zeus с использованием сложных веб-инъекций против своих жертв», — сказал Висенте Диас.
Особенно интересно, что украденные деньги переводились на счета мошенников весьма необычным способом. Преступники, видимо, использовали «денежных мулов» — людей со специально созданными банковскими счетами, куда ворованные средства отправлялись по частям, чтобы сбить со следа. Владельцы этих счетов обналичивали деньги через банкоматы, забирая за услуги свой небольшой (или большой) «гонорар». Притом, что использование «мулов» — вполне обычная практика, на этот раз, по-видимому, преступники задействовали несколько групп «мулов», каждая из которых занималась разными суммами. Одна группа была ответственна за передачу 40-50 тысяч евро, другая работала с суммами от 15 до 20 тысяч, и третья оперировала с переводами не более 2000 евро.
Это, вероятно, свидетельствует о разных уровнях доверия к каждому типу «мулов». «Мы знаем, что участники подобных схем часто обманывают своих соучастников преступления и скрываются с деньгами, которые должны были обналичить. Боссы Luuuk, возможно, пытались подстраховаться от этих потерь путем создания различных групп с разными уровнями доверия: чем больше денег «мул» должен передать, тем больше ему доверяют», — добавил Висенте Диас.
Контрольный сервер Luuuk был отключен вскоре после начала расследования. Тем не менее, уровень сложности операций атаки браузера (MITB) предполагает, что нападавшие будут продолжать искать новых жертв этой кампании, и с учетом того времени, которое прошло с момента обнаружения, специалисты «Лаборатории Касперского» продолжают отслеживать деятельность Luuuk
Преступники украли 500k евро, используя банковские троянцы и «денежных мулов».
Tweet
Банки обычно идут на многое, чтобы обеспечить безопасность счетов своих клиентов. Недостаточно надежная защита приводит к инцидентам, подобным этому. В случае с Luuuk, скорее всего, работали профессионалы. О весьма «вдумчивом» подходе говорит всё — организация процесса, скорость заметания следов после обнаружения, использованные средства.
Тем не менее, вредоносным инструментам, которые использовали, чтобы красть деньги, можно эффективно противостоять при помощи современных технологий безопасности. Kaspersky Fraud Prevention является одной из них. Это многоуровневая платформа, призванная помочь финансовым организациям в деле защиты своих клиентов от онлайнового финансового мошенничества разных видов. Платформа включает в себя компоненты, которые защищают клиентские устройства от многих видов атак, включая атаки браузера, а также инструменты, которые помогут компаниям вовремя обнаруживать и блокировать мошеннические сделки.
Более подробная техническая информация о кампании Luuuk в нашем блоге на Securelist.com.