Kratka istorija bankarskog trojanca

Kada i kako su nastali, kako su evoluirali i šta odlikuje novu generaciju bankarskih trojanaca...

Kratka istorija bankarskog trojanca

Prve online bankarske usluge pojavile su se krajem 1990-ih i odmah postale izazov za sajber-kriminalce. S obzirom na to da su se banke trudile da naprave robustan sistem bezbednosti, sajber-kriminalci su shvatili da će biti teško napasti same banke. Zbog toga su se opredelili za napad koji se lakše sprovodi, a to je krađa kredencijala klijenata banke. Tako su nastali prvi bankarski trojanci. Svaki sledeći bankarski trojanac zaključno sa današnjim vremenom pratio je isti obrazac – skrivanje na računaru žrtve, a zatim ili pokušaj da se ukradu kredencijali dok je korisnik ulogovan u neki bankarski servis ili preuzimanje online bankarske sesije kako bi se izvršila neautorizovana transakcija.

Počeci

Prve verzije trojanaca su koristile taktike kao što su logging keystrokes (snimanje onoga što korisnik otkuca na tastaturi) ili preusmeravanje na lažni sajt banke. Vremenom su taktike postajale sve sofisticiranije. Jedna od prekretnica u svetu bankarskih trojanaca jeste pojava MITB (man-in-the-browser) napada u kojima trojanac manipuliše žrtvinim browserom i menja prikazani sadržaj na stranici. Jedan od prvih trojanaca koji je koristio ovu tehniku je Zeus koji se pojavio 2007. godine.

Zeus se može konfigurisati tako da napadne bilo koju online bankarsku sesiju ubacivanjem dodatnog HTML-a („web injekcija“) u otvorene stranice u browseru što mu omogućava da izmeni ili zameni sadržaj i/ili da prikaže dodatna polja. To je omogućilo napadačima da ukradu kredencijale kad god ih žrtva koristi na stranici ili da naprave zahteve za dodatnim kredencijalima koje banka ne traži, poput PIN koda. Ispostavilo se da je Zeus bio veoma lukrativan trojanac, a njegovi autori su zarađivali i tako što su ga prodavali na dark webu za hiljade dolara. Kupci Zeus trojanca su imali mogućnost da ga konfigurišu ili sa web injekcijom koju su sami napisali ili sa onom koju su kupili od drugih autora malvera kako bi targetirali klijente određenih banaka.

Nije iznenađujuće da su se ubrzo posle Zeusa pojavili slični trojanci poput SpyEye. SpyEye je imao gotovo ista svojstva kao i Zeus, ali je bio značajno jeftiniji (oko $700). Dakle, šablon za moderni bankarski trojanac je napravljen i neko vreme ova dva trojanca su dominirala crnim tržištem.

Uspon i pad

Od prvog bankarskog trojanca pa sve do danas ta oblast se konstatno menja, delimično i pod uticajem curenja informacija i aktivnosti organa reda i zakona. U 2011. godini došlo je do curenja izvornog koda Zeusa u javnosti. Odjednom je malver koji je nekada bio pod čvrstom kontrolom postao besplatno dostupan svima. To je dovelo do nastanka klonova koji su bazirani na njegovom izvornom kodu, poput Citadel i Gameover Zeusa. Nedugo zatim, slična stvar kao i Zeusu desila se i SpyEye trojancu.

Curenje izvornog koda nije neobična pojava u sajber-podzemlju. Nekada i sami autori malvera objave izvorni kod, obično zbog straha od istrage kada žele da „zamute vodu“ tako što će svoje alate dati na raspologanje drugim hakerskim grupama.

Uprkos uvreženom mišljenju da hakeri koji stoje iza bankarskih trojanaca uvek uspevaju da sačuvaju anonimnost, poznati su slučajevi da je policija uspešno razbijala ove grupe i hapsila ključne aktere. U 2014. godini, u združenoj akciji FBI, britanske policije i policije još nekih zemalja, aktivnosti grupe koja stoji iza Gameover Zeusa su prekinute, a njihova infrastruktura zaplenjena. Iako u ovom slučaju nije bilo hapšenja, aktivnost datog malvera je nakog akcije policije značajno opala.

Slična sudbina zadesila je i Shylock trojanca. Grupa koja stoji iza ovog malvera je ukrala milione dolara u vremenskom periodu od 3 godine, a u 2014. godini britanska policija je zaplenila značajan deo njihove infrastrukture. Nakon toga, aktivnost Shylock trojanca je zatajila.

