Uarednikov
Uarednikov личный блог
19 апреля 2013, 17:28

Злоумышленники используют вредоносное ПО для доступа к системе брокерского обслуживания QUIK

Исследователи безопасности обнаружили образец вредоносного ПО в системеинтернет-трейдингаи брокерского обслуживания — Quickly Updatable Information Kit (QUIK). Эксперты российской компании по предотвращению и расследованию киберпреступлений Group-IBсообщили, что при помощи этого вредоносного ПО было осуществлено ряд атак в ноябре 2012 года.
Ранее киберпреступники осуществляли атаки на частные и корпоративные банковские учетные записи используя вредоносное ПО, к примеру, троян ZeuS, для перехвата авторизационныхданныхи получения доступа к аккаунтам.
Системы для совершения операций с акциями в прошлом уже подвергались атакам, однако, в основном, эти атаки проводились при помощи социальной инженерии, когда мошенники создавали фальшивые учетные записи. В настоящее время злоумышленники решили изменить тактику и использовать вредоносные программы.
«Черные шляпы» разработали новый вид вредоносного ПО, специально предназначенного для осуществления атак на программное обеспечение для обслуживания биржевых торгов — QUIK (Quik Broker, Quik Dealer). QUIK, созданное российскими разработчиками ARQA Technologies и нью-йоркской компанией EGAR Technology, используется многими финансовыми организациями России, в частности, Сбербанком, Альфа-Банком и Промсвязьбанком.
Приложения Quik Broker и Quik Dealer широко используются при проведении торгов на крупнейшей в России Московской бирже (ММВБ) для размещения акций, их продажи и листинга, а также для первичного публичного предложения акций (IPO) компаний, среди которых «Газпром», «Банк ВТБ», «РусГидро», МТС и др.
По словам эксперта Group-IB Андрея Комарова, вредоносное ПО для биржевых приложений основано на шпионском ПО Ranbyus, используемом для систем, работающих на базеWindows.Комаров сообщил, что функции вредоноса схожи с функциями ZeuS. Он использует VNC для обеспечения удаленной связи с компьютером жертвы и незаметного проведения мошеннических действий, благодаря чему его пропускают любые фильтры, поскольку кражи совершаются сIP-адресажертвы. Для осуществления атак на QUIK также применяется троян Broker-J, который использует другую технику. Вредоносное ПО похищает ключ шифрования из хранилища QUIK и отправляет его злоумышленникам.
Подробнее:http://www.securitylab.ru/news/439695.php
12 Комментариев
  • Олег Сергеевич
    19 апреля 2013, 19:36
    Круто!
  • Изя 3%
    19 апреля 2013, 19:56
    И токены волосатой рукой из монитора вытаскивает украдкой и крадет. ) Вот скажите и что можно с этими ключами сделать? Вот чтоб прям нажиться? Пугалки страшилки какие то.
  • R0land
    19 апреля 2013, 20:10
    популяризация квика опережает его развитие )
  • Андрей Егоров
    19 апреля 2013, 20:13
    я пользуюсь транзаком
  • Jonah
    19 апреля 2013, 21:48
    здесь же был пример чего можно сделать:
    smart-lab.ru/blog/114348.php
    • Изя 3%
      19 апреля 2013, 22:50
      Jonah, там не ясно что к чему. не исключено что сам клиент в тслабе поигрался. в обычной ситуации по лимитам не проходило а при сбое все заявки биржа приняла…
  • как защищать не написали
  • malpa
    19 апреля 2013, 23:32
    имея ключи и пароль можно очистить любой счёт, любых размеров, буквально за минуты.
  • Savage
    20 апреля 2013, 00:42
    Как специалист, могу дать совет, как этого избежать. Но как всегда бывает с простыми вещами, их никто не будет слушать.
    Первое: никогда не запускайте левых приложений и почтовых вложений. Если уж так интересно запустить что-то непроверенное, сделайте это сначала на виртуальной машине. Если вы используете нелицензионную операционную систему и сами приложения, понятно, что вам придется использовать различные кряки, кейгены и т.д. Говорить о какой-то безопасности в этом случае просто смешно. Так что, по крайней мере, на том компьютере, где установлен QUIK, используйте лицензированное программное обеспечение. В идеале там должен быть только QUIK.
    Второе: используйте файерволл. Заблокируйте все входящие соединения.
      • Savage
        20 апреля 2013, 20:29
        Uarednikov, Согласен, работать действительно надо под ограниченной учетной записью. Но это больше защита работоспособности операционной системы и установленных приложений. Никто не помешает пользователю запустить трояна. А вот использование только проверенных программ и грамотная настройка файерволла на 100% решает проблему. Но для этого требуется ответственность и дисциплинированность самого пользователя.
        А вообще, против тупости пользователей нет защиты. Любой ИТ-специалист вам расскажет кучу примеров, когда пользователю лень запоминать сложный пароль и он приклеивает бумажку с паролем на монитор.

Активные форумы
Что сейчас обсуждают

Старый дизайн
Старый
дизайн