Исследователи обнаружили, что вредоносная программа нацелена на онлайн-программное обеспечение для торговли акциями

Исследователи безопасности из российской компании по исследованию киберпреступности Groub-IB недавно определили новую часть вредоносного ПО, предназначенную для кражи учетных данных из специализированного программного обеспечения, используемого для торговли акциями и другими ценными бумагами онлайн.

Вредоносная программа нацелена на интернет-торговое программное обеспечение под названием QUIK и FOCUS IVonline от российских разработчиков программного обеспечения ARQA Technologies и EGAR Technology, соответственно, исследователи Group-IB сообщили в среду в блоге.

Программное обеспечение может использоваться для торговли на Московской бирже (ММВБ), Санкт-Петербургской бирже, Украинской бирже и других эксханах о.э.р.. Группа также использует другие брокерские фирмы, такие как BrokerCreditService на Кипре, Otkritie в Великобритании и России, InstaForex, а также крупные банки, такие как Сбербанк, Альфа-Банк и Промсвязьбанк.

[далее] удалить вредоносное ПО с вашего ПК с Windows]

После установки на компьютер вредоносное ПО проверяет наличие целевых приложений и начинает отслеживать, как пользователь взаимодействует с ними, снимая снимки экрана. Он также крадет учетные данные входа и загружает данные на сервер управления и управления, сказали исследователи группы IB.

Клиенты должны иметь стандартную защиту от вредоносных программ, установленных на их компьютерах, таких как антивирусные программы и брандмауэры, если они используют финансовое программное обеспечение, Владимир Курляндчик, руководитель отдела развития бизнеса в ARQA Technologies, заявил в четверг по электронной почте. «Это наша стандартная рекомендация».

Клиенты, которые подозревают, что их учетные записи, возможно, были доступны без разрешения, должны немедленно изменить свои ключи доступа, сказал он.

По словам Курляндчика, программное обеспечение QUIK поддерживает несколько механизмов, которые могут препятствовать учетной записи угон. Это включает в себя возможность ограничения доступа только к определенным IP-адресам (Internet Protocol), а также двухэтапную аутентификацию через токены SMS или RSA SecureID.

Клиенты и брокеры могут выбрать лучший вариант, подходящий для их ситуации, сказал Курляндчик. Брокерские фирмы также могут использовать некоторые инструменты для мониторинга активности и блокирования доступа к подозрительным IP-адресам.

Однако, даже если такие функции безопасности доступны, это не обязательно означает, что каждый использует их. «Из-за плохой защиты от мошенничества на стороне сервера существует много способов извлечь средства из интернет-трейдинговых счетов, - сказал Андрей Комаров, глава международных проектов в Group-IB.

Например, FOCUS IVonline обычно используется через зашифрованный канал VPN (виртуальная частная сеть), предоставленный российским продуктом безопасности, но этого недостаточно, и хакеры все еще могут легко злоупотреблять программным обеспечением, сказал Комаров. Вредоносная программа может использовать инструменты удаленного доступа, такие как VNC или RDP, чтобы позволить злоумышленникам подключаться через компьютер жертвы.

Большинство этих специализированных торговых приложений хорошо разработаны и имеют хорошую защиту, но они установлены в ненадежных средах, поэтому трудно защитить их, сказал Комаров. По его словам, безопасность ПК для клиентов является основной проблемой.

Были сообщения о том, что хакеры компрометируют онлайн-брокерские счета. По словам Комарова, эти атаки в основном использовали захватчики форм и веб-инъекции, подобные тем, которые были обнаружены в интернет-банке.

Ориентация на онлайн-торговые счета является частью большой и растущей тенденции для киберпреступников, сказал он.