Popunjavanje praznine

Prethodno opisana dešavanja stvorila su vakuum koji su nove, nadolazeće pretnje popunile. Jedna od najopasnijih novih pretnji bio je trojanac Dyre koji se pojavio sredinom 2014. i koji je dominirao u 2015. godini. Dyre je predstavljao sledeću generaciju finansijskih pretnji koja je napravljena da prevari klijente više od 1.000 banaka i kompanija širom sveta.

Metod infekcije bio je imejl u kojem je Dyre bio maskiran u formi poslovnog dokumenta, govorne pošte ili fax poruka. Kada se instalira, Dyre trojanac izvršava MITB napade u svim vodećim browserima (IE, Chrome, Firefox). Dyre je sprovodio dve vrste MITB napada. Ukoliko žrtva poseti neku od web stranica koje se nalaze u konfiguracionim fajlovima, bivala bi preusmerena na maliciozni server koji sadrži lažnu verziju stranice koja služi za krađu kredencijala. Ukoliko žrtva poseti stranicu banke koja se ne nalazi u konfiguracionim fajlovima, onda je Dyre kreirao web inject on-the-fly pomoću lukavog trika koji je podrazumevao slanje kompresovane verzije web stranice nazad na svoje servere gde je vršeno prepakivanje kompresovane stranice kojoj je dodavan maliciozni kod. Zatim bi prepakovana stranica bila poslata nazad žrtvi što je omogućavalo krađu kredencijala.

Dyre je bio dominantan bankarski trojanac godinu i po dana, a onda je iznenada nestao u novembru 2015. godine nakon akcije ruskih istražnih organa. Nažalost, posle Dyre trojanca pojavila se još veća opasnost – Dridex.

Nova generacija

Varijanta starijeg Cridex trojanca je trojanac Dridex koji je po tehničkim karakterstikama sličan prethodnicima. Ono što ga čini posebno opasnim je to što je hakerska grupa koja stoji iza Dridexa podigla distribuciju na viši nivo. Dridex grupa ima resurse da iznajmi velike spam botnete i tako pokrene spam kampanju ogromnih razmera preko koje se distribuira malver. Kada su stručnjaci iz Symanteca detaljnije analizirali Dridex prošle godine, ispostavilo se da Symantec dnevno blokira više od 250.000 Dridex imejlova što znači da se verovatno na milioni ovih imejlova pošalju svakoga dana. Iako je Dridex targetirao manji broj banaka od Dyre trojanca, količina imejlova preko kojih je Dridex distribuiran učinio je ovaj trojanac ogromnom pretnjom.

Dridex je i dalje dominantan bankarski trojanac, ali na ovom tržištu konkurencija je sve veća. U poslednjih godinu dana, ransomware grupe sve više koriste botnete preko kojih masovno šalju imejlove. Iako je Dridex još tu, druge pretnje poput Locky ransomwarea preuzimaju primat u broju malicioznih imejlova koje šalju potencijalnim žrtvama.

Nova generacija napada, poput Carbanak i Odinaff je podigla igru na viši nivo – umesto da napadaju klijente, napadači napadaju banke i kradu ogromne sume novca. To će dovesti do pojave novih grupa koje će na sličan način pokušati da dođu do velike zarade.

Za obične klijente banke, bankarski trojanci i dalje su ozbiljna pretnja. Većina modernih bankarskih trojanaca je sposobna da se neprimetno ubaci u online bankarske sesije, ukrade kredencijale žrtve i kasnije eventualno isprazni bankovni račun.

Ne dozvolite da postanete žrtva

Kako bi umanjili rizik da postanete žrtva bankarskog trojanca, preduzmite sledeće mere:

  1. Redovno ažurirajte bezbednosni softver.
  2. Redovno ažurirajte OS i sve softvere koje koristite. Ažuriranja softvera često sadrže zakrpe za novo-otkrivene ranjivosti koje napadači mogu da eksploatišu.
  3. Budite pažljivi kada obavljate e-banking aktivnosti. Posebno vodite računa ako dođe do promene u ponašanju ili izgledu web stranice banke.
  4. Obrišite sumnjive imejlove koje dobijete, posebno ako sadrže linkove ili atačmente.
  5. Budite ekstremno oprezni kod Microsoft Office atačmenta koji vas savetuje da omogućite macro kako bi videli sadržaj. Ukoliko niste potpuno sigurni da je u pitanju legitimni imejl iz bezbednog izvora, nikako nemojte omogućiti macro već odmah obrišite imejl.
  6. Ako sumnjate da je došlo do infekcije, odmah promenite lozinku na e-banking nalogu (pristupajući nalogu sa sistema koji nije inficiran) i kontaktirajte banku kako bi proverili da nije došlo do nekih neautorizovanih transakcija.

Izvor: Dick O'Brien za Threat Intel