Forskere finder malware rettet mod online handelshandelssoftware

Sikkerhedsforskere fra Russisk internetkriminalitetsundersøgelsesselskab Groub-IB har for nylig identificeret et nyt stykke malware, der er designet til at stjæle loginoplysninger fra specialiseret software, der bruges til at handle aktier og andre værdipapirer online.

Malware målretter internet handelssoftware kaldet QUIK og FOCUS IVonline fra russiske softwareudviklingsfirmaer ARQA Technologies og EGAR Technology, henholdsvis Group-IB-forskere sagde onsdag i et blogindlæg.

Softwaren kan bruges til handel på Moskva-børsen (MICEX), Saint Petersburg-udvekslingen, den ukrainske udveksling og andre exchan GES. Det bruges også af andre mæglerfirmaer som BrokerCreditService på Cypern, Otkritie i Storbritannien og Rusland, InstaForex, samt af store banker som Sberbank, Alfa-Bank og Promsvyazbank, Group-IB.

[Yderligere læsning: Hvordan fjern malware fra din Windows-pc]

Når den er installeret på en computer, kontrollerer malwareprogrammet for tilstedeværelsen af ​​de målrettede applikationer og begynder at overvåge, hvordan brugeren interagerer med dem ved at tage skærmbilleder. Det stjæler også log-in-legitimationsoplysningerne og uploader dataene til en kommando- og kontrolserver, siger koncern-IB-forskerne.

Kunder bør have standard malwarebeskyttelse installeret på deres computere som antivirusprogrammer og firewalls, hvis de bruger økonomisk software, Vladimir Kurlyandchik, chef for forretningsudvikling hos ARQA Technologies, sagde torsdag via email. "Dette er vores standardanbefaling."

Kunder, som har mistanke om, at deres konti kunne være blevet åbnet uden tilladelse, skal straks ændre deres adgangsnøgler, sagde han.

Ifølge Kurlyandchik understøtter QUIK-softwaren flere mekanismer, der kan forhindre konto kapring. Dette inkluderer muligheden for at begrænse adgangen til bestemte IP-adresser (Internet Protocol) samt to-trins godkendelse via SMS eller RSA SecureID-tokens.

Klienter og mæglere kan vælge den bedste løsning, der passer til deres situation, siger Kurlyandchik. Mæglerfirmaerne kan også bruge nogle værktøjer til at overvåge aktiviteter og blokere adgang til mistænkelige IP-adresser, sagde han.

Selv om sådanne sikkerhedsfunktioner er tilgængelige, betyder det dog ikke nødvendigvis, at alle bruger dem. Der er mange måder at udtrække midler fra online-handelsregnskaber på grund af dårlig beskyttelse mod svindel på serversiden, siger Andrey Komarov, leder af internationale projekter på Group-IB.

FOCUS IVonline bruges for eksempel normalt gennem en krypteret VPN-kanal (Virtual Private Network), der leveres af et russisk sikkerhedsprodukt, men det er ikke nok, og hackere kan stadig let misbruge softwaren, sagde Komarov. Malware kan bruge fjernadgangsværktøjer som VNC eller RDP for at tillade angribere at forbinde via offerets computer.

De fleste af disse specialiserede handelsapplikationer er veludviklede og har god sikkerhed, men de installeres i usikre miljøer, så det er svært at beskytte dem, sagde komarov. Kundens pc-sikkerhed er det vigtigste problem, sagde han.

Der har været tidligere rapporter om hackere, der har fået kompromis med online-mæglerkonti. Disse angreb primært anvendes form grabbers og web injektioner som dem, der ses i onlinebaseret malware, sagde Komarov.

Målretning af online handelsregnskaber er en del af en stor og voksende tendens for cyberkriminelle, sagde han.