Троян Eurograbber, относящийся к злополучному семейству Zeus, снова приковал к себе внимание специалистов по сетевой безопасности. Новый ботнет, построенный на базе этого излюбленного инструмента сетевых мошенников, позволил им угнать у пользователей в Европе в общей сложности 36 млн евро. Характерной и крайне неприятной особенностью ботнета является его способность обходить двухэтапную защиту онлайновых банковских сервисов, требующих от пользователя авторизации как через компьютер, так и через мобильное устройство.

Новый троян, получивший от антивирусной компании Check Point Software общее название Eurograbber, “работает” в два этапа. На первом осуществляется банальная фишинговая атака – пользователя заманивают на вредоносный сайт, с которого на его компьютер пытаются проникнуть несколько троянов семейства Zeus (конкретнее речь идёто подвидах SpyEye и CarBerp). В случае успешного заражения трояны перехватывают информацию о посещённых пользователем сайтах и пытаются встроить вредоносный код (HTML, JavaScript) в его браузер. В следующий раз, когда пользователь заходит на банковский сайт, трояны перехватывают их логины и пароли; одновременно в дело вступает JavaScript, который выводит на экран поддельный запрос на процедуру “повышения безопасности”, якобы исходящий от банковского сайта с целью защиты мобильного устройства от атак. В результате злоумышленники получают в своё распоряжение ещё и телефонный номер жертвы, и информацию об операционной системе.

Эти данные используются на втором этапе атаки: со стороны злоумышленников жертве поступает текстовое сообщение со ссылкой на “ПО для шифрования данных”. На деле это ZITMO (Zeus in the mobile) – разновидность Zeus для операционных систем Android и BlackBerry, который перехватывает контрольные сообщения, отправляемые банком на мобильное устройство пользователя, и переправляет их на контрольный сервер ботнета, состоящего из компьютеров, заражённых Eurograbber. Таким образом злоумышленники получают доступ к пользовательскому счёту. Съём денег осуществляется тотчас же.

По данным Check Point, средние суммы “штрафов за доверчивость” составили от 500 до 25 тысяч евро.

Eurograbber использует дыры в Adobe Flash, Java и браузерах, поэтому Check Point настоятельно рекомендует осуществлять обновления этих продуктов сразу же, как только они становятся доступными.