Новая версия банковского троянца Carberp блокирует аккаунты в Facebook

19.01.2012

Специалисты по информационной безопасности из компании Trusteer обнаружили новую версию опасного банковского троянца Carberp, которая блокирует пользователям доступ в Facebook и вымогает деньги за разблокировку, сообщила компания в среду.

Большинство образцов уже известного вредоносного ПО для Facebook обычно направлено на похищение персональных данных пользователей этой сети либо на установку дополнительного ПО на их компьютеры. По мнению специалистов Trusteer, новая версия Carberp, которая ранее похищала денежные средства из систем дистанционного банковского обслуживания, стала одной из первых программ, которая напрямую вымогает деньги у пользователей.

Когда пользователь пытается зайти на Facebook с зараженного компьютера, Carberp подменяет главную страницу популярной социальной сети фальшивой, на которой размещено сообщение о том, что страница в Facebook якобы заблокирована и для ее разблокировки нужно ввести имя, фамилию, год рождения и пароль пользователя, а также номер денежного ваучера в системе Ukash (одна из систем электронных платежей, популярная на Западе) номиналом 20 евро.

Специалисты Trusteer считают, что хакеры выбрали именно ваучеры Ukash, потому что они позволяют относительно анонимно вывести из системы украденные у пользователей Facebook деньги – злоумышленникам достаточно знать девятнадцатизначный код ваучера, чтобы получить денежные средства.

Российская пресс-служба Facebook не прокомментировала РИА Новости, осведомлена ли служба безопасности соцсети о новом вирусе, и что следует предпринять пользователям, чтобы не стать жертвой мошенников. Также неизвестно, есть ли случаи заражения этой версией Carberp среди российских Facebook-пользователей.

В антивирусной компании Eset, которая ранее занималась изучением других версий троянца, сообщили РИА Новости, что, по их данным, эта модификация не распространялась в русскоязычном сегменте Facebook, и на сей раз ее активность проявляется в других регионах.

"Если раньше Carberp проявлял наибольшую активность именно в России и СНГ, то появление такой модификации может говорить о том, что злоумышленники нацелились и на другие страны", - сообщила РИА Новости пресс-служба компании.

Иных деталей о новой модификации троянца компания не предоставила, сославшись на то, что аналитики Eset еще занимаются ее изучением.

По данным Eset, около 72% от общего количества инцидентов с участием прежних версий Carberp в разных странах приходится на Россию. Жертвами хакеров, как правило, становятся компании и государственные организации, являющиеся клиентами как минимум десяти крупнейших российских банков.

В декабре Eset сообщила о появлении модификации Carberp, предназначенной специально для похищения денежных средств со счетов компаний в системах дистанционного банковского обслуживания многих российских банков. В частности, специалисты компании обнаружили варианты программы, ориентированные на поиск и похищение средств из системы ДБО Сбербанка и платежной системы CyberPlat.

Попав в компьютер, такой троянец сканирует его на наличие клиентского приложения для доступа к счетам, открытым в Сбербанке или CyberPlat, после чего скачивает из сети вредоносный плагин, с помощью которого осуществляется доступ к учетной записи жертвы.

Эта троянская программа крайне эффективна, утверждают в Eset - она детектируется далеко не каждым антивирусом, поскольку ее авторы постоянно совершенствуют защиту троянца, а также содержит функционал, позволяющий вредоносному ПО запускаться раньше, чем операционной системе, и вносить изменения в ее функционирование еще до того, как запускаются защитные программы.

Впервые о массовом распространении троянца Carberp стало известно в конце ноября. По данным специалистов компании, еженедельно с помощью данного троянца из систем ДБО крупнейших российских банков похищаются миллионы долларов.

Источник: digit.ru